Forum Clubic

[RESOLU] IPtables : autoriser accès au serveur .. - ..web sur la passerelle

Slt !
Dans la série "webmaster se prenant pour 1 administrateur réseau recherche aide désespérement" :ane:

J’ai serveur web Zope associatif qui tourne (au poil) sur la passerelle/firewall de mon LAN
Mais impossible de trouver ce qui bloque l’accès à ce serveur depuis l’extérieur :frowning:

  • Le LAN :

<> Freebox (IP fixe ethernet)
|
|
<>[eth0]<-> Passerelle/firewall avec IPTABLES & serveur web Zope <->[eth1]
|
|
<> LAN

Le /etc/hosts de la passerelle/firewall :

127.0.0.1                       localhost
127.0.0.1                       gateway
  • La règle IPTABLES que je croyais autoriser l’accès au serveur Web de la passerelle/firewall (XXXX est le port sur lequel le serveur écoute) :
iptables -A INPUT -p tcp -i eth0 --dport [XXXX] --sport 1024: \
  -m state --state NEW -j ACCEPT

Le serveur est abominablement inaccessible de l’extérieur :paf: (plusieurs potes ont essayé)

Cependant, j’ai l’accès complet depuis un PC sur le LAN avec l’IP & PORT publiques :grrr:

J’essaye sans trop de succès d’analyser les Logs d’IPTABLES en utilisant l’article “Iptables” de lea[/url] & [url=http://www.siliconvalleyccie.com/linux-hn/iptables-intro.htm]autres :wink: , mais bon :neutre:
Voilà ce qui s’affiche quand un pote a essayé d’accéder au serveur web :

Aug 26 20:59:31 gateway IN=eth0 OUT= MAC=00:40:f4:49:e6:3e:00:07:cb:02:3c:3e:08:00 
	SRC=60.16.83.XXX
	DST=82.67.96.XX
	LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=22867 DF PROTO=TCP
	SPT=3442
	DPT=XXXX
	WINDOW=64800 RES=0x00 ACK URGP=0

Où 60.16.83.XXX est son IP, & 82.67.96.XX la mienne
& XXXX le port sur lequel le server écoute.

Avis ou conseil, je suis preneur de tout ce qui nous fera avancer !

Faudrait ptêt autoriser les paquets à ressortir nan ?

Balance la sortie de la commande "iptable-save"

Bah pourquoi si toutes les connections établies peuvent (res)sortir ?

iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED \
  -j ACCEPT

Vu sur www.linuxhomenetworking.com de Peter Harrison (2nd lien de mon 1er post) :

Cette double instruction (OUTPUT autorisé pour Established,Related & INPUT pour New) devrait suffire, non ?

Bon, à force de lire des scripts facilitant la mise en page et le debuggage de mes instructions IPtables, j’en ai trouvé un intéressant : Arno’s IPtables-firewall
Avec lequel j’ai ouvert la bonne porte (en plus de pas virer les autres, qui fonctionnaient).
En plus, il me facilite les modifs, et pond des Logs trooooop clairs :wink: