Yop les ptis gars... je sèche ... ouais je sais, tout part en couille, mais c'est le cas, je sèche :D
Alors voila mon souci.
Config actuelle :
-> un serveur ALPHA disposant de deux ip publiques routées correctement dont une particulière que je vais appeler
-> un autre serveur BETA ayant un accès au net avec une ip dynamique, mais relié en vpn au serveur ALPHA via un plan d'adressage privé (ip fixe , ip du serveur ALPHA, )
Objectif :
-> pouvoir présenter des paquets envoyés sur le serveur ALPHA sur son ip A vers le serveur B (via son ip privée VPN)
Contraintes :
-> je ne veux pas modifier les routes par défaut des de la machine BETA
Pour envoyer les paquets arrivant sur vers , pas de souci, un pti :
-A PREROUTING -d -p tcp -m tcp --dport -j DNAT --to-destination
PAR CONTRE, pour la voie de retour... comment puis-je faire ? Rappel : je ne veux pas modifier les routes par défaut, donc lors du renvoi du paquet arrivé sur (depuis une source address quelconque évidemment, puisque ca peut venir de tout le net), je veux forcer le paquet, non pas à partir sur ma default gateway (donc sortir sur l'ip dynamique), mais vers l'ip VPN du serveur ALPHA, et qu'en plus ALPHA sache quoi en faire et l'envoyer sur le net avec comme source address
J'espère que c'est assez clair, sinon à votre dispo pour des précisions ;)
Pb de routage + nat, pour les kadors en iptables ;)
-
- Zone Privée réflexion partagée
- Messages : 21
- Enregistré le : 22 février 2009, 12:25
- Localisation : Nantes
- Contact :
- jip
- Administrateur
- Messages : 2607
- Enregistré le : 22 février 2008, 21:00
- Localisation : Toulouse
- Contact :
Re : Pb de routage + nat, pour les kadors en iptables ;)
Ben tu rigole pas quand tu nous lance un sujet toi !!
Euh, bêtement comme ça, je suppose que c'est des règles iptables ?
et un POSTROUTING avec une règle SNAT, ça irait pas ?
Genre : "iptables -t nat -A POSTROUTING -d -p tcp --dport -j SNAT --to-source " ???????
là c'est juste une idée comme ça car je suis pas super pointu sur ce sujet en fait (un peu à l'instinct là. comme souvent sur certains sujets).
c'est surtout histoire de donner une piste ...
Euh, bêtement comme ça, je suppose que c'est des règles iptables ?
et un POSTROUTING avec une règle SNAT, ça irait pas ?
Genre : "iptables -t nat -A POSTROUTING -d -p tcp --dport -j SNAT --to-source " ???????
là c'est juste une idée comme ça car je suis pas super pointu sur ce sujet en fait (un peu à l'instinct là. comme souvent sur certains sujets).
c'est surtout histoire de donner une piste ...
Modifié en dernier par jip le 30 mai 2009, 14:19, modifié 1 fois.
Un synonyme, c'est un mot qu'on écrit pour remplacer celui dont on ne connait pas l'orthographe. (source inconnue). L'imagination est plus importante que le savoir. (Albert Einstein)
[align=center][/align]
BoincLibristes, FreeTorrent, Ma brute
[align=center][/align]
BoincLibristes, FreeTorrent, Ma brute
-
- Zone Privée réflexion partagée
- Messages : 21
- Enregistré le : 22 février 2009, 12:25
- Localisation : Nantes
- Contact :
Re : Pb de routage + nat, pour les kadors en iptables ;)
Mais is je fait un source nat sur le serveur ALPHA, donc ... si le paquet revient, le kernel va garder la trace de ce snat pour le re-sourcer correctement ensuite ??
message fusionné: [time]1243704195[/time]
Donc voici la deuxième règle que j'ai employé :
iptables -t nat -A POSTROUTING -d -p tcp -m tcp -dport 80 -j SNAT ---to-source
message fusionné: [time]1243704195[/time]
Bon j'ai trouvé, je me quote moi même pour confirmer que le kernel fait bien (évidemment j'oserais dire) du statefull sur ces connexion ... tout comme sur un MASQUERADE.Origin a écrit : Mais is je fait un source nat sur le serveur ALPHA, donc ... si le paquet revient, le kernel va garder la trace de ce snat pour le re-sourcer correctement ensuite ??
Donc voici la deuxième règle que j'ai employé :
iptables -t nat -A POSTROUTING -d -p tcp -m tcp -dport 80 -j SNAT ---to-source
Modifié en dernier par Origin le 30 mai 2009, 19:23, modifié 1 fois.
null
- jip
- Administrateur
- Messages : 2607
- Enregistré le : 22 février 2008, 21:00
- Localisation : Toulouse
- Contact :
Re : Pb de routage + nat, pour les kadors en iptables ;)
ouais, donc pratiquement ce que je t'avais indiqué.
ça me rassure.
j'étais pas certain d'avoir tout compris au début ...
mais bon apparemment si !
ça me rassure.
j'étais pas certain d'avoir tout compris au début ...
mais bon apparemment si !
Un synonyme, c'est un mot qu'on écrit pour remplacer celui dont on ne connait pas l'orthographe. (source inconnue). L'imagination est plus importante que le savoir. (Albert Einstein)
[align=center][/align]
BoincLibristes, FreeTorrent, Ma brute
[align=center][/align]
BoincLibristes, FreeTorrent, Ma brute