Comment rediriger du traffic interne en repassant par internet ???

Le
Chris
Bonjour,

j'ai un petit problème

Le contexte:
J'héberge chez moi quelques sites internet. Pour cela j'ai une machine
Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le
serveur web (sous Etch) et un firewall, une appliance Endian Firewall
Community 2.2 RC3.

J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.

Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10.
Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui
forwarde tout le traffic venant d'internet sur le firewall au
192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers
172.16.1.10:80.
Concernant GREEN, j'ai mes postes et serveurs windows.

Depuis internet, tout va bien, les requêtes vers http://mondomaine.com
sont bien résolues vers l'ip publique du modem, qui NAT tout vers le
192.168.0.253, qui lui NAT vers le 172.16.1.10:80.

Par contre depuis mon poste, ma requête vers http://mondomaine.com est
bien résolue vers l'ip publique ADSL, mais part dans le vide.

Que puis-je faire pour que le traffic se fasse depuis le réseau vert,
et pourquoi ça ne passe pas ?
Si possible j'aimerais éviter de passer par une zone DNS spécifique
pour le LAN, parce que je n'ai pas envie de le modifier à chaque fois
que la zone internet est modifiée, et aussi surtout parce que je veux
comprendre ce qui se passe au niveau IP :o)

Chris
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GuiGui
Le #17677541
Chris a écrit :
Bonjour,

j'ai un petit problème

Le contexte:
J'héberge chez moi quelques sites internet. Pour cela j'ai une machine
Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le
serveur web (sous Etch) et un firewall, une appliance Endian Firewall
Community 2.2 RC3.

J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.

Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10.
Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui
forwarde tout le traffic venant d'internet sur le firewall au
192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers
172.16.1.10:80.
Concernant GREEN, j'ai mes postes et serveurs windows.

Depuis internet, tout va bien, les requêtes vers http://mondomaine.com
sont bien résolues vers l'ip publique du modem, qui NAT tout vers le
192.168.0.253, qui lui NAT vers le 172.16.1.10:80.

Par contre depuis mon poste, ma requête vers http://mondomaine.com est
bien résolue vers l'ip publique ADSL, mais part dans le vide.

Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et
pourquoi ça ne passe pas ?
Si possible j'aimerais éviter de passer par une zone DNS spécifique pour
le LAN, parce que je n'ai pas envie de le modifier à chaque fois que la
zone internet est modifiée, et aussi surtout parce que je veux
comprendre ce qui se passe au niveau IP :o)

Chris





Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur
lorsque la souurce est la zone GREEN et l'IP destination celle
correspondant à mondomaine.com
Chris
Le #17678011
GuiGui wrote on 29/10/2008 :
Chris a écrit :
Bonjour,

j'ai un petit problème

Le contexte:
J'héberge chez moi quelques sites internet. Pour cela j'ai une machine Xen
sur laquelle j'héberge plusieurs machines virtuelles, dont le serveur web
(sous Etch) et un firewall, une appliance Endian Firewall Community 2.2
RC3.

J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.

Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10.
Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui
forwarde tout le traffic venant d'internet sur le firewall au
192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers
172.16.1.10:80.
Concernant GREEN, j'ai mes postes et serveurs windows.

Depuis internet, tout va bien, les requêtes vers http://mondomaine.com sont
bien résolues vers l'ip publique du modem, qui NAT tout vers le
192.168.0.253, qui lui NAT vers le 172.16.1.10:80.

Par contre depuis mon poste, ma requête vers http://mondomaine.com est bien
résolue vers l'ip publique ADSL, mais part dans le vide.

Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et
pourquoi ça ne passe pas ?
Si possible j'aimerais éviter de passer par une zone DNS spécifique pour le
LAN, parce que je n'ai pas envie de le modifier à chaque fois que la zone
internet est modifiée, et aussi surtout parce que je veux comprendre ce qui
se passe au niveau IP :o)

Chris



Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur lorsque
la souurce est la zone GREEN et l'IP destination celle correspondant à
mondomaine.com



Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel
il repose, permette de faire ça depuis le réseau vers, visiblement la
source du DNAT est implicitement RED pour lui. Après peut-être faut-il
jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.

En plus il faudra préciser le port 80 dans la règle, parce que je vais
avoir le même problème pour l'IMAP, qui repose sur la même addresse
publique, mais est hébergée par une autre vm :/

Mais effectivement ça parait une bonne approche.
GuiGui
Le #17678741
Chris a écrit :

Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il
repose, permette de faire ça depuis le réseau vers, visiblement la
source du DNAT est implicitement RED pour lui. Après peut-être faut-il
jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.

En plus il faudra préciser le port 80 dans la règle, parce que je vais
avoir le même problème pour l'IMAP, qui repose sur la même addresse
publique, mais est hébergée par une autre vm :/

Mais effectivement ça parait une bonne approche.





Il faut lui faire manger une règle du genre :

PREROUTING -i eth_GREEN -d @IP_domaine.com -p tcp --dport 80 -j DNAT
--to-destination 172.16.1.10

Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les
related & established qui vont bien pour la réponse.

Je ne connais pas Endian/IPCop, mais ça doit être possible.
Charly
Le #17685491
GuiGui a écrit :
Chris a écrit :

Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel
il repose, permette de faire ça depuis le réseau vers, visiblement la
source du DNAT est implicitement RED pour lui. Après peut-être faut-il
jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.

En plus il faudra préciser le port 80 dans la règle, parce que je vais
avoir le même problème pour l'IMAP, qui repose sur la même addresse
publique, mais est hébergée par une autre vm :/

Mais effectivement ça parait une bonne approche.





Il faut lui faire manger une règle du genre :

PREROUTING -i eth_GREEN -d @IP_domaine.com -p tcp --dport 80 -j DNAT
--to-destination 172.16.1.10

Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les
related & established qui vont bien pour la réponse.

Je ne connais pas Endian/IPCop, mais ça doit être possible.



Et modifier la résolution interne de cette adresse ? un DNS interne ou
fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du
firewall ? Bon cela n'empeche pas d'adapter les regles de controle de
ce dernier si elles bloquent, mais peut éviter de passer par le routeur
ADSL.

Charly
GuiGui
Le #17686481
Charly a écrit :

Et modifier la résolution interne de cette adresse ? un DNS interne ou
fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du
firewall ? Bon cela n'empeche pas d'adapter les regles de controle de
ce dernier si elles bloquent, mais peut éviter de passer par le routeur
ADSL.



La question était justement de ne pas toucher à la conf du DNS. Sinon,
il est évident que la meilleure solution est de mettre 2 vues dans le DNS.
Publicité
Poster une réponse
Anonyme