Le Sat, 08 Jan 2011 17:02:05 +0100, Daniel Huhardeaux <no-s...@tootai.net> a écrit :
> Bonjour, > > voici le setup: > > . un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour > le serveur, 10.0.70.[11|12|...|] pour les VM. > . deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client > VPN) > > J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que sur > l'adresse 10.0.70.1 Le problème est que libvirt ne démarre pas si > cette adresse n'existe pas et comme c'est lui qui la créée en créant > le network des VM, c'est pas cool ;-) > > Ce que je voudrai: libvirtd+tls démarre en écoutant 127.0.0.1 le port > étant 16514 et iptables redirige les requêtes du port 16540 IP > 10.0.70.1 vers 127.0.0.1 J'ai donc créé les règles suivantes, sachant > que je me connecte en VPN sur le réseau serveur, forcément ;-), et > que celui ci est parfaitement fonctionnel. Voici donc ces règles: > > iptables -t nat -A PREROUTING -p tcp -d 10.0.70.1 --dport 16514 -j > DNAT --to 127.0.0.1 > iptables -A INPUT -p tcp --dport 16514 -j ACCEPT > > Sachant que mon iptables autorise lo: > > iptables -A INPUT -p all -i lo -j ACCEPT > iptables -A FORWARD -p all -i lo -j ACCEPT > iptables -A OUTPUT -p all -o lo -j ACCEPT > > les VPN > > iptables -A INPUT -p all -i tun+ -j ACCEPT > iptables -A FORWARD -p all -i tun+ -j ACCEPT > iptables -A OUTPUT -p all -o tun+ -j ACCEPT > > les VM > > iptables -A INPUT -p all -i virbr+ -j ACCEPT > iptables -A FORWARD -p all -i virbr+ -j ACCEPT > iptables -A OUTPUT -p all -o virbr+ -j ACCEPT > > Je vois bien que des packets passent par ma règle de PREROUTING mais > je ne reçois aucune réponse, rien dans la règle INPUT. > > Une idée de ce qui me manque? Merci pour toute idée > bonjour, serait il possible d'employer privoxy ? objectif : tout placer sur localhost:8118 doc ubuntuforum : # Allow privoxy to connect to DansGuardian iptables -t nat -A OUTPUT -p tcp --dport $HTTPPORT -m owner --uid-owner $PRIVOXYUSER -j ACCEPT iptables -t nat -A OUTPUT -p tcp --dport 8181 -m owner --uid-owner $PRIVOXYUSER -j ACCEPT # Redirect users who access $HTTPPORT to $PRIVOXYPORT iptables -t nat -A OUTPUT -p tcp --dport $HTTPPORT -j REDIRECT --to-ports $PRIVOXYPORT # Keep users from connecting to Squid and bypassing Dansguardian iptables -t nat -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports $PRIVOXYPORT slt bernard -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110108172804.064d8...@hamtaro