IPCOP et plusieurs IP publiques

[ririgru]

Bonjour,

Sur IPCOP, j'ai déclaré plusieurs adresses publiques, correspondant en local à des serveurs en production. Je n'ai ouvert que les ports nécessaires pour pouvoir atteindre les services hébergés sur ces serveurs.

J'ai notamment un serveur de messagerie, que dispose d'une déclaration DNS reverse. Or, l'adresse IP publique principale de l'IPCOP n'est pas celle correspondant à la déclaration dans le reverse.

Du coup, mes messages partent avec une adresse IP publique ne correspondant pas à la déclaration DNS reverse, ce qui me pose un souci vis-à-vis de certains serveurs SMTP, qui, avant d'accepter les courriers, vérifient que les reverses des SMTP sources.

Comment faire en sorte que l'IPCOP fasse correspondre l'adresse IP locale de mon serveur, à l'adresse IP publique correspondant à la déclaration reverse ?

Merci pour vos réponses,

Eric

[sioca]

Tu as utilisé le lan ou la dmz ?

[SNORK]

J'ai été confronté au même problème. Je n'ai pas trouvé d'autre solution que de de faire correspondre "L'adresse IP par défaut" avec celle que j'ai attribué au serveur de mail. Tous ce qui sort d'IPCOP est signé de l'adresse par défaut.

[ririgru]

J'ai utilisé le LAN...

[SNORK]

J'ai utilisé le LAN...

Pour ce problème, cela n'a aucune importance....

[sioca]

J'ai utilisé le LAN...

Pour ce problème, cela n'a aucune importance....

Je pensais qu'il n'y avait pas de nat sur l'orange...

[antolien]

Ce qui est dommage, c'est bien la gestion des dmz et du NAT sur ipcop.
En effet on a pas le droit d'avoir une vraie dmz publique; ce qui limite vraiment l'exploitation en environnement semi-pro/pro.

M'enfin passons; pour obtenir ce que tu souhaites, il faudrait ajouter du SNAT au lieu de laisser seul le DNAT(limité simplement au masquerading j'imagine).

Après il y en a qui préfèrent la transformation de paquets, d'autres (comme moi) préfèrent router simplement les plages ip publiques sans nat.
Je ne vois vraiment pas en quoi NAter une ip publique cela ajoute de la sécurité.

Pour résoudre le problème, iptables, google, et comme d'habitude la remarque c'est qu'ipcop n'est pas le plus indiqué pour ce genre de choses.

Un jour où l'autre il faut bien maitriser le réseau, et ipcop n'est pas ce qu'on appelle la référence en ce qui concerne la modularité.

[jdh]

Je confirme ce qu'écrit antolien.

Ton pb est de disposer de plusieurs serveurs en DMZ devant émettre avec une adresse différente de l'adresse externe "primaire" du frewall. Cela s'appelle du SNAT (=Source NAT).

Le Masquerading est un Source NAT de base : le firewall change l'adresse "source" des paquets venant des PC internes en utilisant sa propre adresse externe. Et il faut bien le faire puisque les PC utilisent une adresse privée ne pouvant pas circuler sur Internet. Le défaut c'est que c'est la méthode usuelle de fonctionnement d'Iptables. A noter que le problème ne se présente uniquement dans le cas où un PC initie une session TCP car le module IPConnTrack veille au grain.

Si un serveur mail reçoit un mail avec une connection entrante avec l'adresse différente de celle principale du fw, cela fonctionnera parfaitement bien. En effet le firewall fera la bonne transformation d'adresse source sur les paquets sortants de la session.

Le firewall que j'utilise, à savoir Shorewall, permet facilement de faire cela. En fait il s'agit d'un générateur de "script" iptables. Et il génère les bonnes lignes, c'est à dire les instructions genre :

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 (avant la traditionnelle :

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

La documentation Iptables indique même que la Masquerade est destiné aux adresses dynamiques interne !

Le DNAT est bien sur la faculté inverse : changement de l'adresse destination. Le client débute une session avec une adresse ip côté externe du firewall. Puis le firewall transmet à la vraie destination en remplacant l'adresse destination par celle interne de cette machine.

J'ignore comment IPCOP permet de mettre en place cela.

[t2net]

SI je me rappelle bien j'ai fait ça très simplement

il suffit de créer des ALIAS (onglet réseau), un pour chaque adresse publique puis un petit coup de transfert de port (Alias rouge vers adresse(s) serveur(s) DMZ) et le tour est joué !

[t2net]

Oups, j'ai peut être répondu à coté de la plaque, désolé !

[leso]

JDH ou antolien > Y'a surement moyen de rajouter cette fonctionnalité a la main dans ipcop?

[antolien]

JDH ou antolien > Y'a surement moyen de rajouter cette fonctionnalité a la main dans ipcop?

Biensûr, en 1 ligne

iptables -t nat -A POSTROUTING -o IFRED -s @ip_serveur -j SNAT --to-source @ip_publique

Tout le traffic sortant avec ip source le serveur , sera transformée par l'ip publique.

Je suppose qu'on peut l'ajouter dans le rc.firewall.local

[Franck78]

hello,
C'est un problème soulevé il y a quelques temps déjà. Sur la liste devel ipcop.
Gesp, spécialiste Marc, retrouvera sans doute l'endroit ou 'tout' se trouve.

En attendant, un des messages:

Le Jeudi 16 Septembre 2004 09:05, Mark Wormgoor a écrit :
> Hi,
>
> This whole discussion means that we want to have 1:1 NAT in the GUI. It's
> not there and we don't support it for 1.4. If you want it, hack around.
> But this is a major change and should not go into 1.4.
>
> Kind regards,
>
> Mark


Hello,
I think a solution could satisfy everybody

1) Modify rc.firewall to reorder POSTROUTING.

This is no great change and finishing with -J MASQUERADE as final rule is
better (at least for me).

# will be linked las in POSTROUTING
/sbin/iptables -t nat -N REDNAT
...
...
# Custom postrouting chain (for port forwarding)
/sbin/iptables -t nat -N POSTPORTFW
/sbin/iptables -t nat -A POSTROUTING -j POSTPORTFW
# Final Read masquerading !
/sbin/iptables -t nat -A POSTROUTING -j REDNAT

2) Compiling two/three version of setportfw.c
The classic version without anything

and an extended setportw.c
#IFDEF WITH_READALIASOUTGOING
... the lines inserting the -SNAT
#ENDIF

A good paragraph of explanation in Ipcop documentation
explaining the purpose of this modified setportfw.c
and how to use it.

Et les modifs dans portforward.c

Re: [IPCop-devel]
ipcop-devel@lists.sourceforge.net
Date :
15/09/2004 22:17

char *ctr;
/* If locport contains a - we need to change it to a : */
if ((ctr = strchr(locport, '-')) != NULL) {*ctr = ':';}
/* If remport contains a : we need to change it to a - */
if ((ctr = strchr(remport,':')) != NULL){*ctr = '-';}
snprintf(command, STRING_SIZE - 1, "/sbin/iptables -t nat -A PORTFW -p %s
-d %s --dport %s -j DNAT --to %s:%s", protocol, srcip, locport, remip,
remport);
safe_system(command);
/* Now if remport contains a - we need to change it to a : */
if ((ctr = strchr(remport,'-')) != NULL){*ctr = ':';}
snprintf(command, STRING_SIZE - 1, "/sbin/iptables -t nat -A POSTPORTFW -p %s
-s %s/%s -d %s --dport %s -j SNAT --to-source %s", protocol, greenip,
greenmask, remip, remport, greenip);

/* alias used if srcip is not RED (locip) => SNAT this machine */
if (strcmp (srcip,locip)) {
safe_system(command);
snprintf(command, STRING_SIZE - 1, "/sbin/iptables -t nat -A POSTPORTFW -p
%s -s %s --dport %s -o %s -j SNAT --to-source %s", protocol, remip, locport,
iface, srcip);
}

C'est à tester bien sur pour les impatients, mais sera inclut dans la 1.5....

bye

[leso]

la 1.5 si elle est pas buguée a sa sortie devrait être une trés bonne cuvée !

[odimenokyo]

Bonjour,

Cela va faire quelque temps que je joue avec IPCOP, depuis la version 1.4.0....

Je tiens à vous rassurer, j'ai longtemp cherché avant de poser ma question, alor évitez les réponses de type :" déja vu... déja posté.....cherche avec le moteur de recherche......".

J'aimerai simplement savoir si il existe un tuto ou un howto pour configurer un IPCOP à recvoir plusieur adresse IP PUBLIC fournient par un provider, si il y a une technique particulière...
Exemple pour mes besoins: 1 adresse IP Public pour Internet, et 4 adresses IP Public pour 4 serveurs.

J'ai pu avoir qq infos en recherchant sur : IP ALIASING, mais dans la dernière version de IPCOP (1.4.6) je vois pas au niveau GUI.

Qui aurai la gentillesse de me diriger vers la réussite ou me faire avancer ?

Merci à tous pour vos réponses

ODIMENOKYO