utilizer l'ip publique pour le serveur en DMZ

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Messagepar Duck » 27 Août 2003 11:40

J'ai trouvé le moyen pour utiliser le serveur web et de poste en DMZ avec l'ip publique. <BR>J'ai ajouté le code suivant à rc.local <BR>
Code: Tout sélectionner
<BR> iptables -t nat -I CUSTOMPREROUTING -i eth0 -p tcp -d public_ip --dport 25 -j DNAT --to 192.168.2.80 <BR>iptables -t nat -I CUSTOMPREROUTING -i eth0 -p tcp -d public_ip --dport 110 -j DNAT --to 192.168.2.80 <BR>iptables -t nat -I CUSTOMPREROUTING -i eth0 -p tcp -d public_ip --dport 80 -j DNAT --to 192.168.2.80 <BR>iptables -t nat -I CUSTOMPREROUTING -i eth0 -p tcp -d public_ip --dport 443 -j DNAT --to 192.168.2.80 <BR>
<BR><BR><font size=-2></font>
Avatar de l’utilisateur
Duck
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 28 Juil 2003 00:00
Haut

Messagepar tomtom » 27 Août 2003 12:10

exact, mais il faut travailler avec le POSTROUTING si tu veux sortir avec toujours la même ip publique ! <BR> <BR>EN effet, l'entrée n'est pas un problème (tu peux tres bien faire ça avec le transfert de ports d'ailleurs !) mais le plus dur est la sortie ! <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar nemesis » 27 Août 2003 12:13

question bête c koi l'intérêt?
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75
Haut

Messagepar tomtom » 27 Août 2003 12:37

Si tu as 8 ip publiques, tu peux mettre une ip pour chaque serveur.... <BR> <BR>Ca peut servir à certains.... <BR> <BR>Mas pour ce qui est de l'entrée, je le répète, il suffit de forwarder les ports interressants dans IPCop, après tout ca ser à ça un firewall. <BR>La seule "difficult" consiste à faire que chaque serveur utilise toujours la mêm ip pour sortir, car avec la config de base tout le monde est masqueradé vers l'ip de base. Pour cela, il faut utiliser du SNAT, mais la reponse a deja ete donnée dans un autre post. <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar Duck » 27 Août 2003 14:57

quand tu parles de sortir, c'est à propos du serveur? <BR>en effet j'utilise un alias pour le serveur, mais le server devrait seulement répondre, n'est ce pas? Je n'utilise pas mon serveur pour naviguer... <BR> <BR>Quand le serveur répond à une connection (avec un DNAT en PORTFW), utilize il l'ip de ipcop ou l'alias de la règle DNAT? <BR>
Avatar de l’utilisateur
Duck
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 28 Juil 2003 00:00
Haut

Messagepar tomtom » 27 Août 2003 15:14

Justement je ne sais pas.... A mon avis il risque fort d'utiliser le principale ! <BR> <BR>Et de plus ce comportement peut etre genant vis à vis de reverse DNS ou autres.... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar Duck » 27 Août 2003 15:15

avec <BR>iptables -t nat -I POSTROUTING -o eth1 -p tcp -s 192.168.2.80 -j SNAT --to alias_ip <BR> <BR>je peux sortir avec le serveur en utilisant l'alias (l'ip de mon domain) <BR>Mais, est-il mieux? <BR>N'est pas plus sûr ne pas montrer l'ip du serveur, quand le serveur meme télécharge les définitions de virus etc...? <BR>
Avatar de l’utilisateur
Duck
Second Maître
Second Maître
 
Messages: 26
Inscrit le: 28 Juil 2003 00:00
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron