routage multi-carte / multi subnets

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

routage multi-carte / multi subnets

Messagepar jm_special_newsgroups » 16 Juil 2006 23:38

Bonjour,

j'ai un probleme de routage dans une configuration un peu particuliere dont voici le schema:


- FAI1 ------|
Routeur LINUX ------ Passerelle AV ------ Reseau interne
- FAI2 ------|


Sur le reseau interne,passerelle pas défaut = Passerelle AV, reseau= 192.168.1.0

Sur Passerelle AV, passerelle par defaut = Routeur LINUX, reseau= 192.168.2.0

Sur Routeur LINUX, 3 cartes réseau :
- ETH0 sur FAI1 (en connexion ppp, adresse fournie par le FAI)
- ETH1 sur FAI2 (adresse via DHCP du FAI)
- ETH2 vers Passerelle AV

J'utilise 3 tables de routage :
- table ETH0, def via ppp0, 192.168.1.0 dev ETH2, 192.168.2.0 dev ETH2 via Passerelle AV
- table ETH1, def via ETH1, 192.168.1.0 dev ETH2, 192.168.2.0 dev ETH2 via Passerelle AV
- table MAIN, def via ppp0, 192.168.1.0 dev ETH2, 192.168.2.0 dev ETH2 via Passerelle AV

J'utilise Shorewall et les commandes DNAT pour permettre l'accès aux serveurs depuis Internet

Lorsque j'essaie d'acceder aux machines depuis Internet via le FAI1, tout fonctionne parfaitement.
Par contre, lorsque je fais le meme essai via le FAI2, j'ai le message "martian source 192.168.1.5 from 'Ads ETH1' on dev ETH1

par contre, l'accès au routeur LINUX via FAI1 et FAI2 fonctionne correctement (je n'attaque pas le reseau 192.168.1.0 dans ce cas)

ip_forwarding est à 1
le masquerading est activé sur l'interface ETH2

je me suis très largement inspiré de l'article suivant : http://www.supinfo-projects.com/fr/2005/multi%5Fnet%5Flinux/2/

Ou est mon erreur ?
jm_special_newsgroups
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juil 2006 22:59

Messagepar Methos_Hi » 17 Juil 2006 21:22

Je comprends pas tes 3 tables de routage.
Martian source, c'est qu'il ne connait pas la route pour le paquet de retour.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar jm_special_newsgroups » 18 Juil 2006 19:35

Voici le script que j'utilise pour les routes (après que ppp0 soit monté):


#Px = passerelle par defaut pour l'interface
#IPx = adresse de la carte
#Px_NET = adresse du reseau
#IFx = interface du routeur
#Tx = nom logique pour la table de routage

P1=81.36.132.254
IP1=81.36.132.166
P1_NET=81.36.132.0
IF1=eth2
T1=free

P2=193.253.160.3
IP2=193.253.93.58
P2_NET=193.253.160.0
IF2=ppp0
T2=wanadoo

P0=192.168.1.2
IP0=192.168.1.126
P0_NET=192.168.1.0/24
IF0=eth1
T0=local

#5=reseau interne
P5_NET=192.168.2.0/24

ip route flush table $T1
ip route flush table $T2
ip route add default via $P1 table $T1
ip route add default via $P2 table $T2
ip route add $P1_NET dev $IF1 src $IP1 table $T1
ip route add $P2_NET dev $IF2 src $IP2 table $T2
ip route add $P0_NET dev $IF0 table $T1
ip route add $P5_NET via $IP0 table $T1
ip route add 127.0.0.0/8 dev lo table $T1
ip route add $P0_NET dev $IF0 table $T2
ip route add $P5_NET via $IP0 table $T2
ip route add 127.0.0.0/8 dev lo table $T2

ip rule flush
ip rule add pref 32766 table main
ip rule add from $IP1 pref 100 table $T1
ip rule add from $IP2 pref 200 table $T2

ip route del default
ip route add default via $IP2 table main
ip route flush cache
jm_special_newsgroups
Matelot
Matelot
 
Messages: 5
Inscrit le: 16 Juil 2006 22:59


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité