IP Publique comme Ip Source

[elpigouillo]

Bonjour,

J'ai un FireWall Ipcop à jour 1.4.10.
Entre lui (sur l'interface red) et mon routeur opérateur le sous réseau privé 10.10.10.0/24
avec 10.10.10.1 pour le routeur
10.10.10.2 pour le firewall.

Je rajoute l'ip publique en alias xxx.xxx.xxx.xxx/32.

- Impossible de mettre le masque /32 il prend le même que le sous réseau privé /24.

Après modification en ligne de commande du masque, ok.

Dans cette configuration impossible de pinger internet car mon adresse d'expédition est 10.10.10.2 !!
Donc elle ne sort part du réseau opérateur.

Si je fais un ping étendu sur internet en spécifiant l'adresse publique comme source tout est Ok.

Comment faire pour avoir comme IP source mon adresse Ip publique?

Nb j'ai essayé de mettre mon ip publique comme adresse de la carte en eth1 puis 10.10.10.2 comme
alias mais là impossible de sortir du sous réseau 10.10.10.0/24.

Quelqu'un peut m'aider car là je galère sec !!!

Merci d'avance.

[elpigouillo]

Bonjour,

Je me répond en parti, mais je n'ai pas la solution complète ...

Pour modifier l'adresse source d'expédition sur l'interface RED.

iptables -t nat -A POSTROUTING -o RED_DEV -j SNAT --to '@Ip public'

Cette solution fonctionne (Hors ipcop) sur une red hat perso.

Je fais ceci dans rc.firewall.local mais pas de changement.
Il semble que cette règle arrive peut-être un peut tard.

Quelqu'un à une solution ?

Merci d'avance de me répondre.

EP

[elpigouillo]

Re...

Voici mes modifications

dans rc.firewall mettre en commentaire :

# Outgoing masquerading
#/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE

Rajouter dans rc.firewall.local dans start

/sbin/iptables -t nat -A CUSTOMPOSTROUTING -o eth1 -j SNAT --to "@Ip Publique"
Nb: eth1 = RED card


Bon là tout va bien je surf sur internet, ENFIN !.
Mais impossible maintenant d'accéder depuis l'extérieur sur le port 25 pour mon serveur de mail.
Même en rajoutant dans rc.firewall.local la ligne

/sbin/iptables -t nat -A PREROUTING -o eth1 -j DNAT --to 10.10.10.2

Quelqu'un peut me répondre SVP, je me sent seul.

[Franck78]

Ou la belle usine à gaz qui se prépare....

je suis derrière un routeur (connecté à internet) avec une ip privée (10.0.0.x) mais je veux quand même piquer l'ip publique du routeur. Sans le prévenir bien entendu (usupateur va). Alors les réponses, (destinataire=ip publique), c'est pour qui? Le routeur (possesseur légitime) ou l'autre(moi).....? Ah tient, mon pote aussi sur le réseau privé fait pareil. Trois machines prétendant utiliser l'IP publique....
Ben ca marche pas.

Soit le routeur principal (avec l'IP publique) permet aux autres d'aller sur internet ET IL REGLE LE PROBLEME AVEC LE NAT: milliers de config décrivant ce cas.


Soit c'est pas activé: pas de solution

mots clés: NAT ou MASQUERADE ou MASQUERADING


bye

[elpigouillo]

Bon,

Tout d'abord merci à Franck pour sa réponse, moi aussi je croyais me diriger sur une usine à gaz, mais il n'en ait rien.
Et puis je n'usurpe pas l'IP publique du routeur opérateur car elle est destinée à ipcop !

Rappel

IpCop 1.4.10

Green
-------
Orange
Red (10.10.10.2/24)
+ Alias IP Red avec IP Publique.

Routeur
---------
Adresse 10.10.10.1/24
+ Adresse IP publique routée dans ce sous réseau.

Etapes:
--------
1) Ajouter l'alias IP de l'IP Publique via l'interface Web
2) Modifier dans les règles de transfert de ports "default IP" par celle de l'alias de l'IP publique!!!!
3) Modifier le script /etc/rc.d/rc.firewall en commentant la ligne suivante
# Outgoing masquerading
#/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE
4) Rajouter dans rc.firewall.local dans start
/sbin/iptables -t nat -A CUSTOMPOSTROUTING -o eth1 -j SNAT --to "@Ip Publique"
Nb avec: eth1 = RED card
5) un petit reboot ou autre pour prendre en compte les modifications du firewall et du réseau

Voilà 2 jours de galères pour un changement d'opérateur !
Si vous avez des remarques ....

Merci Frank.

EP

[m2nis]

Si vous avez des remarques ....

Je ne comprends pas bien l'intérêt de tout ça. Un bon modem (ou un modem/routeur en mode modem) et Ipcop récupère tout naturellement l'ip publique sur son interface red. Auriez-vous un routeur non paramétrable en bridge ou une autre exception que je ne connais pas?

[elpigouillo]

Notre nouvel opérateur est Completel et leur configuration de base est vraiment de base,
du moins pour les services que nous avons prit !

Leur routeur communique avec le firewall sur le sous réseau privé 10.10.10.0/24 et forward l'ip publique.
Notre soucis était que l'émission des paquets IP se faisait avec comme ip source 10.10.10.2 et non l'adresse IP publique (Il ne fait pas de nat tranparent dans leur configuration).

Voilà les raisons des mes recherches sur du nat avec Ip cop.

Mais j'ai cru voir dans des posts que la version 1.5 prendrait celà en compte ?

[Franck78]

config de base ou pas, j'ai du mal à comprendre un tel montage.

Entre IPCop et routeur: adressage privé, OK
et aussi
entre IPCop et routeur une IP publique...

C'est loin d'être une config standart. Qu'a la limite le routeur completel te transfère directement ton 'IP publique attribuée' en 10.quelquechose, pourquoi pas. C'est un peu le mode dmz des routeurs genre olitec sx200. Mais il devrait aussi le faire pour ce qui sort (et pas toi).

Ca serait pas mal de publier leurs 'contraintes/explications'

[m2nis]

Notre nouvel opérateur est Completel et leur configuration de base est vraiment de base,

Ca n'est pas un soucis si vous pouvez intervenir sur le routeur pour le configurer comme il faut ou si vous pouvez remplacer leur routeur par un autre configuré comme il faut.

S'il s'agit bien d'un service "de base", c'est à dire un simple accès adsl, il n'y a normalement aucun problème. J'utilise moi-même un accès Complétel "indirect" et tout fonctionne sans soucis avec un routeur Speedtouch d'origine... Wanadoo (si si, il est ancien ).

[jdh]

Ah bon ? ce que je pratique depuis plusieurs années ne serait pas vrai ? on peut mettre n'importe quelle adresse dans n'importe quel réseau ? ça fonctionne ?

Non mais c'est quoi ce genre de question ?

Le réseau entre le routeur et l'IPCOP est un réseau privé (en 10.). Quoi de plus normal ? Pourquoi y aurait-il présent une adresse qui n'est pas dans ce réseau, et ... qui n'a rien à y faire ?

L'adresse publique du routeur (du côté Internet) n'est que là, un point c'est tout.

Que fait le routeur ? Il fait D'ABORD de la translation d'adresses (NAT=network address translation). Et d'ailleurs s'il ne le faisait pas cela ne pourrait pas fonctionner : les paquets comportants des adresses privés sont INTERDITS sur Internet !

Ce que tu veux faire, n'est surement pas cette idiotie ! Ce que tu veux c'est que le traffic arrivant à l'adresse publique soit transféré à l'IPCOP. Cela s'appelle du transfert de port, et c'est facile à faire avec un minimum de connaissance et du paramétrage de ce routeur ... ce que sais largement faire l'opérateur ... si on lui demande.

Donc merci de regarder, lire et digerer ce qu'écrit Christian Caleca ...

[elpigouillo]

Bonjour,

J'aurai aimer que le routeur fasse également la translation d'adresse du 10.10.10.10.2 en IP Publique pour tout ce qui sort.
Mais selon le chef de projet cela ne fait pas parti de leur configuration standard et le routeur seuls eux peuvent y toucher, alors ...

Pour ce qui ait d'avoir plusieurs IP sur une même carte voir plusieur sous-réseau, se sont les alias IP
cela fonctionne très bien d'avoir plusieurs sous réseau sur une même carte c'est une question de routage
à moins que je ne me trompe ?!!
Je ne suis pas ingénieur réseau, mais bon il faut bien se débrouiller quand même.

EP

[elpigouillo]

Nb : le routeur ne transforme pas l'adresse IP publique en 10.10.10.2 il la transfert directement sur le réseau privé avec l'Ip publique.

[jdh]

Mais le routeur fait cette translation dont tu parles !!! (10.10.10.2 vers ip publique)

1er cas : IPCOP initie un traffic :

a- L'adresse source est 10.10.10.2, l'adresse destination est sur Internet => IPCOP décide de passer par le routeur (10.10.10.1).
b- le routeur reçoit le paquet et observe que l'adresse source n'est pas OK pour internet => il change donc l'adresse source par sa propre adresse publique.
c- le paquet arrive à destination, le serveur décide de répondre et envoie un paquet retour à l'adresse du routeur.
d- le routeur observe qu'il s'agit d'un paquet retour => il change la destination en 10.10.10.2 et transfère à l'IPCOP.

et ainsi de suite ...

2me cas : un serveur sur Internet initie le traffic :

a- un paquet arrive à l'adresse publique du routeur MAIS le routeur SANS règle de forwarding ne sait pas ce qu'il doit faire de ce paquet.


Je pense avoir expliqué clairement ce qu'il se passe (sans doute moins clairement que Christian CALECA cf son site).


Maintenant tu peux faire des alias (qui existent bien) autant que tu veux. En aucun cas, le routeur ne va transmettre un paquet avec, comme destination, une adresse publique sur l'interface interne ... parce cette interface est en 10.10.10.x, c'est très clair.

Faire des alias c'est par exemple pour avoir plusieurs adresses sur le même réseau. Par exemple le FAI fournit un routeur et des adresses publiques au dela du routeur, et par exemple un masque /29, c'est à dire 5 adresses réelles (en sus du routeur). le firewall malgré le seul câble croisé vers le routeur peut présenter, grace aux alias, non plus une mais 2 et jusqu'à 5 adresses ip.

Il est possible que le fournisseur a déjà configuré le forwarding ...
Quand à "le routeur transfert directement sur le réseau privé", c'est un pur non-sens ...



On ne pourra pas dire que j'ai pas été patient ni essayé d'être pédagogue ...

[elpigouillo]

Mais non !
Le routeur ne fait pas la translation d'adresse 10.10.10.2 vers IP publique, car après analyse des traces chez l'opérateur on a vu que les paquets emis par IPcop en 10.10.10.2 étaient routée au delà du routeur en 10.10.10.2 et non avec l'adresse IP publique, donc impossible de sortir.

C'est la raison pour laquelle j'ai du changer les adresses sources d'IpCop en RED en mettant l'IP publique pour pouvoir sortir sur internet.

Maintenant leur configuration n'est peut être pas géniale mais c'est celle qu'ils me proposent, et sortir de leur configuration standard (à eux) .....
De plus je n'ai aucun moyen d'administrer leur routeur, ils ne veulent pas.

Voilà j'espère avoir compris et été clair.

EP

[Franck78]

et bien de change de prestataire parceque ce que tu dis, c'est qu'ils sont capable de te lier avec un réseau (le leur?) privé, sans possibilité de sortir à l'extérieur. Utilité: quasi zéro nulle. Tu pourrais avoir en effet un autre site sur ce réseau privé.

Et si dans leur description technique cela n'apparait pas, c'est clairement qu'il a incompréhension totale quelquepart.


Sur l'affectation d'une IP supplémentaires: tu peux bien sur t'attribuer toutes les IP publiques imaginables. C'est pas pour autant que tu recevras une réponse sur cette IP. Tu n'es pas ingénieur réseau dis-tu. Alors je te conseille vivement un petit tour chez
http://christian.caleca.free.fr pour voir de quoi il en retourne. Chapitre routage/réseau.

Ne persiste pas à placer l'IP publique du FAI à la place de ton IP privée (de RED) , c'est simplement pas la solution.