NAT en entrée sur IPCOP

[underattack]

bonjour à tous, <BR>Petite question de NAT : <BR> <BR>J'ai un IPCOP avec une interface RED et une interface GREEN. <BR> <BR>J'ai 3 IP publiques sur l'interface RED et je fais du PORT FORWARDING vers des serveurs WEB. <BR> <BR>Mes serveurs WEB ont besoin pour des question de routage de voir arriver l'IP de l'interface GREEN et non celle du client. <BR> <BR>J'ai donc besoin de NATTER l'IP source de ce qui arrive sur l'interface RED, vers l'IP de l'interface GREEN (en gros l'inverse du NAT sortant). <BR> <BR>Amis de IPTABLES, c'est à vous et merci d'avance. <BR> <BR>

[Duck]

<BR>iptables -t nat -I POSTROUTING -o eth[vert] -p tcp -d ip_server -j SNAT --to ip_vert <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Je ne sais pas si fontionne, tu dois essayer

[tomtom]

Yes pas besoin du -p tcp, sauf si tu veux trier juste un certain type de paquets..... <BR> <BR>Mais c'est quand même strange ton truc.... <BR> <BR>T.

[Duck]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> pas besoin du -p tcp </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>cut & paste d'une règle qui j'avais déja pour la modifer <IMG SRC="images/smiles/icon_wink.gif">

[underattack]

merci pour les réponses. <BR> <BR>J'ai essayé cette commande mais ça ne marche pas. <BR> <BR>J'imagine que je dois la mettre dans /etc/rc.d/rc.firewall mais où exactement ?

[Duck]

tu doit executer le command dans la shell (putty) <BR>si ca marche, tu peux l'ajouter à rc.local <BR> <BR>Notes que tu dois changer eth[vert] avec eth0 ou eth1 selon ta configuration des cartes réseaux (je crois eth0) e ip_vert avec l'ip de la carte verte de ta boite ipcop

[tomtom]

Avant de la mettre dans le rc.firewall, essaye de la taper en ligne de commande.... <BR> <BR>tu dis que ca ne marche pas, mais qu'est-ce que tu attends exactement comme resultat ? C'est assez bizarre ce que tu veux faire je trouve :s <BR> <BR>Deja le paquet arrive sur le firwall. AU prerouting, il se tape un transfert de ports, et aussi un DNAT. En plus, au postrouting tu fais un SNAT pour que ton serveur ne voie plus l'ip du client d'origine. Evidemment, lorsque la reponse arrive, le SNAT est recuperé mais je ne sais pas trop comment il s'en sort.... <BR> <BR>Qui plus est , j'ai vraiment du mal à saisir l'interet de la manoeuvre... Peux-tu developper un peu ? <BR> <BR> <BR>T.

[Duck]

pourtant je pense que, en étant statefull, devrait se rappeler les SNAT e DNAT subies par chaque paquet, et permettre le parcours de retour corrigé...

[tomtom]

En toute logique, oui. Seulement, le fait de masquer els connexions dans les deux sens, je ne sais pas si ça se fait et ça n'a rien à voir avec le statefull ! <BR> <BR>T.

[underattack]

OK, ça marche. <BR> <BR>L'intérêt en fait est que je dispose de 2 liens INTERNET, le serveur WEB se trouve derrière un Firewall dont la passerelle par défaut est le lien internet 1, mais les connexions vers le serveur web arriveront via le lien internet 2 (ou se trouve l'IPCOP). <BR> <BR>La seule solution de routage est que le serveur WEB voit arriver l'IP de l'IPCOP et non celle des clients sinon la réponse repartira via le lien internet2