NAT en sortie
Modérateur: modos Ixus
7 messages
• Page 1 sur 1
par JuLeS » 23 Août 2003 12:52
Bon aller, une petite question simple pour nos pro iptables (qui a dit Tomtom ?? <IMG SRC="images/smiles/icon_lol.gif"> ).
<BR>Je m'explique, j'ai un IPCOP Red-Orange-Green, avec une plage @IP publiques et donc les alias actifs sur la carte Red.
<BR>J'ai en interne, un serveur de messagerie qui utilise un des alias de la carte Red (j'ai fait le transfert et ça marche niquel) pour la réception. Par contre, c'est lorque mon serveur envoie que c'est plus délicat, parce qu'en fait c'est l'@IP de la carte Red qui est utilisée pour l'envoi.
<BR>Donc, voici ma question qui va parraitre logique : Quelle regle ajouter (et ou ?) pour que lorsqu' IPCop voit du traffic qui arrive de telle @IP privé (sur tel port), il utilise tel alias de la Red pour faire sortir ??
<BR>
<BR>Merci d'avance
<BR>
<BR> <IMG SRC="images/smiles/icon_up.gif">
La vitesse de la lumière étant plus rapide que la vitesse du son, une personne peut paraitre brillante jusqu'à ce qu'elle parle 
-
JuLeS - Lieutenant de vaisseau
- Messages: 222
- Inscrit le: 09 Avr 2003 00:00
- Localisation: Bordeaux
par grosbedos » 23 Août 2003 13:08
moi je dirai que ca vien certainemen de la regle de masquering...
<BR>enfin bon attendons
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par tomtom » 23 Août 2003 18:16
Il faut faire du statiq nat..
<BR>
<BR>En clair, tu ne dois plus utiliser la cinle MASQUERADE mais la cible SNAT.
<BR>
<BR>extrait du man iptables :
<BR>
<BR> SNAT
<BR> This target is only valid in the nat table, in the POSTROUTING chain. It specifies that the source
<BR> address of the packet should be modified (and all future packets in this connection will also be man
<BR> gled), and rules should cease being examined. It takes one type of option:
<BR>
<BR> --to-source ipaddr[-ipaddr][:port-port]
<BR> which can specify a single new source IP address, an inclusive range of IP addresses, and option
<BR> ally, a port range (which is only valid if the rule also specifies -p tcp or -p udp). If no port
<BR> range is specified, then source ports below 512 will be mapped to other ports below 512: those
<BR> between 512 and 1023 inclusive will be mapped to ports below 1024, and other ports will be mapped
<BR> to 1024 or above. Where possible, no port alteration will occur.
<BR>
<BR> You can add several --to-source options. If you specify more
<BR> than one source address, either via an address range or multiple --to-source options, a simple
<BR> round-robin (one after another in cycle) takes place between these adresses.
<BR>
<BR>
<BR>
<BR>Voila, en clair tu ajoutes une règle du genre :
<BR>
<BR>iptables -t nat -A POSTROUTING -s @privee_server -j SNAT --to-source @ip_bublique_que_tu_veux
<BR>
<BR>
<BR>Ainsi, le serveur utilisera toujours cette ip pour sortir <IMG SRC="images/smiles/icon_wink.gif">
<BR>
<BR>
<BR>T.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par JuLeS » 23 Août 2003 19:26
Merci Tomtom <IMG SRC="images/smiles/icon_bise.gif"> , je savais que je pouvais ciompter sur toi.
<BR>Je vais mettre ça en application des que possible.
<BR>
<BR>JuLeS
<BR>
<BR>PS : Je vais abuser un peu <IMG SRC="images/smiles/icon_biggrin.gif"> et te demander confirmation : je dois mettre cette regle dans mon rc.firewall ?? Et si oui, a quel endroit ? Merci <IMG SRC="images/smiles/icon_bise.gif">
La vitesse de la lumière étant plus rapide que la vitesse du son, une personne peut paraitre brillante jusqu'à ce qu'elle parle
-
JuLeS - Lieutenant de vaisseau
- Messages: 222
- Inscrit le: 09 Avr 2003 00:00
- Localisation: Bordeaux
par tomtom » 24 Août 2003 00:54
Tu n'abuses pas du tout <IMG SRC="images/smiles/icon_wink.gif">
<BR>Le truc c'est qu'en général je dis des conn* en parlant de IPCop, donc il faudra une confirmation de Grosbedos ou de Gesp qui connaissent mieux que moi.
<BR>
<BR>Je dirais pour moi oui, dans le rc.firewall.
<BR>La règle devrait etre placée de manière à ce qu'elle soit positionnée AVANT le masquerading dans la chaine POSTROUTING.
<BR>
<BR>Donc en clair, si on n'utilise que des -A, tu devrais la mettre juste avant la règle pour le masquerading.
<BR>
<BR>Il faudrait evidemment ajouter une ligne du même genre pour chacun des serveurs qui ont une ip publique pour qu'ils sortent chacun avec leur IP...
<BR>
<BR>
<BR>
<BR>Thomas
<BR>
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par Gesp » 24 Août 2003 01:09
Si j'ai bien compris, elle doit être avant le
<BR>/sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE
<BR>
<BR>sachant que RED est défini par
<BR> /sbin/iptables -N RED
<BR> /sbin/iptables -A INPUT -j RED
<BR> /sbin/iptables -t nat -N RED
<BR> /sbin/iptables -t nat -A POSTROUTING -j RED
<BR>
<BR>Si j'ai bien compris <!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/nat.htm" target="_blank">http://christian.caleca.free.fr/netfilter/nat.htm</a><!-- BBCode auto-link end -->, on ne peut pas utiliser le CUSTOMPREROUTING pour cela , il faudrait un CUSTOMPOSTROUTING qui n'existe pas.
<BR>
-
Gesp - Amiral
- Messages: 4481
- Inscrit le: 29 Déc 2002 01:00
par JuLeS » 24 Août 2003 01:24
Encore merci à vous 2 pour ces infos, je mets en application des que possible.
La vitesse de la lumière étant plus rapide que la vitesse du son, une personne peut paraitre brillante jusqu'à ce qu'elle parle
-
JuLeS - Lieutenant de vaisseau
- Messages: 222
- Inscrit le: 09 Avr 2003 00:00
- Localisation: Bordeaux
7 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité