Assigner plusieurs IP internet a plusieurs serveur

[antarex]

Bonjour à tous... <BR> <BR>Je cherchais il y a quelques jours un moyen pour utiliser ipcop de façon transparente (sans NAT ni routage), puisque cela semble ne pas être possible facilement, je cherche alors le moyen d'assigner à IpCop plusieurs IP internet (ça j'ai trouvé), et à permettre l'utilisation de chacune de ces IP à des machines (serveurs) spécifiques... <BR> <BR>Exemple : <BR> <BR>Quand le serveur1 accède au net je veux que ce soit en utilisant l'adresse publique IP1, le serveur2 l'IP2,... or, si je trouve ce type d'option dans des appliances lowcost (simples routeurs NAT à 50€), je ne trouve pas l'équivalent dans ipcop <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Pourriez-vous me guider par où chercher cette option ? <BR>

[tomtom]

Cette option n'existe pas dans le GUI.. <BR> <BR>Je te conseille de chercher dans les forums avec les termes SNAT, static nat, alias externes... <BR> <BR>J'ai deja expliqué comment faire ça... <BR> <BR>t.

[antarex]

Merci, SNAT était l'info qu'il me manquait pour aboutir à des réponses dans mes recherches sur le forum <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Mais ces recherches m'amènent à me poser une autre question... j'ai lu qu'il y avait problème pour que les machines internes puissent accéder aux serveurs internes en utilisant leur IP publique... <BR> <BR>Que va-t'il se passer si j'ai mettons 2 serveurs, avec 2 IP publiques en alias et SNAT, et que le serveur1 tente de se connecter au serveur2 en passant par l'IP publique ? <BR> <BR>Ces serveurs doivent servir de DNS publics, pas question donc de configurer des IP privées au niveau DNS, et il est plus que probable que des mails puissent être envoyés par un serveur pour des boites situées sur l'autre, donc en passant par les IP publiques déclarées... <BR> <BR>Tant que j'y suis, je ne devrais théoriquement n'avoir que un réseau RED (internet) et un réseau ORANGE (mes serveurs), pas réellement de GREEN, mais comme IPCOP ne me propose pas une config juste RED/ORANGE, je suppose que ça ne pose pas de problème si j'utilise le réseau GREEN pour placer mes serveurs ? Ca m'évite d'avoir 3 cartes réseau dont une inutile...

[tomtom]

Je pense qu'il vaudrait mieux que les serveurs soient dans une orange, à cause des règles par defaut qui sont mieux adaptées.... <BR> <BR>Par contre, si tu ne mets pas de carte pour le green ca ne devrait pas poser de problème je pense ???? <BR> <BR>Et puis de toute facon ce serait mieux que tu ait une machine d'admin pour ipcop en green. <BR> <BR> <BR>Bon ceci etant dit, revenons au SNAT. <BR> <BR>Il faut que tu desactives le masquerading pour les connexions initiées par le orange (j'ai expliqué ça dans mon autre post à ce sujet). <BR>Ensuite, tu configures le SNAT pour que le serveur qui effectue la connexion utilise l'addresse source que tu veux lorsqu'il sort sur internet. <BR> <BR>Ceci se fait comme ça : <BR> <BR> <BR>iptables -t nat -A POSTROUTING -s @ip_privee_serveur1 -o $INTERFACE_INTERNET -j SNAT --to-source @ip_publique1 <BR> <BR> <BR>iptables -t nat -A POSTROUTING -s @ip_privee_serveur2 -o $INTERFACE_INTERNET -j SNAT --to-source @ip_publique2 <BR> <BR>...etc... <BR> <BR> <BR>Tu peux voir que l'on applique le snat que sur l'interface de sortie sur internet, ce qui fait que dans le cas ou tu attaqueras ton second serveur lui aussi en dmz, même avec l'ip publique, la source ne sera pas modifiée, ce qui fait que les sevreurs pareleront directement entre eux sur la dmz ! Donc pas de probleme a priori ! <BR> <BR>Par contre, evite d'appliquer les règles d'antispoofing pour le orange, ca risque de poser des problèmes ! (ou alors, applique ces regles bien sur l'interface internet !! ) <BR> <BR> <BR>T.