Routage port a port ?

[Seumeneur]

Bonjour,

Une petite question, est ce que IPcop possède un service de routage port a port ? Mici !

@++

[HaM]

Je ne vois pas bien de quoi tu veux parler mais je pense que cela a un rapport avec le NAT (network adress translation) non

[startx25]

le PAT plutôt (port adress translation)

[micjack]

le PAT plutôt (port adress translation)

C'est exactement cela, faire du PAT, mais ché pas si IPCop connait cela

Avis aux IPCopiens...

[HaM]

IpCop fait les deux en fait.
Puisqu'il permet de changer l'adresse IP de destination mais aussi le port de déstination.
De plus en plus on associe les deux enssemble.

[Seumeneur]

Je peux donc, Ham, c' est dans le cadre des virtualsHosts; et de la liste de diffusion du RHIEN, faire router le port 81 sur le 80 ?

Plus concrètement :

J' ai plusieurs serveurs d" hébergement,sur une mm ip avec chacun un server Apache qui ecoute sur le port 80 pour un et l' autre sur le 81, des virtuals hosts sont configurés pour que toto.agellus.org atteigne un site sur le serveur qui ecoutre sur le 80 et tata.agellus.org sur le premier.

C' est pour ça que je me posais la question du routage port à port, pour ue finalement, le port 81 d' ecoute du server soit relayer sur le 80 à la sortie, et qu' en fonction des virtuals hosts...^^

Enfin bref la finalité, ce serait un ça, avoir plusieurs serveurs d' Hébergement sur une mm IP, que l' utilisateur finale n' est pas a saisir le port d" ecoute apres .......:81 ?

Voyez ce que je veux dire ? C' est un peu confug lol!

SEUMENEUR

@++

[Mister-Magoo]

A ma connaissance, les Virtuals Hosts sont justement là pour mettre plusieurs sites sur la même machine, et donc, la même IP publique/privéde et le même port

Regardes dans ma signature (tu verras un site web), 5 ou 6 sites differents sont sur le même serveur à partir de la même IP publique et sur la même machine

Donc, pourquoi faire du PAT ??

[HaM]

Ce que tu veux faire n'est pas possible puisque lorsqu'une requette arrivera du web ton routeur ne saura pas sur quel serveur la rediriger.
Mais pourquoi utiliser plusieurs serveurs, les virtuals hosts sont la pour eviter cela ?

[antolien]

Si en fait c'est possible, mais pas par ipcop.

Il suffirait de configurer apache pour qu'il soit reverse proxy.
Tout redirigé sur le premier apache, et le apache en reverse proxy redirige les requettes en fonction du nom vers l'autre serveur.

[jdh]

Si on veut résumer :

- 1 IPCOP avec 1 adresse ip qui recoit et le port 80 et le port 81

soit il y a 2 serveurs : 1 pour recevoir le 80 et 1 pour recevoir le 81 (qui peut au passage être ramené en 80).
soit il y a 1 serveur : qui recoit le 80 et le 81; et, grace à des "virtual host" de la config Apache peut rediriger sur 2 arborescences différentes
soit il y a 2 serveurs : le premier reçoit le 80 et le 81; et, grace à des "virtual host" et le "reverse-proxy" envoi l'un des ports (le 81) vers le 2ème serveur.

Il est clair que généralement on fait le choix 1 quand on a 2 serveurs et on fait le choix 2 quand on a 1 serveur.

A noter que, encore mieux, avec 1 seul serveur, grace au "virtual host" d'Apache on pourrait renvoyer sur plusieurs arborescences selon le nom DNS utilisé et ceci même si les noms DNS pointent sur la même adresse ip !

Ce qu'il faut noter c'est qu'IPCOP ne peut travailler sur le nom DNS et varier les actions en fonction, alors qu'Apache sait le faire PARCE QUE le nom DNS fait partie des requetes HTTP même si le transport par réseau se fait avec les seules adresses ip.

En fait, un navigateur qui veut faire "www.google.fr" envoie une requete "GET /; http://www.google.fr" à une machine dont l'adresse ip est celle de www.google.fr.


NB : l'appellation "PAT" est ce qui est fait avec la "MASQUERADE" sous Linux. C'est une expression assez peu usitée qu'il faut éviter. Il vaut mieux parler de NAT Source qui évitera toute incompréhension. La "MASQUERADE" Linux consiste, en effet, à transformer et l'adresse source du paquet et le n° de port source (cas de TCP et UDP) pour s'en servir pour bien envoyer le paquet retour.

[micjack]

l'appellation "PAT" est ce qui est fait avec la "MASQUERADE" sous Linux. C'est une expression assez peu usitée qu'il faut éviter. Il vaut mieux parler de NAT Source qui évitera toute incompréhension. La "MASQUERADE" Linux consiste, en effet, à transformer et l'adresse source du paquet et le n° de port source (cas de TCP et UDP) pour s'en servir pour bien envoyer le paquet retour.

Je ne le voyait pas dans ce sens la Mais tu as dans un sens raison, puisque le masquerade doit faire ce boulot, mais plutot sur l'adresse IP pas sur les ports... Le PAT par exemple est utilisé par les proxy Socks 4 et 5, c'est le seul moyen de faire passer un port de toute nature au travers d'un port unique .. Mais bon, je suis hors sujet...

[HaM]

Il me semble que le problème est du genre:
Un IpCop qui reçois sur le 80 et redirige soit sur le serveur 1 en 80 soit sur le serveur 2 en 81.
Si j'ai bien compris ...

[antolien]

l'appellation "PAT" est ce qui est fait avec la "MASQUERADE" sous Linux. C'est une expression assez peu usitée qu'il faut éviter. Il vaut mieux parler de NAT Source qui évitera toute incompréhension. La "MASQUERADE" Linux consiste, en effet, à transformer et l'adresse source du paquet et le n° de port source (cas de TCP et UDP) pour s'en servir pour bien envoyer le paquet retour.

Je ne le voyait pas dans ce sens la Mais tu as dans un sens raison, puisque le masquerade doit faire ce boulot, mais plutot sur l'adresse IP pas sur les ports... Le PAT par exemple est utilisé par les proxy Socks 4 et 5, c'est le seul moyen de faire passer un port de toute nature au travers d'un port unique .. Mais bon, je suis hors sujet...

Euh, PAT c'est Port address Translation,
et correspond plutôt à du DNAT (Nat destination), soit la redirection de port sur ipcop.
cad que les paquets à destination de l'ip publique avec le port de destination spécifié génerera une règle dans la table NAT en prerouting en DNAT, exemple:
iptables -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.3:81

Le Masquerading correspond plutôt au NAT (Network Address Translation) cad qu'il transforme toutes les ip source du réseau avec l'ip publique du routeur.

Par ailleurs Seumeneur, au niveau des dns, il faut faire attention de ne pas spécifier une adresse ip privé surtout pour un enregistrement "ns" (dhcp.centre)

Il y a un gros pb sur la gestion de ta zone, ton SOA ne répond pas, le deuxième ns est une ip privée, et par miracle ns6.gandi.net répond sur ta zone alors qu'elle n'est pas listée dans les ns...

Désolé d'etre curieux

[micjack]

Euh, PAT c'est Port address Translation, ...Le Masquerading correspond plutôt au NAT

C'est ce que disais plus ou moins, en donnant l'exemple avec un proxy Socks 4/5, qui permet à certains softs derriere un Firewall/proxy cache de changer de port dynamiquement, relatif au transfert de port et non pas sur une adresse IP NAT.

[Seumeneur]

Ham, tu as raison, en fait je voudrais que a partir d' un nom DNS, sur le port 80; ipcop puisse rédiriger sur l' un des deux serveurs,

Pour mon DNS, c' est très certainement mal gérér, mais je l' utiliser pour résoudre ds ip local et o ippublique

@+

SEUMENEUR