Iptable et Masquerade

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Iptable et Masquerade

Messagepar nono78 » 20 Oct 2009 19:01

Bonjour

Est-il possible et comment mettre en place de Masquerade ou SNAT avec iptable mais pas pour certaine machine ou certain réseau en destinantion ?

J'ai en effet 2 routeurs derriere mon routeur avec iptable (1 pour internet (je n'ai pas la main dessus et l'autre pour un réseau privé)

Merci
nono78
Matelot
Matelot
 
Messages: 6
Inscrit le: 28 Jan 2005 22:15

Messagepar jdh » 20 Oct 2009 21:27

Moi yen a rien comprendre !



Si vous prenez juste une minute pour vous relire, vous devriez observez ... que c'est incompréhensible !

Alors si vous voulez une aide, prenez le temps de décrire le schéma, l'organisation, les adressages, ... Ce n'est pas qu'un exercice de présentation, c'est peut-être l'occasion de retrouver les justifications de votre schéma.

Il n'est pas banal d'avoir 3 routeurs dans son réseau ... Il doit y avoir des raisons ...

Le reste est aisé si la logique est claire ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar nono78 » 20 Oct 2009 23:50

jdh a écrit:Moi yen a rien comprendre !



Si vous prenez juste une minute pour vous relire, vous devriez observez ... que c'est incompréhensible !

Alors si vous voulez une aide, prenez le temps de décrire le schéma, l'organisation, les adressages, ... Ce n'est pas qu'un exercice de présentation, c'est peut-être l'occasion de retrouver les justifications de votre schéma.

Il n'est pas banal d'avoir 3 routeurs dans son réseau ... Il doit y avoir des raisons ...

Le reste est aisé si la logique est claire ...


C'est effectivement incompréhensible !!
Je m’explique :
Soit le schéma suivant :


Image



On fait les hypothèses suivantes :
R1 est un routeur sur lequel je ne peux pas agir (je ne peux pas modifier la table de routage et il laisse tout passer vers internet)
R2 et R3 ont accès à Internet
R2 et R3 ont 3 pattes chacun dont une connectée au routeur R1, sur les deux autres pattes on trouve 2 réseaux symbolisés sur le schéma par des PC
Les tables de routages de R2 et R3 permettent une communication entre tous les PC , ces communications se font sans SNAT

Si je veux que les PC puissent accéder à Internet, R2 et R3 doivent faire du SNAT .

Ma question est : est-il possible de configurer avec iptable le SNAT pour que le SNAT se fasse uniquement pour les communications PCs-->Internet et que les communications PC<-->PC se fassent sans translation d’adresse. ?

En espérant que tout cela soit un peu plus clair !

Merci
nono78
Matelot
Matelot
 
Messages: 6
Inscrit le: 28 Jan 2005 22:15

Messagepar jdh » 21 Oct 2009 09:09

Beau schéma (merci Visio !) qui illustre "pourquoi faire simple quand on peut faire compliqué".


J'écris ce que je comprends : chacun des 4 réseaux doit se voir directement (ping de l'un vers l'autre).


1ère idée : 1 routeur avec 4 interfaces : trop facile.

2ème idée : des routeurs seulement routeurs c'est à dire SANS aucune translation d'adresse mais avec routes (croisée). De toute façon le routeur R1 fera la translation (nécessaire) pour Internet.

Dans ce dernier cas, un simple "ip_forward=1" plus les routes (ip route add x.x.x.x mask y.y.y.y via R3 dev ethX) et ça doit rouler. En plus il n'y a aucun SNAT, masquerade à faire.




NB : C'est pour un devoir ? Auquel cas, mes solutions pratico-pratiques ne répondent pas.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 21 Oct 2009 09:16

R1 est un routeur sur lequel je ne peux pas agir (je ne peux pas modifier la table de routage et il laisse tout passer vers internet)


Il doit faire le "masqerade". Il doit apprendre les routes vers les 4 autres réseaux internes.
Mais comme il ne peut rien faire, tu intercales un quatriéme routeur judicieusement placé.
Entre celui non administrable et les deux autres.
Et tu gagneras une 'petite' DMZ en plus si ton nouveau routeur fait un peu firewall :lol:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 21 Oct 2009 10:28

Merci Franck78, j'oubliai grandement les routes que le routeur R1 doit impérativement connaitre.

Donc

sol 1 : 1 routeur/firewall avec 4 interfaces :
=> il masquerade le trafic vers le routeur R1 (qui ne voit que son adresse) et il route entre chaque interface

sol 1' : 1 routeur avec 4 interfaces :
=> le routeur R1 doit connaitre les 4 réseaux (via ce routeur intermédiaire) et le routeur route entre les 4 interfaces.

sol 2 : 1 routeur/firewall intermédaire (avec DMZ si besoin) :
=> il masquerade le trafic vers le routeur R1 (qui ne voit que son adresse)
=> et il doit connaitre les 4 réseaux (via chacun des routeurs)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar nono78 » 21 Oct 2009 14:15

merci pour vos réponses,

Si je comprend bien la solution la plus simple !! est de mettre un 4ème routeur.

Il n'est pas possible de configurer le SNAT de R2 et R3 pour que le MASQUERADE se fasse uniquement pour les paquets à destination de R1 (du genre -d ! 192.168.0.0/16) ?

Merci
nono78
Matelot
Matelot
 
Messages: 6
Inscrit le: 28 Jan 2005 22:15

Messagepar Franck78 » 21 Oct 2009 23:04

mais tu peux tenter tous ce que tu veux. Tu as le droit.

Moi, je comprend pas trop ce que tu cherches à faire avec du SNAT et le MASQUERADE devrait être mis en place à UN seul endroit pour tout le réseau (sinon collision de port assurée).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron