Surveiller ce forum | Commencer une nouvelle discussion

Hiérarchisé À plat Fils de discussion Ultime

Montrer 25 Montrer 50 Montrer 75 Montrer 100

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2022-04-06 10:12	[forum:493132]
Hello, Je viens d'essayer les lignes proposées ; ça marche impecc! Merci

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Richard REY (Rexy) on 2022-02-08 22:25

[forum:492364]

Bonsoir, L'exemple concernant les règles de PAT multiports depuis Internet a été amélioré avec la possibilité de changer la plage de ports destination. Voila le code du nouvel exemple qui sera intégré dans la prochaine version : # On autorise l'accès depuis Internet (multiports) vers un équipement du LAN (qui doit être en IP fixe) # Access is allowed from Internet (multiports) to a LAN equipment (which must be in static IP) #ext_ports=11223:11323; int_ports=11223:11323 #to_ip=192.168.182.7 #int_ports_dnat=`echo $int_ports|tr : -` #$IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ip:$int_ports_dnat #$IPTABLES -A FORWARD -i $EXTIF -p tcp -d $to_ip -m multiport --dports $ext_ports -j ACCEPT #$IPTABLES -A FORWARD -o $EXTIF -p tcp -s $to_ip -m multiport --sports $int_ports -j ACCEPT #$IPTABLES -A PREROUTING -i $EXTIF -t nat -p udp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ip:$int_ports_dnat #$IPTABLES -A FORWARD -i $EXTIF -p udp -d $to_ip -m multiport --dports $ext_ports -j ACCEPT #$IPTABLES -A FORWARD -o $EXTIF -p udp -s $to_ip -m multiport --sports $int_ports -j ACCEPT

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2022-01-07 10:16	[forum:492063]
Hello Rexy, Pour le fichier service, je l'ai dit comme ça car comme on est en ligne de commande pour iptable, on continue dans la foulée plutôt que de passer part l'ACC mais c'est pour la forme ... D'après mes tests, il faut déclarer le port dans le fichier si le port d'écoute entrée (box-Alcasar) est différent du port d'écoute de sortie (Alcsar-Equipement) ...

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Richard REY (Rexy) on 2022-01-07 00:29

[forum:492061] Screenshot_20220107_002731.png (3) downloads

Bonsoir Laurent, Merci pour ta synthèse et tous tes essais. Cela semble cohérent avec l'objectif fixé. Bien vu pour l'ip fixe et l'exception d'authentification. On va enrichir le fichier "alcasar-iptables-local.sh" avec tes données. J'ai juste une remarque : la modification du fichier "/usr/local/etc/alcasar-services" n'ait pas forcément utile. Cela ne servirait que si ALCASAR devait appliquer un filtrage de protocole réseau sur l'équipement du LAN à joindre (ce qui est rare). Si c'était quand même le cas, on peut modifier ce fichier via l'ACC (cf pj).

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2022-01-04 23:02

[forum:492043]

Voilà ce qui marche : - équipement en exception d'authentification ; - équipement en IP fixe - si le port d'écoute est différent entre Alcasar et l'équipement ; il faut remplir le fichier /usr/local/etc/alcasar-services #ssh2 44022 - mettre les ports voulus en redirection de la box vers Alcasar -dans le fichier : nano /usr/local/etc/alcasar-iptables-local.sh #VPN Dongle ext_ports=55022,31194 int_ports=44022,31194 to_ipVPN=192.168.182.7 #--> équipement interne écoutant pour le VPN ## $IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ipVPN $IPTABLES -A FORWARD -i $EXTIF -p tcp -d $to_ipVPN -m multiport --dports $ext_ports -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p tcp -s $to_ipVPN -m multiport --sports $int_ports -j ACCEPT

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-27 00:37

[forum:492012]

Hello, j'abandonne pas mes recherches mais c'est difficille avec un équipement à distance ... pour info: on peut faire un port différent en externe et en interne mais il faut déclarer le port dans le fichier : 1 ACCEPT tcp -- anywhere 192.168.182.7 multiport dports 55022 2 ACCEPT tcp -- 192.168.182.7 anywhere multiport sports 44022 /usr/local/etc/alcasar-services #ssh2 44022 et faut éviter les ports communs (type 22) car ça n'a pas l'air de marcher ....

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Richard REY (Rexy) on 2021-12-15 09:11	[forum:491860]
Bonjour Laurent, Si tu valides la syntaxe et le fonctionnement, on ajoutera ta ligne aux différents gabarits déjà présents dans le fichier iptable local.

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-14 23:33	[forum:491857]
ah j'ai une piste : $IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ipVPN comme ça ca marche ... reste à voir si on met des ports différents en entrée en sortie ça continue de fonctionner ....

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-14 23:26

[forum:491856]

j'ai essayé de séparer les ports : ça marche mais en fait non ... m_ports1=1194 m_ports2=55022 ext_ports=$m_ports1,$m_ports2 int_ports=$m_ports1,$m_ports2 to_ipVPN=192.168.182.120 #--> équipement interne écoutant pour le VPN #$ $IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ipVPN:$m_ports1 $IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ipVPN:$m_ports2 $IPTABLES -A FORWARD -i $EXTIF -p tcp -d $to_ipVPN -m multiport --dports $int_ports -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p tcp -s $to_ipVPN -m multiport --sports $ext_ports -j ACCEPT ------------------- On obtient : 0 0 DNAT tcp -- enp1s0 * 0.0.0.0/0 10.0.3.140 multiport dports 1194,55022 to:192.168.182.120:1194 0 0 DNAT tcp -- enp1s0 * 0.0.0.0/0 10.0.3.140 multiport dports 1194,55022 to:192.168.182.120:55022 ---- mais le port 55022 n'est quand même pas fonctionnel ...

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-08 22:36

[forum:491766]

Mais j'ai tjs un pb pour le multiport ; sur 1 port c'est ok mais pas de prise en compte sur 2 ports : iptables -nvL ---------------- 0 0 ACCEPT tcp -- enp1s0 * 0.0.0.0/0 192.168.182.120 multiport dports 1194,55022 0 0 ACCEPT tcp -- * enp1s0 192.168.182.120 0.0.0.0/0 multiport sports 1194,55022 ------------- ### mais après j'ai .... iptables -nvL -t nat --------------- 7 420 DNAT tcp -- enp1s0 * 0.0.0.0/0 10.0.3.140 multiport dports 1194,55022 to:192.168.182.120:1194 -----------------

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-08 17:39	[forum:491763]
Hello, Merci Rexy!! j'ai modifié aussi mv /root/alcasar-3.5.4/conf/etc/alcasar-iptables-local.sh /usr/local/etc/alcasar-iptables-local.sh puis j'ai remis mes modif perso et ça a marché ... :-)

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Richard REY (Rexy) on 2021-12-07 23:02	[forum:491750] alcasar-iptables-local.sh (6) downloads
Bonsoir Laurent, Comme tu réalises pas mal de mises à jour, tu dois rester sur les versions historiques de tes fichiers de conf. À titre d'exemple, je te joins la dernière version du fichier "/usr/local/etc/alcasar-iptables-local.sh".

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-04 09:34

[forum:491737]

Pour rappel, voici les règles qui marchaient avant : #VPN Dongle m_ports=1194 to_ipVPN=192.168.142.120 #--> équipement interne écoutant pour le VPN $IPTABLES -A PREROUTING -i $EXTIF -t nat -p udp -d $PUBLIC_IP --dport 1194 -j DNAT --to $to_ipVPN:1194 $IPTABLES -A FORWARD -i $EXTIF -p udp -d $to_ipVPN -m multiport --dports $m_ports -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p udp -s $to_ipVPN -m multiport --sports $m_ports -j ACCEPT #############

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-12-04 09:33

[forum:491736]

Hello, Bon plusieurs points : - l'accès à l'équipement en externe de marche pas ; si je déclare le service 55022, je peux joindre l'équipement depuis le serveur alcasar mais si je suis devant le serveur Alcasar, je n'arrive pas à l'équipement ; ça ne traverse pas le serveur alors que d'après iptables -nvL les ports sont bien ouverts vers l'équipement . - là je remarque 2 points: l'accès à l'ACC depuis le Lan ne fonctionne plus (pourtant l'option est activé dans le fichier nano /usr/local/etc/alcasar-iptables-local.sh ) ; et surtout j'avais mis un VPN sur le Lan qui était joint depuis l'extérieur et là ça ne fonctionne plus !!! (vieux post qui en parle) C'est très embêtant, je pense que c'est depuis la dernière version que ça bloque ...

RE: Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-11-28 16:39	[forum:491704]
c'est un peu en lien avec : https://adullact.net/forum/message.php?msg_id=488799&group_id=450

Administration équipement derrière Alcasar - Iptable [ Répondre ] Par : Laurent roux on 2021-11-28 16:39

[forum:491703]

Hello, Je cherche à mettre un raspberry derrière Alcsar (en mode bridge -tap) comme ça je pourrais administrer les équipements dans le LAN plus facilement (la façon mis dans la doc d'exploitation ne marche pas très bien) ... Bref, j'essaie de joindre mon équipement selon les règles suivantes : nano /usr/local/etc/alcasar-iptables-local.sh #VPN Dongle ext_ports='1194,44022' int_ports='1194,22' to_ipVPN=192.168.182.120 #--> équipement interne écoutant pour le VPN #$ $IPTABLES -A PREROUTING -i $EXTIF -t nat -p tcp -d $PUBLIC_IP -m multiport --dports $ext_ports -j DNAT --to $to_ipVPN:$int_ports $IPTABLES -A FORWARD -i $EXTIF -p tcp -d $to_ipVPN -m multiport --dports $int_ports -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p tcp -s $to_ipVPN -m multiport --sports $ext_ports -j ACCEPT mais celà ne marche pas ... pourtant avec les commandes, les ports sont ouverts : iptables -nvL -t nat iptables -nvL et j'ai mis les règles de NAT dans la box (port 1194 et 44022 redirigés vers le NAC) les raspberry est tjs en port d'écoute 22 pour le ssh ... J'ai testé avec des règles plus simples (j'ai changé le port ssh d'écoute) : #VPN Dongle m_ports=55022 to_ipVPN=192.168.182.120 #--> équipement interne écoutant pour le VPN $IPTABLES -A PREROUTING -i $EXTIF -t nat -p udp -d $PUBLIC_IP --dport $m_ports -j DNAT --to $to_ipVPN:$m_ports $IPTABLES -A FORWARD -i $EXTIF -p udp -d $to_ipVPN -m multiport --dports $m_ports -j ACCEPT $IPTABLES -A FORWARD -o $EXTIF -p udp -s $to_ipVPN -m multiport --sports $m_ports -j ACCEPT et idem pour le NAT mais celà ne marche toujours. J'ai testé avec le ssh uniquement - pour commencer ... Une idée ? Merci