Conversation
precedente ou
suivante
[Iptables] forwarding ?
Envoyé par:
Nysst
Bonjour à tous,
J'ai un petit problème à résoudre, je vais tâcher de vous l'exposer le plus clairement possible.
J'ai deux réseaux (que l'on nommera LAN1 et LAN2), reliés par un WAN.
LAN1 : 215.184.64.0/21 - routeur 215.218.134.1
LAN2 : 215.218.134.0/24 - routeur 215.184.64.1
Les machines du LAN1 peuvent joindre sans problème les machines du LAN2 et inversement, pas de firewalling entre le 2.
Sur le LAN1, j'ai une machine linux (Redhat 9.0) qui fait office de routeur Internet, puisque celle ci a une interface reliée
au LAN1 (eth0 215.184.67.20) et une autre (eth1 : 192.168.1.2) reliée au modem/routeur internet (192.168.1.1)
Le but étant de permettre aux machines du LAN2 d'accéder aux serveurs pop et smtp de laposte.net (dont j'ai les @IP), qui se
trouvent donc sur Internet.
- La machine linux peut joindre sans problèmes ces deux serveurs
- Les machines du LAN2 peuvent joindre sans problème la machine Linux
Donc maintenant comment faire ?
Je me disais que le plus simple serait que les machines du LAN2 tentent d'établir les connexions POP et SMTP sur la machine
linux, celle ci forwardant les paquets vers Internet .... mais .... comment faire ? J'avais bien ajouté une règle de
forward, mais ça ne semble pas suffir ... il doit falloir gérer autre chose, peut être du NAT?
Merci pour vos lumières ...
Laurent
J'ai un petit problème à résoudre, je vais tâcher de vous l'exposer le plus clairement possible.
J'ai deux réseaux (que l'on nommera LAN1 et LAN2), reliés par un WAN.
LAN1 : 215.184.64.0/21 - routeur 215.218.134.1
LAN2 : 215.218.134.0/24 - routeur 215.184.64.1
Les machines du LAN1 peuvent joindre sans problème les machines du LAN2 et inversement, pas de firewalling entre le 2.
Sur le LAN1, j'ai une machine linux (Redhat 9.0) qui fait office de routeur Internet, puisque celle ci a une interface reliée
au LAN1 (eth0 215.184.67.20) et une autre (eth1 : 192.168.1.2) reliée au modem/routeur internet (192.168.1.1)
Le but étant de permettre aux machines du LAN2 d'accéder aux serveurs pop et smtp de laposte.net (dont j'ai les @IP), qui se
trouvent donc sur Internet.
- La machine linux peut joindre sans problèmes ces deux serveurs
- Les machines du LAN2 peuvent joindre sans problème la machine Linux
Donc maintenant comment faire ?
Je me disais que le plus simple serait que les machines du LAN2 tentent d'établir les connexions POP et SMTP sur la machine
linux, celle ci forwardant les paquets vers Internet .... mais .... comment faire ? J'avais bien ajouté une règle de
forward, mais ça ne semble pas suffir ... il doit falloir gérer autre chose, peut être du NAT?
Merci pour vos lumières ...
Laurent
Poste le Wednesday 18 October 2006 19:05:43
Re: [Iptables] forwarding ?
Envoyé par:
chromosome
Tu n'es pas obligé de faire du NAT pour ca. Ton modem/router peut tres bien le faire lui-meme.
En fait il suffit de suivre les paquets pour comprendre ton probleme.
Les paquets venant du LAN2 (en esperant que leur default gateway soit 215.218.134.1, ceci dit tu as inverser les 2 routers dans ton enonce) vont passer par le router 215.218.134.1, ensuite (evidement il faut que le router 215.184.64.1 ai une default gateway vers la machine linux) ils passent par la machine Linux (qui elle a comme default gateway le modem/router 192.168.1.1) les envoi vers le modem/router, et apres ca suit le chemin classique d'Internet. Mais apres il y a les paquets de retour, il faut donc que ton modem/router ai une route pour le lan 215.218.134.0/24 via 192.168.1.2, ensuite les paquets arrivant que le linux doivent etre route vers le 215.218.64.1 pour le LAN2, etc...
Bref pense a mettre tes routes partout et dans les deux sens.
Maintenant si tu veux, tu peux aussi faire du MASQUERADE sur le firewall, de cette maniere ton router/modem ne verra jamais que le firewall comme client internet et jamais les machines derrieres.
En fait il suffit de suivre les paquets pour comprendre ton probleme.
Les paquets venant du LAN2 (en esperant que leur default gateway soit 215.218.134.1, ceci dit tu as inverser les 2 routers dans ton enonce) vont passer par le router 215.218.134.1, ensuite (evidement il faut que le router 215.184.64.1 ai une default gateway vers la machine linux) ils passent par la machine Linux (qui elle a comme default gateway le modem/router 192.168.1.1) les envoi vers le modem/router, et apres ca suit le chemin classique d'Internet. Mais apres il y a les paquets de retour, il faut donc que ton modem/router ai une route pour le lan 215.218.134.0/24 via 192.168.1.2, ensuite les paquets arrivant que le linux doivent etre route vers le 215.218.64.1 pour le LAN2, etc...
Bref pense a mettre tes routes partout et dans les deux sens.
Maintenant si tu veux, tu peux aussi faire du MASQUERADE sur le firewall, de cette maniere ton router/modem ne verra jamais que le firewall comme client internet et jamais les machines derrieres.
Poste le Wednesday 18 October 2006 20:17:29
Re: [Iptables] forwarding ?
Envoyé par:
Nysst
Merci pour cette réponse. En effet j'avais inversé les routers, mais tu avais rectifié.
Le problème que j'ai par rapport à ce que tu dis, c'est que je ne peux pas retoucher à la conf des routeurs 215.184.64.1 et 215.218.134.1 ... d'où tu peux en déduire mon problème ... et la raison pour laquelle je voulais que les clients du LAN2 aient pour serveur pop et smtp l'@IP du routeur linux (qui lui se serait chargé de réacheminer ...)
Le problème que j'ai par rapport à ce que tu dis, c'est que je ne peux pas retoucher à la conf des routeurs 215.184.64.1 et 215.218.134.1 ... d'où tu peux en déduire mon problème ... et la raison pour laquelle je voulais que les clients du LAN2 aient pour serveur pop et smtp l'@IP du routeur linux (qui lui se serait chargé de réacheminer ...)
Poste le Wednesday 18 October 2006 21:07:35
Re: [Iptables] forwarding ?
Envoyé par:
chromosome
Donc tu ne sais pas changer le routage de ton reseau interne et tu veux pouvoir acceder a plusieurs adresses a l'exterieurs.
Donc il te reste 2 choix, NAT sur le firewall (mais pas terrible comme solution, pas tres belle je trouve), la second placer le programme rinetd sur le firewall (solution propre et en fait ca fait effet de port forwarding, c'est un proxy applicatif)
Tu pourrais aussi mettre un mail relay sur ton firewall, mais la je suppose que tu auras de problemes pour obtenir l'ensemble des login/password des comptes pop3.
Pour le smtp un simple postfix, ou autre fera l'affaire sur le firewall. Et donc rinetd pour les pop3
Donc il te reste 2 choix, NAT sur le firewall (mais pas terrible comme solution, pas tres belle je trouve), la second placer le programme rinetd sur le firewall (solution propre et en fait ca fait effet de port forwarding, c'est un proxy applicatif)
Tu pourrais aussi mettre un mail relay sur ton firewall, mais la je suppose que tu auras de problemes pour obtenir l'ensemble des login/password des comptes pop3.
Pour le smtp un simple postfix, ou autre fera l'affaire sur le firewall. Et donc rinetd pour les pop3
Poste le Wednesday 18 October 2006 22:04:06
Ce forum !
[Iptables] forwarding ?
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons