Changes between Version 29 and Version 30 of Documentation/Fr/Administrateur/Installer/DediboxVserver

Timestamp:

08/10/08 10:37:24 (5 years ago)

Author:

anonyme

Comment:

--

Documentation/Fr/Administrateur/Installer/DediboxVserver

@@ -15 +15 @@
 [[Image(principe.png)]]
 Le principe est de gérer les différents ports ouverts sur l'ip publique de la dedibox et de les diriger avec netfilter vers les vservers comme s'il s'agissait d'un réseau local avec plusieurs serveur distinct. La nuance réside dans le fait que le routage n'est pas activé, au niveau du noyau c'est uniquement par réécriture d'adresses que les vservers repondent.
-Un exemple de script iptables que je lance au démarrage de ma dedibox.
+Un exemple de script iptables qui fait ce travail
 {{{
 #!/bin/bash
@@ -21 +21 @@
 ROUTE="/sbin/route";
 LAN="192.168.1.0/24";
-LAN_GW="192.168.1.254";
+LAN_GW="192.168.1.254"; # Vous devez créer une interface eth0:0 ayant l'adresse ip 192.168.1.254 qui servira de "passerelle"
 WAN_GW="88.191.11.1";
 WAN_IFACE="eth0";
 WAN_IP="88.191.11.109";
 ALTERNC_HOST="192.168.1.1";
-SVN_HOST="192.168.1.2";
-WIFIDOG_HOST="192.168.1.3";
-LECANNET="xxx.xxx.xxx.xxx"; # Mon adress ip à la maison
 
 # Flushing tables
@@ -41 +38 @@
 # Define standard fw rules
 $IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22 -m state --state NEW -s $LECANNET
+$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22
+$IPTABLES -t nat -A POSTROUTING -o $WAN_IFACE -s $LAN -j MASQUERADE
+echo "0" > /proc/sys/net/ipv4/ip_forward
+$ROUTE add $WAN_GW gw $LAN_GW
 
-#Connexion ssh au svn
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 10022 -m state --state NEW
-#Connexion ssh au wifidog
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 10023 -m state --state NEW
-# Port Translation to alternc server
 # SMTP
 $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 25 -d $ALTERNC_HOST -m state --state NEW
 $IPTABLES -t nat -A PREROUTING -p tcp --dport 25 -i eth0 -d $WAN_IP -j DNAT --to-destination $ALTERNC_HOST:25
+
 # HTTP
 $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 80  -d $ALTERNC_HOST -m state --state NEW
 $IPTABLES -t nat -A PREROUTING -p tcp -s $LAN --dport 80 -i eth0 -j DNAT --to-destination $ALTERNC_HOST:80
-$IPTABLES -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 80 -i eth0 -j DNAT --to-destination $ALTERNC_HOST:80
+
 # FTP
 $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 21  -d $ALTERNC_HOST -m state --state NEW
 $IPTABLES -t nat -A PREROUTING -p tcp -s $LAN --dport 21 -i eth0 -j DNAT --to-destination $ALTERNC_HOST:21
-$IPTABLES -t nat -A PREROUTING -p tcp -d $WAN_IP --dport 21 -i eth0 -j DNAT --to-destination $ALTERNC_HOST:21
+
 # HTTPS
 $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 443 -d $ALTERNC_HOST -m state --state NEW
@@ -65 +61 @@
 #IMAP only internal
 $IPTABLES -A INPUT -j ACCEPT -d $ALTERNC_HOST -m state --state NEW
+
 # IMAPS
 $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 993 -d $ALTERNC_HOST -m state --state NEW
 $IPTABLES -t nat -A PREROUTING -p tcp --dport 993 -i eth0 -j DNAT --to-destination $ALTERNC_HOST:993
+
 # MYSQL only internal
 $IPTABLES -A INPUT -j ACCEPT -p tcp --dport 3306 -d $ALTERNC_HOST -m state --state NEW
+
 # DNS
 $IPTABLES -A INPUT -j ACCEPT -p udp --dport 53 -d $ALTERNC_HOST
-$IPTABLES -t nat -A PREROUTING -p udp -s ! 192.168.1.0/24 --dport 53 -d $WAN_IP -j DNAT --to-destination $ALTERNC_HOS        T:53
-# These rules are for RFC-Compliance
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 53 -d $ALTERNC_HOST
-$IPTABLES -A INPUT -j ACCEPT -p udp --dport 53 -d $ALTERNC_HOST
-$IPTABLES -t nat -A PREROUTING -p tcp -s ! 192.168.1.0/24 --dport 53 -d $WAN_IP -j DNAT --to-destination $ALTERNC_HOS        T:53
-# Access to Postgrey filter
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 60000 -d $ALTERNC_HOST
-
-# ACCES AU SVN
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22  -d $SVN_HOST -m state --state NEW
-$IPTABLES -t nat -A PREROUTING -p tcp --dport 10022 -i eth0 -j DNAT --to-destination $SVN_HOST:22
-#Acces au port 25 du svn
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 25 -d $SVN_HOST -s $SVN_HOST
-#Acces au port 80 du svn
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 80 -d $SVN_HOST -s $SVN_HOST
-
-# ACCES SSH AU WIFIDOG
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 22  -d $WIFIDOG_HOST -m state --state NEW
-$IPTABLES -t nat -A PREROUTING -p tcp --dport 10023 -i eth0 -j DNAT --to-destination $WIFIDOG_HOST:22
-# ACCES HTTP AU WIFIDOG
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 10080 -m state --state NEW
-$IPTABLES -A INPUT -j ACCEPT -p tcp --dport 80  -d $WIFIDOG_HOST -m state --state NEW
-$IPTABLES -t nat -A PREROUTING -p tcp --dport 10080 -i eth0 -j DNAT --to-destination $WIFIDOG_HOST:80
-$IPTABLES -A INPUT -j ACCEPT -p tcp -d $WIFIDOG_HOST -s $WIFIDOG_HOST
-
-#Autorisation de ping pour nagios
-$IPTABLES -A INPUT -j ACCEPT -p icmp -s $LECANNET
-$IPTABLES -A INPUT -j ACCEPT -p icmp
-
-# Activating masquerade FROM local network
-$IPTABLES -t nat -A POSTROUTING -o $WAN_IFACE -s $LAN -j MASQUERADE
-# Activating ip_forward
-echo "0" > /proc/sys/net/ipv4/ip_forward
-# Routing from local network
-$ROUTE add $WAN_GW gw $LAN_GW
-
+$IPTABLES -t nat -A PREROUTING -p udp -s ! 192.168.1.0/24 --dport 53 -d $WAN_IP -j DNAT --to-destination $ALTERNC_HOST:53
 }}}
 = Installation de la dedibox =
@@ -188 +152 @@
 }}}
 puis décommenterons les lignes dans /etc/apt/sources.list
+
 == Résolution du problème du localhost ==
 Pour résoudre le fait que le localhost pointe vers 127.0.0.1 nous éditerons le fichier /etc/hosts et remplacerons le 127.0.0.1 par l'adresse ip interne du vserver, au passage nous mettons à jour la ligne concernant l'ip publique du vserver pointant vers le fqdn de notre vserver.