Bonjour
Est-il possible et comment mettre en place de Masquerade ou SNAT avec iptable mais pas pour certaine machine ou certain réseau en destinantion ?
J'ai en effet 2 routeurs derriere mon routeur avec iptable (1 pour internet (je n'ai pas la main dessus et l'autre pour un réseau privé)
Merci
Iptable et Masquerade
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
Iptable et Masquerade
par nono78 » 20 Oct 2009 19:01
- nono78
- Matelot
- Messages: 6
- Inscrit le: 28 Jan 2005 22:15
par jdh » 20 Oct 2009 21:27
Moi yen a rien comprendre !
Si vous prenez juste une minute pour vous relire, vous devriez observez ... que c'est incompréhensible !
Alors si vous voulez une aide, prenez le temps de décrire le schéma, l'organisation, les adressages, ... Ce n'est pas qu'un exercice de présentation, c'est peut-être l'occasion de retrouver les justifications de votre schéma.
Il n'est pas banal d'avoir 3 routeurs dans son réseau ... Il doit y avoir des raisons ...
Le reste est aisé si la logique est claire ...
Si vous prenez juste une minute pour vous relire, vous devriez observez ... que c'est incompréhensible !
Alors si vous voulez une aide, prenez le temps de décrire le schéma, l'organisation, les adressages, ... Ce n'est pas qu'un exercice de présentation, c'est peut-être l'occasion de retrouver les justifications de votre schéma.
Il n'est pas banal d'avoir 3 routeurs dans son réseau ... Il doit y avoir des raisons ...
Le reste est aisé si la logique est claire ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par nono78 » 20 Oct 2009 23:50
jdh a écrit:Moi yen a rien comprendre !
Si vous prenez juste une minute pour vous relire, vous devriez observez ... que c'est incompréhensible !
Alors si vous voulez une aide, prenez le temps de décrire le schéma, l'organisation, les adressages, ... Ce n'est pas qu'un exercice de présentation, c'est peut-être l'occasion de retrouver les justifications de votre schéma.
Il n'est pas banal d'avoir 3 routeurs dans son réseau ... Il doit y avoir des raisons ...
Le reste est aisé si la logique est claire ...
C'est effectivement incompréhensible !!
Je m’explique :
Soit le schéma suivant :
On fait les hypothèses suivantes :
R1 est un routeur sur lequel je ne peux pas agir (je ne peux pas modifier la table de routage et il laisse tout passer vers internet)
R2 et R3 ont accès à Internet
R2 et R3 ont 3 pattes chacun dont une connectée au routeur R1, sur les deux autres pattes on trouve 2 réseaux symbolisés sur le schéma par des PC
Les tables de routages de R2 et R3 permettent une communication entre tous les PC , ces communications se font sans SNAT
Si je veux que les PC puissent accéder à Internet, R2 et R3 doivent faire du SNAT .
Ma question est : est-il possible de configurer avec iptable le SNAT pour que le SNAT se fasse uniquement pour les communications PCs-->Internet et que les communications PC<-->PC se fassent sans translation d’adresse. ?
En espérant que tout cela soit un peu plus clair !
Merci
- nono78
- Matelot
- Messages: 6
- Inscrit le: 28 Jan 2005 22:15
par jdh » 21 Oct 2009 09:09
Beau schéma (merci Visio !) qui illustre "pourquoi faire simple quand on peut faire compliqué".
J'écris ce que je comprends : chacun des 4 réseaux doit se voir directement (ping de l'un vers l'autre).
1ère idée : 1 routeur avec 4 interfaces : trop facile.
2ème idée : des routeurs seulement routeurs c'est à dire SANS aucune translation d'adresse mais avec routes (croisée). De toute façon le routeur R1 fera la translation (nécessaire) pour Internet.
Dans ce dernier cas, un simple "ip_forward=1" plus les routes (ip route add x.x.x.x mask y.y.y.y via R3 dev ethX) et ça doit rouler. En plus il n'y a aucun SNAT, masquerade à faire.
NB : C'est pour un devoir ? Auquel cas, mes solutions pratico-pratiques ne répondent pas.
J'écris ce que je comprends : chacun des 4 réseaux doit se voir directement (ping de l'un vers l'autre).
1ère idée : 1 routeur avec 4 interfaces : trop facile.
2ème idée : des routeurs seulement routeurs c'est à dire SANS aucune translation d'adresse mais avec routes (croisée). De toute façon le routeur R1 fera la translation (nécessaire) pour Internet.
Dans ce dernier cas, un simple "ip_forward=1" plus les routes (ip route add x.x.x.x mask y.y.y.y via R3 dev ethX) et ça doit rouler. En plus il n'y a aucun SNAT, masquerade à faire.
NB : C'est pour un devoir ? Auquel cas, mes solutions pratico-pratiques ne répondent pas.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par Franck78 » 21 Oct 2009 09:16
R1 est un routeur sur lequel je ne peux pas agir (je ne peux pas modifier la table de routage et il laisse tout passer vers internet)
Il doit faire le "masqerade". Il doit apprendre les routes vers les 4 autres réseaux internes.
Mais comme il ne peut rien faire, tu intercales un quatriéme routeur judicieusement placé.
Entre celui non administrable et les deux autres.
Et tu gagneras une 'petite' DMZ en plus si ton nouveau routeur fait un peu firewall
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par jdh » 21 Oct 2009 10:28
Merci Franck78, j'oubliai grandement les routes que le routeur R1 doit impérativement connaitre.
Donc
sol 1 : 1 routeur/firewall avec 4 interfaces :
=> il masquerade le trafic vers le routeur R1 (qui ne voit que son adresse) et il route entre chaque interface
sol 1' : 1 routeur avec 4 interfaces :
=> le routeur R1 doit connaitre les 4 réseaux (via ce routeur intermédiaire) et le routeur route entre les 4 interfaces.
sol 2 : 1 routeur/firewall intermédaire (avec DMZ si besoin) :
=> il masquerade le trafic vers le routeur R1 (qui ne voit que son adresse)
=> et il doit connaitre les 4 réseaux (via chacun des routeurs)
Donc
sol 1 : 1 routeur/firewall avec 4 interfaces :
=> il masquerade le trafic vers le routeur R1 (qui ne voit que son adresse) et il route entre chaque interface
sol 1' : 1 routeur avec 4 interfaces :
=> le routeur R1 doit connaitre les 4 réseaux (via ce routeur intermédiaire) et le routeur route entre les 4 interfaces.
sol 2 : 1 routeur/firewall intermédaire (avec DMZ si besoin) :
=> il masquerade le trafic vers le routeur R1 (qui ne voit que son adresse)
=> et il doit connaitre les 4 réseaux (via chacun des routeurs)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par nono78 » 21 Oct 2009 14:15
merci pour vos réponses,
Si je comprend bien la solution la plus simple !! est de mettre un 4ème routeur.
Il n'est pas possible de configurer le SNAT de R2 et R3 pour que le MASQUERADE se fasse uniquement pour les paquets à destination de R1 (du genre -d ! 192.168.0.0/16) ?
Merci
Si je comprend bien la solution la plus simple !! est de mettre un 4ème routeur.
Il n'est pas possible de configurer le SNAT de R2 et R3 pour que le MASQUERADE se fasse uniquement pour les paquets à destination de R1 (du genre -d ! 192.168.0.0/16) ?
Merci
- nono78
- Matelot
- Messages: 6
- Inscrit le: 28 Jan 2005 22:15
par Franck78 » 21 Oct 2009 23:04
mais tu peux tenter tous ce que tu veux. Tu as le droit.
Moi, je comprend pas trop ce que tu cherches à faire avec du SNAT et le MASQUERADE devrait être mis en place à UN seul endroit pour tout le réseau (sinon collision de port assurée).
Moi, je comprend pas trop ce que tu cherches à faire avec du SNAT et le MASQUERADE devrait être mis en place à UN seul endroit pour tout le réseau (sinon collision de port assurée).
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
8 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité