Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 27 Aug 2007 12:40:10

fclement
Affranchi(e)
 
Date d'inscription: 27 Aug 2007
Messages: 3

tronboning avec iptable

Bonjour,
J'ai une petite question a propos d'IPTABLE.
J'utilise cet excellent produit pour protéger mon réseau d'entreprise.
J'ai 5 interfaces réseau, dont 1 sur mon réseau bureautique (10.100.10.X) et une sur le réseau public (eth5)
Mon interface publique a plusieurs adresses IP (publiques).
Par défaut, mes utilisateurs sortent par l'adresse A.A.A.A
J'ai un site Web natté qui est attaquable sur eth5 (publique) sur B.B.B.B
Il n'est pas accessible par la privée.
Je fais en fait un tromboning sur mon interface publique.
Par exemple, un utilisateur interne qui accède a ce site devrait parcourir le chemin suivant :
10.100.10.65 -> 10.100.10.254 (gateway eth3) -> A.A.A.A -> B.B.B.B -> 10.100.1.10 (eth1).


Mon probleme est que les requetes HTTP se présentent avec une route de retour privée de l'utilisateur, donc pas de retour comme il se devrait.
J'ai tenté d'utiliser une MASQUERADE, sans succès.

Quelqu'un a t'il une idée ?

Merci

Hors ligne

 

#2 27 Aug 2007 16:15:15

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: tronboning avec iptable

Hello,

  Avant toute chose, as-tu considéré l'utilisation d'un Split DNS (aka. Stealth DNS) ? Ceci te permettrait d'avoir deux adresses pour ton service web, une pour le réseau interne et une pour le réseau externe, ce qui simplifie considérablement le problème.

  MASQUERADE a été prévu pour des configurations ou l'IP externe est dynamique; l'adresse NAT source est déduite de l'interface, et la table NAT est réinitialisée si l'interface se désactive. Ceci fonctionne mal si l'interface externe utilise plusieurs adresses, et ne permet pas à tes connexions de survivre a une déconnexion du lien.

  Lorsque ton interface externe dispose d'une ou plusieurs adresses statiques, il est recommandé d'utiliser la cible SNAT au lieu de la cible MASQUERADE, en spécifiant explicitement l'adresse externe avec l'option --to-source. Ici, il te faudrait deux règles SNAT différentes, une pour les paquets sortants de ton réseau interne, et une pour les paquets sortants de ton service web.

  Je n'ai jamais travaillé sur une configuration comme ça en pratique, donc j'ai un petit doute quant a la faisabilité; je ne sais pas si le système de suivi des connexions s'y retrouvera. L'approche par Split DNS me semble plus propre.

++
BOFH

Hors ligne

 

Pied de page des forums

Powered by FluxBB