Forum général.général redirection de port vers serveur MS TS

Posté par  .
Étiquettes : aucune
0
14
mar.
2008
Bonjour à tous,

nous avons depuis peu, dans notre entreprise, des cartes 3G Orange Business Everywhere qui nous permette, depuis à peu près n'importe ou, d'accéder à notre intranet.

Le problème est que tous les ports ne sont évidemment pas accessibles, et en l'occurence les ports 3389 (microsoft terminal serveur = RDP), 5900 (VNC) ou 22 (ssh pour ma machine) ne le sont pas.
Je cherche donc à utiliser ma machine (Debian Etch) comme "pont" ou proxy transparent pour rediriger le port 443 (c'est celui du https et donc normalement tout doit pouvoir y passer) vers le port 3389.

N'y connaissant vraiment rien à iptables, j'ai cherché un peu et la seule chose qui semblait correspondre était le "Transparent Proxy+Squid mini-howto".
J'ai donc essayé d'adapter les commandes de la partie 6 http://tldp.org/HOWTO/TransparentProxy-6.html mais sans succès.

Quelqu'un a-t-il une idée ?

merci d'avance
  • # juste iptable...

    Posté par  . Évalué à 1.

    sur ma machine je fais simplement

    # SQUID HTTP PROXY
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    pour dire que ce qui arrive par eth1 (mon reseau interne) à destination du port 80 doit etre renvoyé sur le port 3128

    dans la meme idée tu pourrais avoir

    iptables -t nat -A PREROUTING -i ta_carte_reseau -p tcp --dport 443 -j REDIRECT --to le_serveur --to-port 5900
    • [^] # Re: juste iptable...

      Posté par  . Évalué à 1.

      voilà ce que j'obtiens


      # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to 10.41.9.197 --to-port 3389
      iptables v1.3.6: IP address not permitted


      embêté je suis
      • [^] # Re: juste iptable...

        Posté par  . Évalué à 1.

        en meme temps je ne suis pas sur qu'on puisse rediriger vers une autre IP

        par contre tu dois pouvoir faire
        un tunnel entre ton "proxy" et la vrai machine : voir les howtos sur les tunnels SSH
        afin d'ouvrir le port 3389 et de le renvoyer vers la vrai machine
        ou
        d'ouvrir le port 443 et de le renvoyer 3389
        • [^] # Re: juste iptable...

          Posté par  . Évalué à 1.

          mais faire un tunnel ssh ne m''oblige-t-il pas à avoir un soft à la fois sur ma machine et sur le serveur destinataire ?
          j'aimerais autant si c'est possible ne pas ajouter de soft sur ce pauv' serveur windows...
      • [^] # Re: juste iptable...

        Posté par  . Évalué à 3.

        Essaye :
        iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 10.41.9.197:3389
        • [^] # Re: juste iptable...

          Posté par  . Évalué à 1.

          je viens d'essayer cela, et même si la commande passe, j'ai l'impression que rien ne se passe.
          iptables --list ne me renvoie rien.

          est-ce normal ?
  • # VPN?

    Posté par  . Évalué à 1.

    Le plus simple ne serait pas de monter un VPN (type openvpn ou vtun) sur le port 443 d'une IP, et zou?

    Apres tu routes tout le traffic dans le tunnel, et tu NAT en sortie. Plus de filtrage de port :)

    Tu peux meme te debrouiller pour router des IP publiques sur les clients.
    • [^] # Re: VPN?

      Posté par  . Évalué à 1.

      C'est sûr qu'une solution du type OpenVPN serait pas mal (je connais pas vtun, si tu as quelques liens...) mais en même temps, je cherche à simplifier le truc au maximum : si je mets un vpn en place, il va falloir que je bataille pour mettre des règles iptables adaptées, et malheureusement je suis une br*** en iptables... (mon firewall c'est openbsd et pf)...
      néanmoins, ça mérite réflexion

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.