Bonjour a tous,
après avoir lu pas mal de forums sur la config de routeur je seche sur le marquage de connexions destinées à la passerelle :
Mon routeur doit etre adressable par deux IP differentes
voila mon exemple :
le routeur a 3 interface eth0 (lan)
eth1 wan1 (10.1.1.1) vers ISP1 (adresse du routeur ISP1= 10.1.1.254)
eth2 wan2 (10.2.1.1) vers ISP2 (adresse du routeur ISP2 = 10.2.1.254)
eth1(10.1.1.1) (10.1.1.254) ISP1
LAN ----------- routeur
eth2 (10.2.1.1) (10.2.1.254) ISP2
Sur le routeur il y a des 2 services : http et ssh
Je souhaite que toutes les connexion qui arrivent de ISP1 soit marquées et repartent par ce meme ISP
Idem pour les connexions arrivant de l’ISP2
J’ai mis ceci en place :
iptables -t mangle -F
iptables -t mangle -N CONNMARK1
iptables -t mangle -A CONNMARK1 -j MARK --set-mark 1
iptables -t mangle -A CONNMARK1 -j CONNMARK --save-mark
iptables -t mangle -N CONNMARK2
iptables -t mangle -A CONNMARK2 -j MARK --set-mark 2
iptables -t mangle -A CONNMARK2 -j CONNMARK --save-mark
iptables -t mangle -A PREROUTING -i eth1 -m state --state NEW -j CONNMARK1
iptables -t mangle -A PREROUTING -i eth2 -m state --state NEW -j CONNMARK2
iptables -t mangle -A OUTPUT -m state --state ESTABLISHED,RELATED -CONNMARK --restore-mark
puis pour les routes :
echo '1 wan1' >> /etc/iproute2/rt_tables
echo '2 wan2‘ >> /etc/iproute2/rt_tables
ip route add 10.1.1.0/24 dev eth1 table wan1
ip route add default via 10.1.1.254 dev eth1 table wan1
ip route add 10.2.1.0/24 dev eth2 table wan2
ip route add default via 10.2.1.254 dev eth2 table wan2
ip rule add fwmark 1 table wan1 prio 1024
ip rule add fwmark 2 table wan2 prio 1025
quand je ping mon routeur depuis l’ISP1, je vois bien la table CONNMARK1 en prerouting et input s’incrémenter de 60 Octest (taille du ping), mais pas la output pour la reponse . et donc la je sèche , je ne sais pas si c’est un problème de routage ou un problème iptable…
Marquage de connections entrantes sur un routeur
Modérateur: modos Ixus
5 messages
• Page 1 sur 1
Marquage de connections entrantes sur un routeur
par didgaud » 30 Juin 2008 15:48
- didgaud
- Matelot
- Messages: 2
- Inscrit le: 30 Juin 2008 15:20
par ccnet » 30 Juin 2008 17:53
Il serait peut être plus facile de vous aider si vous vous y preniez autrement. Je m'explique. Pour le moment vous ne présentez qu'à moitié le problème mais surtout une solution qui ne fonctionne pas. Avant de penser en terme de solution, pouvez vous expliquer complètement ce qu'est le besoin sans préjuger de solutions ?
Vous employez un routeur mais lesquel ? un modem routeur adsl grand public, ce n'est pas vraiment la même chose que certains Cisco.
A voir les adresses données dans les exemples il semble qu'il s'agissent de connexions adsl grand public.
Est ce bien le cas ?
Quel est votre plage d'ip publiques, si toutefois c'est le cas ? Quel isp ?
Je ne comprend pas bien ce que cela veut dire. Un routeur ... route.
Si le routage est correct, je ne vois pas pourquoi il en serait autrement. Il y a donc autre chose (j'imagine un peu ce que c'est) sur le lan, mais vous n'en dites rien.
Votre vrai besoin c'est du load balancing, de la redondance ?
Pour finir, il y a eu un poste très voisin du votre la semaine passée.
http://forums.ixus.fr/viewtopic.php?t=4 ... sc&start=0
Il a fallu du temps pour comprendre où il voulait en venir et avec des méthodes un peu "exotiques".
Vous employez un routeur mais lesquel ? un modem routeur adsl grand public, ce n'est pas vraiment la même chose que certains Cisco.
A voir les adresses données dans les exemples il semble qu'il s'agissent de connexions adsl grand public.
Est ce bien le cas ?
Quel est votre plage d'ip publiques, si toutefois c'est le cas ? Quel isp ?
Sur le routeur il y a des 2 services : http et ssh
Je ne comprend pas bien ce que cela veut dire. Un routeur ... route.
Je souhaite que toutes les connexion qui arrivent de ISP1 soit marquées et repartent par ce meme ISP
Idem pour les connexions arrivant de l’ISP2
Si le routage est correct, je ne vois pas pourquoi il en serait autrement. Il y a donc autre chose (j'imagine un peu ce que c'est) sur le lan, mais vous n'en dites rien.
Votre vrai besoin c'est du load balancing, de la redondance ?
Pour finir, il y a eu un poste très voisin du votre la semaine passée.
http://forums.ixus.fr/viewtopic.php?t=4 ... sc&start=0
Il a fallu du temps pour comprendre où il voulait en venir et avec des méthodes un peu "exotiques".
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par didgaud » 30 Juin 2008 18:30
Donc pour etre plus clair
le routeur ,parcequ'il va router et natter les paquets venant du lan (eth0), doit etre accessible depuis les 2 ISP (en adressage privé) qui eut sont connectés sur eth1 et eth2.
pour faire simple.
je veux qu'un poste client ayant une ip (192.168.1.1) passe par l'ISP1 (10.1.1.254) pour arriver sur l'interface eth1 (10.1.1.1)du routeur pour toutes connection SSH.
Ce meme poste client ( 192.168.1.1) passe par l'ISP2 (10.2.1.254) pour arriver sur l'interface eth2 (10.2.1.1) du routeur pour les connexion http.
donc tout ce qui rentre en eth1 pour le SSH doit resortir en eth1 et idem pour eth2 tout ce qui rentre par eth2 doit aussi sortir par eth2 pour le HTTP.
le routeur ,parcequ'il va router et natter les paquets venant du lan (eth0), doit etre accessible depuis les 2 ISP (en adressage privé) qui eut sont connectés sur eth1 et eth2.
pour faire simple.
je veux qu'un poste client ayant une ip (192.168.1.1) passe par l'ISP1 (10.1.1.254) pour arriver sur l'interface eth1 (10.1.1.1)du routeur pour toutes connection SSH.
Ce meme poste client ( 192.168.1.1) passe par l'ISP2 (10.2.1.254) pour arriver sur l'interface eth2 (10.2.1.1) du routeur pour les connexion http.
donc tout ce qui rentre en eth1 pour le SSH doit resortir en eth1 et idem pour eth2 tout ce qui rentre par eth2 doit aussi sortir par eth2 pour le HTTP.
- didgaud
- Matelot
- Messages: 2
- Inscrit le: 30 Juin 2008 15:20
par ccnet » 30 Juin 2008 18:55
le routeur ,parcequ'il va router et natter les paquets venant du lan (eth0), doit etre accessible depuis les 2 ISP (en adressage privé) qui eut sont connectés sur eth1 et eth2.
Confusion totale.
Je souhaite que toutes les connexion qui arrivent de ISP1 soit marquées et repartent par ce meme ISP
Idem pour les connexions arrivant de l’ISP2
et
je veux qu'un poste client ayant une ip (192.168.1.1) passe par l'ISP1 (10.1.1.254) pour arriver sur l'interface eth1 (10.1.1.1)du routeur pour toutes connection SSH.
Ce meme poste client ( 192.168.1.1) passe par l'ISP2 (10.2.1.254) pour arriver sur l'interface eth2 (10.2.1.1) du routeur pour les connexion http.
Sont deux questions différentes.
Ce meme poste client ( 192.168.1.1) passe par l'ISP2 (10.2.1.254) pour arriver sur l'interface eth2 (10.2.1.1) du routeur pour les connexion http.
Cette phrase n'a pas de sens. Le cheminement de vos paquets seraient :
192.168.1.1 ->eth0 (routeur) eth1 (10.1.1.1) -> 10.1.1.254 pour ssh
et
192.168.1.1 ->eth0 (routeur) eth2 (10.2.1.1) -> 10.2.1.254 pour http
Votre besoin c'est donc le multi-wan, du moins c'est ce que l'on comprend. Au passage attention aux masques de sous réseaux employés.
On recommence. Le routeur c'est quoi ?
PS: si ce que vous appelez routeur peut être remplacé par Pfsense, alors vous pourrez faire ce que vos souhaitez, directement dans l'interface d'administration de Pfsense.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par antolien » 01 Juil 2008 14:02
didgaud a écrit:Donc pour etre plus clair
le routeur ,parcequ'il va router et natter les paquets venant du lan (eth0), doit etre accessible depuis les 2 ISP (en adressage privé) qui eut sont connectés sur eth1 et eth2.
pour faire simple.
je veux qu'un poste client ayant une ip (192.168.1.1) passe par l'ISP1 (10.1.1.254) pour arriver sur l'interface eth1 (10.1.1.1)du routeur pour toutes connection SSH.
Ce meme poste client ( 192.168.1.1) passe par l'ISP2 (10.2.1.254) pour arriver sur l'interface eth2 (10.2.1.1) du routeur pour les connexion http.
donc tout ce qui rentre en eth1 pour le SSH doit resortir en eth1 et idem pour eth2 tout ce qui rentre par eth2 doit aussi sortir par eth2 pour le HTTP.
Bonjour,
Ton setup n'est pas clair...
fais tu du SNAT où du DNAT quelque part ?
je reprends un setup fonctionnel.
echo '1 wan1' >> /etc/iproute2/rt_tables
echo '2 wan2‘ >> /etc/iproute2/rt_tables
ip rule add from 10.1.1.1 lookup wan1
ip rule add from 10.2.1.1 lookup wan2
p route add 10.1.1.0/24 dev eth1 table wan1
ip route add default via 10.1.1.254 dev eth1 table wan1
ip route add 10.2.1.0/24 dev eth2 table wan2
ip route add default via 10.2.1.254 dev eth2 table wan2
p rule add fwmark 1 table wan1
ip rule add fwmark 2 table wan2
iptables -t mangle -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 22 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j MARK --set-mark 2
-
antolien - Amiral
- Messages: 3134
- Inscrit le: 31 Août 2002 00:00
5 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité