Hello, Si c’est des machines virtuelles, tu as aussi un filtre possible au niveau de l’hyperviseur dans les EBtables. j’en ai meme vu dans des swiths/AP (ubiquiti) .. a debug une galère… y’a pas qu’IPtables qui rend fou… Ebtables aussi ^^
On 25 January 2019 at 17:07:47, Kevin Thiou (kevinth...@gmail.com) wrote: Bonjour, bonsoir, depuis quelques temps je me bats avec iptables pour un accès tout con mais que je ne parviens pas à faire fonctionner. ce que je souhaite : -A FORWARD -s 172.22.0.0/24 -d 192.168.0.0/24 -j ACCEPT et le retour je vois les paquets arriver sur l'interface de la machine iptables avec un tcpdump : tcpdump -i tun4 -n host 172.22.0.101 and host 192.168.0.10 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun4, link-type RAW (Raw IP), capture size 65535 bytes 16:50:39.455349 IP 172.22.0.101.33832 > 192.168.0.10.22: Flags [S], seq 3417624197, win 29200, options [mss 1270,sackOK,TS val 2543489719 ecr 0,nop,wscale 7], length 0 16:50:40.456679 IP 172.22.0.101.33832 > 192.168.0.10.22: Flags [S], seq 3417624197, win 29200, options [mss 1270,sackOK,TS val 2543489970 ecr 0,nop,wscale 7], length 0 tous les prerouting (raw, mangle, nat) sont à accept. iptables -vL -t mangle -n Chain PREROUTING (policy ACCEPT 25G packets, 23T bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 8470M packets, 9683G bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 17G packets, 13T bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 4864M packets, 1008G bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 22G packets, 14T bytes) pkts bytes target prot opt in out source destination iptables -vL -t raw -n Chain PREROUTING (policy ACCEPT 3640K packets, 2649M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 86560 packets, 31M bytes) pkts bytes target prot opt in out source destination iptables -vL -t raw -n Chain PREROUTING (policy ACCEPT 3650K packets, 2655M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 86795 packets, 31M bytes) pkts bytes target prot opt in out source destination j'ai donc voulu tracer le paquet dans iptables vu que je n'arrive pas à l'autoriser, j'ai donc mis les lignes suivantes : iptables -S FORWARD -P FORWARD DROP -A FORWARD -s 172.22.0.0/24 -d 192.168.0.0/24 -j LOG --log-prefix HELLO -A FORWARD -s 192.168.0.0/24 -d 172.22.0.0/24 -j LOG --log-prefix HELLO et j'ai rien dans les logs. Où peuvent donc passer ces paquets ? Merci de votre aide. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
