/etc/network/interfaces et mauvaise gateway

Le
fabrice régnier
salut la liste ;)

je peine sur un problème depuis quelques heures:

J'ai 3 machines: A, B, C

A: machine sur internet
B: fw eth0: 172.25.01.252 et eth1:IP_publique_X
C: serveur eth0: 172.25.01.81 et eth1:IP_publique_Y


Depuis A, je souhaite me connecter en ssh sur C en passant par B qui me
fait du DNAT. Cela fonctionne nickel à une condition : sur C, il faut
que je désactive une route (dont j'ai besoin par ailleurs)

Selon vous, comment puis-je faire pour avoir cette route up (cf
/etc/network/interfaces) sur C et pouvoir l'attaquer par eth0 en DNAT ?

rq: à quoi me sert cette route ? à permettre à eth1 de dialoguer avec
_une seule_ machine IP_PUBLIQUE_Z.

J'espère avoir été assez clair.

Voici le /etc/network/interface de la machine C:

dev-intranet:~# cat /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 172.25.01.81
netmask 255.255.255.0
network 172.25.01.0
gateway 172.25.01.252
broadcast 172.25.01.255

auto eth1
iface eth1 inet static
address IP_publique_Y
netmask 255.255.255.248
network blabla
broadcast blabla
# gateway blabla
#up route add -net IP_PUBLIQUE_Z netmask 255.255.255.255 gw blabla

merci et a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Boisson
Le #19327921
Le Wed, 13 May 2009 19:20:25 +0200
fabrice régnier
auto eth1
iface eth1 inet static
address IP_publique_Y
netmask 255.255.255.248
network blabla
broadcast blabla
# gateway blabla
#up route add -net IP_PUBLIQUE_Z netmask 255.255.255.255 gw blabla



auto eth1
iface eth1 inet static
address IP_publique_Y
netmask 255.255.255.248
network blabla
broadcast blabla
post-up route add -host IP_PUBLIQUE_Z blabla


devrait marcher

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fabrice régnier
Le #19328681
> post-up route add -host IP_PUBLIQUE_Z blabla
devrait marcher


Hélas non.

j'ai mis :
post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C

mais je ne parviens toujours pas à faire:
ssh -p 2223 IP_publique_X sur la machine A
alors que si je vire la route de C, ça marche.

d'autres idées ?

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fabrice régnier
Le #19328831
Je me réponds et je flagelle avec des orties bio!

Il est normal que C me renvoie les paquets sur la mauvaise gateway car
lorsque je teste sur A

ssh -p 2223 IP_publique_X

en espérant que C me retourne les paquets sur 172.25.01.252 et bien je
me fourre le doigt dans l'oeil car l'IP de A n'est autre que
l'IP_PUBLIQUE_Z utilisée dans la route sur C !

Merci à François pour avoir tenté de me sortir de mon puit d'ignorance
crasse ;)

a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
Le #19328981
Salut,

fabrice régnier a écrit :
post-up route add -host IP_PUBLIQUE_Z blabla
devrait marcher


Hélas non.

j'ai mis :
post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C



En fait up et post-up sont équivalents.

mais je ne parviens toujours pas à faire:
ssh -p 2223 IP_publique_X sur la machine A
alors que si je vire la route de C, ça marche.



Depuis IP_PUBLIQUE_Z ou une autre adresse apparente ? Cette route ne
devrait interférer que dans les communications avec IP_PUBLIQUE_Z.
Le problème se manifeste comment ? Tu as fait des captures de paquets
sur les différentes interfaces de C pour voir par où passe le trafic
aller et retour ?
La ligne "gateway blabla" reste bien commentée en permanence ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
Le #19329181
fabrice régnier a écrit :

Il est normal que C me renvoie les paquets sur la mauvaise gateway car
lorsque je teste sur A

ssh -p 2223 IP_publique_X

en espérant que C me retourne les paquets sur 172.25.01.252 et bien je
me fourre le doigt dans l'oeil car l'IP de A n'est autre que
l'IP_PUBLIQUE_Z utilisée dans la route sur C !



Alors il va falloir mettre en oeuvre du routage avancé en fonction de
l'adresse source (ip rule add from) pour résoudre ce problème.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fabrice régnier
Le #19329611
>> en espérant que C me retourne les paquets sur 172.25.01.252 et bien je
me fourre le doigt dans l'oeil car l'IP de A n'est autre que
l'IP_PUBLIQUE_Z utilisée dans la route sur C !



Alors il va falloir mettre en oeuvre du routage avancé en fonction de
l'adresse source (ip rule add from) pour résoudre ce problème.


Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire.
Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier
une connection avec C donc pas de soucis. Demain, j'essaie depuis une
autre machine et cela devrait rouler.

En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour
résoudre ce problème.

a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
Le #19329711
fabrice régnier a écrit :

Alors il va falloir mettre en oeuvre du routage avancé en fonction de
l'adresse source (ip rule add from) pour résoudre ce problème.



Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire.
Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier
une connection avec C donc pas de soucis. Demain, j'essaie depuis une
autre machine et cela devrait rouler.



Avec du routage avancé pas très compliqué tu pourrais faire en sorte que
ça marche même depuis A. Par exemple : si adresse source = 172.25.01.81
alors router par eth0, même si la destination est IP_PUBLIQUE_Z.
Inversement, si adresse source = IP_PUBLIQUE_Y alors router par eth1,
sauf si la destination est dans 172.25.1.0/24.

En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour
résoudre ce problème.



Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple"
routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans
ip rule/ip route.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
fabrice régnier
Le #19331521
salut,

Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple"
routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans
ip rule/ip route.


dev-intranet:~# aptitude install iproute

http://linux-ip.net/html/tools-ip-rule.html
http://linux-ip.net/html/tools-ip-route.html

et après... euh, c'est trop fort pour moi, ceci dit, tu as piqué ma
curiosité! lorsque j'aurai un peu plus de temps, je plonge dans la doc.
Pour l'instant, je ne vois pas trop quand créer des ip route ou ip rule
et les exemples sont plutôt spartiates.
Merci pour m'avoir mis sur la piste ;)

a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme