Forum Clubic

IPTABLES, transfert de paquet -(nat)

Bonjour à tous,

Je suis confronté à un probleme particulier. J’ai un firewall que l’on ne peut modifier qui envoie des log en udp sur et sur une adresse particulier et sur le port 513.
Actuellement, un collegue souhaiterait également récuperer ces log, mais comme cette adresse est déja utilisé par ma sonde, il ne récupere rien.

Mon idée était de jouer un peu avec iptables de façon a renvoyer les paquets reçus vers sa machine. Les paquet udp sont recu sur une interface virtuelle (eth0.1).

iptables -t nat -A PREROUTING -s ip_firewall -d mon_ip -p udp --dport 514 -m state --state ! INVALID -j DNAT --to-destination ip_collegue:514
  iptables -t filter -A FORWARD -i eth0.1 -o eth0 -s adresse_firewall -d ip_collegue -p udp --dport 514 -m state --state ! INVALID -j ACCEPT 

Mais ca ne marche pas. quand je fais un:

 iptables -t nat -vnL 

aucun paquet n’est “matcher” dans la regle écrite.

Hors un peu plus haut dans mon script j’ai mis un

 iptables -t filter -A ACCEPT -p udp --dport 514 

afin que mon démon syslog recoivent les données.

Cette règle est bien matché.

je pense que du fait que cette 1er regle est validé, mon “firewall” n’a plus rien a renvoyer vers l’adresse distante.
j’ai bon ?

il me semble que c’est 513 et pas 514 le port d’arrivée des données dans ta règle pour la chaine prerouting

sinon, juste quelques idées :

  1. tu translates le port vers 512 en prérouting, et dans le forward, tu check le port 514, à priori, ça devrais déjà être le 512 !
  2. je ne suis pas sur que le format : ip_collegue:512 soit accepté, il y a une option pour spécifier le nouveau port de destination (il me semblait que c’était dport, mais tu l’itilise pour le port d’arrivée, alors je ne m’avance pas.)

Oui, j’ai mal recopier le script, c’est bien 514. :ane:
Je modifie dans le 1er poste. mais ca ne regle pas le probleme, les paquet ne sont pas matché.
Je teste en virant la regle input pour m’assurer de la validité des règle prerouting et forwarding.