marquage de paquets iptables, ip route, IPCOP

[imorum]

Bonjour tout le monde,

Jai un petit souci avec le marquage de paquets sous ipcop.

...............BLUE.....__________R1 Dedier pour Le VPN
.................|........|
GREEN---IPCOP--|------------- Wanadoo INTERNET
...........................|
...........................|__________R2 Dedier SMTP




WAN IPCOP: x.x.x.1 IP publique
R1 : x.x.x.2 IP publique
R2 : x.x.x.3 IP publique
wanadoo : x.x.x.4 IP publique

je cherche à router les paquets en fonction du port ou du protocole

pour l'instant j'utilise des règles comme celle si mais elles ne fonctionent pas.



iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 17

echo 201 SMTP.out >> /etc/iproute2/rt_tables

ip rule add fwmark 17 table SMTP.out

ip route add default via x.x.x.3 table SMTP.out




sur un ipcop la commande bloque tout le trafic alors que sur un autre x.x.x.3 devient tout simplement la passerelle par defaut.


Bon ma question est il y a t'il des solutions pour faire fonctionner le routage avancé sous IPCOP de la sorte??

SMTP >>>> R2
VPN >>>>> R1
internet>>> Wanadoo


Script/

iptables -t mangle -A OUTPUT -p tcp --dport 1194 -j MARK --set-mark 17

echo 201 VPN.out >> /etc/iproute2/rt_tables

ip rule add fwmark 17 table VPN.out

ip route add default via x.x.x.4 table VPN.out


iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 17

echo 201 SMTP.out >> /etc/iproute2/rt_tables

ip rule add fwmark 17 table SMTP.out

ip route add default via x.x.x.3 table SMTP.out


/script

Avec l'adresse x.x.x.4 comme default GW


Merci par avance pour vos conseils et reponses !!!!!!

Imorum

[Franck78]

c'est marrant, je pige rien à ces commandes. Ou plutôt "l'ensemble"

Code: Tout sélectionner

echo 201 SMTP.out >> /etc/iproute2/rt_tables


Pas de dossier iproute2 dans etc. Pour commencer!

[imorum]

oui effectivement il n'y a pas de dossier iproute2

je l'ai créé

[Franck78]

même avec ce dossier, l'enchainement de commande est étrange.

Sans explication sur cette 'technique' ou au moins un lien, pas sur que tu obtiennes une réponse perninente.

[imorum]

connais-tu une façon de faire qui me permette de faire ce que je recherche ??

a savoir:

Router les trames smtp sur R2, les trames du vpn sur R1 et utiliser wanadoo pour internet!

[ccnet]

Je ne comprend pas où vous voulez en venir avec cet ipcop qui aurait 6 interfaces, dont 4 avec des ip publiques.

R2 Dedier SMTP

Que devient le traffic ensuite dans la mesure où je ne vois pas d'interface Orange qui est a priori celle derrière laquelle on va placer un serveur SMTP ?

Router les trames smtp sur R2, les trames du vpn sur R1

Router suppose une origine et une destination. Il me manque une info pour comprendre. Ensuite le terme router en fonction d'un protocole applicatif est assez impropre. Habituellement toutes ces questions sont traitées différement et assez simplement par d'autres moyens.
Le serveur Vpn est sur ipcop ?

[imorum]

la configuration est la suivante:

un green contenant un serveur exchange

un bleu mais on s'en fout

un Rouge avec une ip publique

sur le réseau public on trouve

red, R1, R2, et wanadoo sont sur un sous réseau constitué d'IP publique constituant une dmz

La red ip publique
Routeur 1 SDSL 2 Mo ip publique en lan et wan
Routeur 2 SDSL 2 Mo ip publique en lan et wan
et une ligne wanadoo ip publique en lan et wan (livebox avec lan en ip publique)

R1 est une ligne dedier au VPN (zerina sur l'ipcop)
R2 est une ligne dedier au serveur exchange

et wanadoo nous sert à la connexion internet via le proxy d'ipcop

je veux router le trafic sortant de green et de bleu en fonction du protocole


j'espere avoir été suffisament clair!

[ccnet]

Bref un problème classique de multiwan. Un serveur de mail dans Green, je veux bien ... c'est vous qui voyez. Ce qui signifie que Green est accessible depuis internet. Ce serveur devrait être dans Orange.

Ensuite vous avez deux (ou plus) adresses ip pour le vpn, la messagerie, puis chez un autre isp un lien pour le surf.

On l'a déjà écrit cent fois, ipcop n'est pas conçu pour gérer cela. Cela dit admettons ...

et une ligne wanadoo ip publique (livebox avec lan en ip publique)

Je vois un problème car chez wanadoo la livebox (au moins la pro) se comporte toujours en routeur NAT et donne une ip privée coté abonné. Cette ip privée et (non publique) va se retrouver sur l'interface RED d'ipcop.

Admettons encore et vous ajoutez 2 alias sur RED avec vos ip publiques. Ce dont vous avez besoin c'est d'un transfert de port dans ipcop pour chaque ip publique vers une ip privée du lan.

Malheureusement ipcop lui ne sait pas faire autre chose que translater tout le trafic sortant en utilisant l'ip de base sur RED. D'où gros problème pour la messagerie évidement. Néanmoins vous pouvez bricoler ceci mais il faudrait l'adapter (mais est-ce possible ?):

IP interne : 192.168.1.254
IP Publique : 213.41.16.217 / 255.255.255.240

Dans /etc/rc.d/rc.firewall, ajouter la ligne suivante pour chaque serveur de la DMZ:

/sbin/iptables -t nat -A REDNAT -s ip_local_dmz -o $IFACE -j SNAT --to-source ip_public

juste avant la ligne:

/sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE


Exemples :

/sbin/iptables -t nat -A REDNAT -s 192.168.1.1 -o $IFACE -j SNAT --to-source 213.41.16.219
/sbin/iptables -t nat -A REDNAT -s 192.168.1.3 -o $IFACE -j SNAT --to-source 213.41.61.218
/sbin/iptables -t nat -A REDNAT -s 192.168.1.4 -o $IFACE -j SNAT --to-source 213.41.61.217

Tout cela fonctionne très bien j'en ai fait l'expérience à plusieurs reprises. Néanmoins j'ai arrété ce type de solution qui manque de cohérence (en terme d'administration et de maintenance) et de lisibilité.
Toutes choses qui sont préjudiciables à la pérennité.

De plus au lieu d'avoir une ligne avec une plage d'ip publiques vous avez deux lignes. Tout cela est tellement acrobatique avec ipcop que je ne sais vous dire si il y a des chances pour que "ça tombe en marche".

Avec la livebox qui fournie une ip privée je ne sais pas trop ce que cela peut donner ? à moins que ce ne soit pas une livebox pro et que vous sachiez la mettre en pont ?

Sinon pour faire les choses proprement et dormir tranquille Pfsense possède tout ce dont vous avez besoin pour traiter votre problème.

[imorum]

je presise un peut plus (je tente)

Green = réseau local d'entreprise (ip privé)
Blue = Réseau local pédagogique (ip privé)
RED = WAN (ip Publique)


Routeur1= ip publique1 {R1 sdsl 2Mo} ip publique2 -------- INTERNET Pas de NAT
Routeur2= ip publique3 {R1 sdsl 2Mo} ip publique4 -------- INTERNET Pas de NAT
wanadoo= ip publique5 {livebox 18 mega max} ip publique6 -------- INTERNET NAT

L'ip Lan de la live box est publique (je l'ai configuré 213.x.x.x/xx)

pour le serveur de messagerie il est dans le blue et n'est accésible que par le serveur relais de mon fournisseur (Nerim)

je veux marquer les trames qui transite des réseau BLue et green vers red de façon à pouvoir les rediriger (router) ver les differentes GW.

en bref je voeux

faire en sorte qu'IPCOP utilise ip publique1 comme passerelle quand il sagit d'un protocole utilisé pour le vpn

faire en sorte qu'IPCOP utilise ip publique3 comme passerelle quand il sagit d'un protocole utilisé pour le SMTP ou pop

faire en sorte qu'IPCOP utilise ip publique4 comme passerelle pour tout le reste.

[ccnet]

[imorum]

Pfsense peut me permetre de faire cela??

Merci pour vos reponses!

imorum

[ccnet]

Oui Pfsense est conçu pour gérer ce type de configuration.

Mais :

wanadoo= ip publique5 {livebox 18 mega max} ip publique6 -------- INTERNET NAT

L'ip Lan de la live box est publique (je l'ai configuré 213.x.x.x/xx)

Comment faite vous pour, avec un abonnement Orange 18 Megamax pour disposer de deux adresses ip publiques (ip publique 5 et ip publique 6) ? D'où vient ip publique 5 ?
Que je sache Orange fourni une seule et unique ip publique, fixe si on le demande (et encore en pro).

[imorum]

je dispose de 2 blocs d'adresses ip avec mes lignes sdsl!

en terme de connectivité tout marche normalement

[ccnet]

Je ne vous parle pas de vos ip sur les liaisons sdsl. Je vous parle de l'ip publique vous avez mis sur l'interface coté lan de la Livebox. D'où vient-elle ?

[imorum]

c'est une des adresses suplementaires de mes ligne sdsl.

j'ai configuré la live box pour quelle utilise une ip publique (fourni par nerim) sur sa patte Lan.