Salut à tous !
J'ai un problème très casse-tête sur une MNF 8.2 qui tourne en prod depuis un an sur un gros site (plus de 800 postes, une cinquantaine de serveurs et tout ça réparti sur une dizaine de VLAN gérés par des switches).
La conf physique du firewall est des plus simples : 3 cartes réseau : le WAN pour Internet, une DMZ et le LAN.
Les tables de routage fonctionnent, chaque sous réseau (VLAN sur les switch) accède correctement au net.
Les VPN fonctionnent.
Les serveurs en DMZ sont joignables depuis le Net tout comme depuis chaque VLAN.
Il y a quelque jours ont m'a demandé de mapper un port en entré vers le port ssh d'une machine située sur un des VLAN et non pas sur le LAN directement connecté au firewall sur sa carte LAN. Et là impossible, je n'y arrive pas, j'ai beau lire toute la doc de la MNF, celle de Shorewall, j'ai essayé toutes les commandes en mode ACCEPT, REDIRECT ou DNAT rien ne passe, le firewall refuse toujours par la régle "wan 2 all drop".
Je précise que j'ai d'autres mappages de port en entrée sur des ports ssh de machines situées sur le LAN et là tout se passe très bien, donc ce n'est pas une erreur de frappe de ma part.
Je pense que c'est un bug lié à la version de shorewall utilisée dans la MNF 8.2 le problème c'est que cette version n'est plus supportée par le créateur de Shorewall donc il ne m'aide pas... Pas cool le gars masi bon c'est normal, je me mets à sa place.
Pour ceux que ce problème titille, voici un shéma de ce que je veux faire :
INTERNET-----|Eth1-WAN|[FW MNF8.2]|Eth0-LAN|---------LAN---------|switch|--------VLAN01 à VLAN10-----|port SSH d'un hote sur VLAN01 que je veux joindre depuis Internet|----
Je mets des lignes du type :
DNAT (ou ACCEPT ou REDIRECT) source : INTERNET destination : VLAN01:192.168.0.1:22 TCP 45500
(45500 c'est le port que je souhaite par exemple utiliser depuis l'extérieur et le mapper vers le port SSH de mon hôte interne sur le VLAN01, IP 192.168.0.1 port 22, je précise que tout ça marche très bien si les hôtes sont sur le LAN directement connecté au firewal. Je précise aussi que les tables de routage sont toutes ok ; je peux pinguer mon hôte depuis le firewall et il peut aller sur le Net à travers mon firewall).
Voilà le challenge de ce samedi
@+