[Je coupe]
maintenant voila le point problematique :
si depuis 192.168.255.0/24 je peux pinger 192.168.254.252 et
192.168.254.253, je ne peux le faire si je suis sur 192.168.254.z.
a l'opposé, si je suis sur 192.168.254.0/24, je ne peux pinger que
192.168.255.252 et 192.168.255.253.
d'apres traceroute, ca bloque au niveau du routeur, a savoir qu'il ne
renvoie pas le premier ping
[Je coupe]
maintenant voila le point problematique :
si depuis 192.168.255.0/24 je peux pinger 192.168.254.252 et
192.168.254.253, je ne peux le faire si je suis sur 192.168.254.z.
a l'opposé, si je suis sur 192.168.254.0/24, je ne peux pinger que
192.168.255.252 et 192.168.255.253.
d'apres traceroute, ca bloque au niveau du routeur, a savoir qu'il ne
renvoie pas le premier ping
[Je coupe]
maintenant voila le point problematique :
si depuis 192.168.255.0/24 je peux pinger 192.168.254.252 et
192.168.254.253, je ne peux le faire si je suis sur 192.168.254.z.
a l'opposé, si je suis sur 192.168.254.0/24, je ne peux pinger que
192.168.255.252 et 192.168.255.253.
d'apres traceroute, ca bloque au niveau du routeur, a savoir qu'il ne
renvoie pas le premier ping
Bonjour,
je suis actuellement en train de travailler sur la configuration d'une
machine routeur dédiée sous Linux qui va servir a partager ma connection
free entre moi et 4 potes. Pour rendre les choses un peu plus facile,
j'ai masqueradé les DNS sur 192.168.{254,255}.{252,253} de maniere a ce
que vu de l'interieur, les adresses de DNS soient constantes.
Mouais, en général on place plutôt un proxyDNS qui est une application dédié
en interne
nous avons deux reseaux 192.168 , 192.168.255.0/24 utilisé exclusivement
par moi, et 192.168.254.0/24 utilisé par tout les autres, afin de
pouvoir restreindre les possibilités de prise de controle du routeur par
ssh.
on a donc ca :
routeur : -eth0 ; 192.168.255.254/24
-eth1 ; IP pseudostatique uuu.vvv.www.xxx/24
-eth2 ; 192.168.254.254/24
tables de routage :
uuu.vvv.www.0/24 dev eth1 proto kernel scope link src uuu.vvv.www.xxx
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.254
192.168.255.0/24 dev eth0 proto kernel scope link src 192.168.255.254
default via uuu.www.xxx.254 dev eth1
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere 192.168.254.252 to:213.228.0.168
DNAT all -- anywhere 192.168.255.252 to:213.228.0.168
DNAT all -- anywhere 192.168.254.253 to:213.228.0.96
DNAT all -- anywhere 192.168.255.253 to:213.228.0.96
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:uuu.vvv.www.xxx
Paf ! Gagné ! Ca ca se place UNIQUEMENT sur l'interface SORTANTE (eth1) et
Bonjour,
je suis actuellement en train de travailler sur la configuration d'une
machine routeur dédiée sous Linux qui va servir a partager ma connection
free entre moi et 4 potes. Pour rendre les choses un peu plus facile,
j'ai masqueradé les DNS sur 192.168.{254,255}.{252,253} de maniere a ce
que vu de l'interieur, les adresses de DNS soient constantes.
Mouais, en général on place plutôt un proxyDNS qui est une application dédié
en interne
nous avons deux reseaux 192.168 , 192.168.255.0/24 utilisé exclusivement
par moi, et 192.168.254.0/24 utilisé par tout les autres, afin de
pouvoir restreindre les possibilités de prise de controle du routeur par
ssh.
on a donc ca :
routeur : -eth0 ; 192.168.255.254/24
-eth1 ; IP pseudostatique uuu.vvv.www.xxx/24
-eth2 ; 192.168.254.254/24
tables de routage :
uuu.vvv.www.0/24 dev eth1 proto kernel scope link src uuu.vvv.www.xxx
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.254
192.168.255.0/24 dev eth0 proto kernel scope link src 192.168.255.254
default via uuu.www.xxx.254 dev eth1
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere 192.168.254.252 to:213.228.0.168
DNAT all -- anywhere 192.168.255.252 to:213.228.0.168
DNAT all -- anywhere 192.168.254.253 to:213.228.0.96
DNAT all -- anywhere 192.168.255.253 to:213.228.0.96
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:uuu.vvv.www.xxx
Paf ! Gagné ! Ca ca se place UNIQUEMENT sur l'interface SORTANTE (eth1) et
Bonjour,
je suis actuellement en train de travailler sur la configuration d'une
machine routeur dédiée sous Linux qui va servir a partager ma connection
free entre moi et 4 potes. Pour rendre les choses un peu plus facile,
j'ai masqueradé les DNS sur 192.168.{254,255}.{252,253} de maniere a ce
que vu de l'interieur, les adresses de DNS soient constantes.
Mouais, en général on place plutôt un proxyDNS qui est une application dédié
en interne
nous avons deux reseaux 192.168 , 192.168.255.0/24 utilisé exclusivement
par moi, et 192.168.254.0/24 utilisé par tout les autres, afin de
pouvoir restreindre les possibilités de prise de controle du routeur par
ssh.
on a donc ca :
routeur : -eth0 ; 192.168.255.254/24
-eth1 ; IP pseudostatique uuu.vvv.www.xxx/24
-eth2 ; 192.168.254.254/24
tables de routage :
uuu.vvv.www.0/24 dev eth1 proto kernel scope link src uuu.vvv.www.xxx
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.254
192.168.255.0/24 dev eth0 proto kernel scope link src 192.168.255.254
default via uuu.www.xxx.254 dev eth1
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere 192.168.254.252 to:213.228.0.168
DNAT all -- anywhere 192.168.255.252 to:213.228.0.168
DNAT all -- anywhere 192.168.254.253 to:213.228.0.96
DNAT all -- anywhere 192.168.255.253 to:213.228.0.96
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:uuu.vvv.www.xxx
Paf ! Gagné ! Ca ca se place UNIQUEMENT sur l'interface SORTANTE (eth1) et
Bonjour,
je suis actuellement en train de travailler sur la configuration d'une
machine routeur dédiée sous Linux qui va servir a partager ma connection
free entre moi et 4 potes. Pour rendre les choses un peu plus facile,
j'ai masqueradé les DNS sur 192.168.{254,255}.{252,253} de maniere a ce
que vu de l'interieur, les adresses de DNS soient constantes.
en interne
nous avons deux reseaux 192.168 , 192.168.255.0/24 utilisé exclusivement
par moi, et 192.168.254.0/24 utilisé par tout les autres, afin de
pouvoir restreindre les possibilités de prise de controle du routeur par
ssh.
on a donc ca :
routeur : -eth0 ; 192.168.255.254/24
-eth1 ; IP pseudostatique uuu.vvv.www.xxx/24
-eth2 ; 192.168.254.254/24
tables de routage :
uuu.vvv.www.0/24 dev eth1 proto kernel scope link src uuu.vvv.www.xxx
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.254
192.168.255.0/24 dev eth0 proto kernel scope link src 192.168.255.254
default via uuu.www.xxx.254 dev eth1
regles iptables
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere 192.168.254.252 to:213.228.0.168
DNAT all -- anywhere 192.168.255.252 to:213.228.0.168
DNAT all -- anywhere 192.168.254.253 to:213.228.0.96
DNAT all -- anywhere 192.168.255.253 to:213.228.0.96
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:uuu.vvv.www.xxx
Bonjour,
je suis actuellement en train de travailler sur la configuration d'une
machine routeur dédiée sous Linux qui va servir a partager ma connection
free entre moi et 4 potes. Pour rendre les choses un peu plus facile,
j'ai masqueradé les DNS sur 192.168.{254,255}.{252,253} de maniere a ce
que vu de l'interieur, les adresses de DNS soient constantes.
en interne
nous avons deux reseaux 192.168 , 192.168.255.0/24 utilisé exclusivement
par moi, et 192.168.254.0/24 utilisé par tout les autres, afin de
pouvoir restreindre les possibilités de prise de controle du routeur par
ssh.
on a donc ca :
routeur : -eth0 ; 192.168.255.254/24
-eth1 ; IP pseudostatique uuu.vvv.www.xxx/24
-eth2 ; 192.168.254.254/24
tables de routage :
uuu.vvv.www.0/24 dev eth1 proto kernel scope link src uuu.vvv.www.xxx
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.254
192.168.255.0/24 dev eth0 proto kernel scope link src 192.168.255.254
default via uuu.www.xxx.254 dev eth1
regles iptables
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere 192.168.254.252 to:213.228.0.168
DNAT all -- anywhere 192.168.255.252 to:213.228.0.168
DNAT all -- anywhere 192.168.254.253 to:213.228.0.96
DNAT all -- anywhere 192.168.255.253 to:213.228.0.96
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:uuu.vvv.www.xxx
Bonjour,
je suis actuellement en train de travailler sur la configuration d'une
machine routeur dédiée sous Linux qui va servir a partager ma connection
free entre moi et 4 potes. Pour rendre les choses un peu plus facile,
j'ai masqueradé les DNS sur 192.168.{254,255}.{252,253} de maniere a ce
que vu de l'interieur, les adresses de DNS soient constantes.
en interne
nous avons deux reseaux 192.168 , 192.168.255.0/24 utilisé exclusivement
par moi, et 192.168.254.0/24 utilisé par tout les autres, afin de
pouvoir restreindre les possibilités de prise de controle du routeur par
ssh.
on a donc ca :
routeur : -eth0 ; 192.168.255.254/24
-eth1 ; IP pseudostatique uuu.vvv.www.xxx/24
-eth2 ; 192.168.254.254/24
tables de routage :
uuu.vvv.www.0/24 dev eth1 proto kernel scope link src uuu.vvv.www.xxx
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.254
192.168.255.0/24 dev eth0 proto kernel scope link src 192.168.255.254
default via uuu.www.xxx.254 dev eth1
regles iptables
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all -- anywhere 192.168.254.252 to:213.228.0.168
DNAT all -- anywhere 192.168.255.252 to:213.228.0.168
DNAT all -- anywhere 192.168.254.253 to:213.228.0.96
DNAT all -- anywhere 192.168.255.253 to:213.228.0.96
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere to:uuu.vvv.www.xxx
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
Chuis d'accord avec Domi. <pub> dnsmasq </pub>
Ah oui, c'est ça. Mais je crois en avoir vu un autre récemment.
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chuis encore d'accord avec Domi. En même temps, tu ne peux pas savoir si
ce sage précepte a été appliqué ici ou pas : la sortie "normale"
d'iptables -L (sans l'option bavarde -v) ne mentionne pas les
interfaces.
Ah oui, c'est vrai. Comme j'utilise systématiquement -nv effectivement
Grosse carence AMA. Compte tenu de la mauvaise lisibilité de
la sortie complète, on préfèrera soit le listing du script de création
des règles, soit la sortie de la commande iptables-save qui a en plus
l'avantage de lister le contenu de toutes les tables d'un coup.
Oui l'un ou l'autre ou un schema ce serait bien préférable.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Ben, je t'avouerai que je n'ai pas compris ton histoire d'ARP.
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
Chuis d'accord avec Domi. <pub> dnsmasq </pub>
Ah oui, c'est ça. Mais je crois en avoir vu un autre récemment.
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chuis encore d'accord avec Domi. En même temps, tu ne peux pas savoir si
ce sage précepte a été appliqué ici ou pas : la sortie "normale"
d'iptables -L (sans l'option bavarde -v) ne mentionne pas les
interfaces.
Ah oui, c'est vrai. Comme j'utilise systématiquement -nv effectivement
Grosse carence AMA. Compte tenu de la mauvaise lisibilité de
la sortie complète, on préfèrera soit le listing du script de création
des règles, soit la sortie de la commande iptables-save qui a en plus
l'avantage de lister le contenu de toutes les tables d'un coup.
Oui l'un ou l'autre ou un schema ce serait bien préférable.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Ben, je t'avouerai que je n'ai pas compris ton histoire d'ARP.
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
Chuis d'accord avec Domi. <pub> dnsmasq </pub>
Ah oui, c'est ça. Mais je crois en avoir vu un autre récemment.
regles iptables
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chuis encore d'accord avec Domi. En même temps, tu ne peux pas savoir si
ce sage précepte a été appliqué ici ou pas : la sortie "normale"
d'iptables -L (sans l'option bavarde -v) ne mentionne pas les
interfaces.
Ah oui, c'est vrai. Comme j'utilise systématiquement -nv effectivement
Grosse carence AMA. Compte tenu de la mauvaise lisibilité de
la sortie complète, on préfèrera soit le listing du script de création
des règles, soit la sortie de la commande iptables-save qui a en plus
l'avantage de lister le contenu de toutes les tables d'un coup.
Oui l'un ou l'autre ou un schema ce serait bien préférable.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Ben, je t'avouerai que je n'ai pas compris ton histoire d'ARP.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Ben, je t'avouerai que je n'ai pas compris ton histoire d'ARP.
Plus exactement je n'ai pas saisi ce qu'elle venait faire dans l'histoire.
Le routage fonctionne (ping vers l'extérieur) c'est donc que ARP fonctionne
sur les 2 interfaces eth0 et eth2.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Ben, je t'avouerai que je n'ai pas compris ton histoire d'ARP.
Plus exactement je n'ai pas saisi ce qu'elle venait faire dans l'histoire.
Le routage fonctionne (ping vers l'extérieur) c'est donc que ARP fonctionne
sur les 2 interfaces eth0 et eth2.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Ben, je t'avouerai que je n'ai pas compris ton histoire d'ARP.
Plus exactement je n'ai pas saisi ce qu'elle venait faire dans l'histoire.
Le routage fonctionne (ping vers l'extérieur) c'est donc que ARP fonctionne
sur les 2 interfaces eth0 et eth2.
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
Chuis d'accord avec Domi. <pub> dnsmasq </pub>
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chuis encore d'accord avec Domi. En même temps, tu ne peux pas savoir si
ce sage précepte a été appliqué ici ou pas : la sortie "normale"
d'iptables -L (sans l'option bavarde -v) ne mentionne pas les
interfaces. Grosse carence AMA. Compte tenu de la mauvaise lisibilité de
la sortie complète, on préfèrera soit le listing du script de création
des règles, soit la sortie de la commande iptables-save qui a en plus
l'avantage de lister le contenu de toutes les tables d'un coup.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
Chuis d'accord avec Domi. <pub> dnsmasq </pub>
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chuis encore d'accord avec Domi. En même temps, tu ne peux pas savoir si
ce sage précepte a été appliqué ici ou pas : la sortie "normale"
d'iptables -L (sans l'option bavarde -v) ne mentionne pas les
interfaces. Grosse carence AMA. Compte tenu de la mauvaise lisibilité de
la sortie complète, on préfèrera soit le listing du script de création
des règles, soit la sortie de la commande iptables-save qui a en plus
l'avantage de lister le contenu de toutes les tables d'un coup.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Mouais, en général on place plutôt un proxyDNS qui est une application
dédiée à ce genre de boulot.
Chuis d'accord avec Domi. <pub> dnsmasq </pub>
Hum, première remarque : les règles se confectionnent PAR INTERFACE.
Chuis encore d'accord avec Domi. En même temps, tu ne peux pas savoir si
ce sage précepte a été appliqué ici ou pas : la sortie "normale"
d'iptables -L (sans l'option bavarde -v) ne mentionne pas les
interfaces. Grosse carence AMA. Compte tenu de la mauvaise lisibilité de
la sortie complète, on préfèrera soit le listing du script de création
des règles, soit la sortie de la commande iptables-save qui a en plus
l'avantage de lister le contenu de toutes les tables d'un coup.
A part ça, tu penses que je suis complètement à côté de la plaque avec
mon histoire d'ARP ?
Par contre, pour joindre les adresses de DNS définies dans l'autre
sous-réseau, la machine émettrice sait grâce à sa table de routage
qu'elle doit passer par une passerelle. Dans ce cas, la requête ARP
porte sur l'adresse IP de la passerelle et non de l'adresse IP
destination. Le routeur répond à la requête ARP avec sa propre adresse
MAC, et la machine envoie le paquet IP avec l'adresse IP destination
réelle mais l'adresse MAC destination du routeur. Le routeur reçoit le
paquet et peut faire le masquerading.
Bref, il faut faire en sorte que le routeur réponde lui-même aux
requêtes ARP pour ces adresses IP inexistantes. Je pensais qu'on pouvait
le faire avec l'option "pub" de la commande arp :
$ arp -i eth0 -Ds 192.168.255.252 eth0 pub
et ainsi de suite.
Mais je n'ai pas réussi à le faire fonctionner avec mon propre routeur
bien que la commande soit acceptée. D'après mes recherches je ne suis
pas le seul. Tu auras peut-être plus de chance.
Par contre, pour joindre les adresses de DNS définies dans l'autre
sous-réseau, la machine émettrice sait grâce à sa table de routage
qu'elle doit passer par une passerelle. Dans ce cas, la requête ARP
porte sur l'adresse IP de la passerelle et non de l'adresse IP
destination. Le routeur répond à la requête ARP avec sa propre adresse
MAC, et la machine envoie le paquet IP avec l'adresse IP destination
réelle mais l'adresse MAC destination du routeur. Le routeur reçoit le
paquet et peut faire le masquerading.
Bref, il faut faire en sorte que le routeur réponde lui-même aux
requêtes ARP pour ces adresses IP inexistantes. Je pensais qu'on pouvait
le faire avec l'option "pub" de la commande arp :
$ arp -i eth0 -Ds 192.168.255.252 eth0 pub
et ainsi de suite.
Mais je n'ai pas réussi à le faire fonctionner avec mon propre routeur
bien que la commande soit acceptée. D'après mes recherches je ne suis
pas le seul. Tu auras peut-être plus de chance.
Par contre, pour joindre les adresses de DNS définies dans l'autre
sous-réseau, la machine émettrice sait grâce à sa table de routage
qu'elle doit passer par une passerelle. Dans ce cas, la requête ARP
porte sur l'adresse IP de la passerelle et non de l'adresse IP
destination. Le routeur répond à la requête ARP avec sa propre adresse
MAC, et la machine envoie le paquet IP avec l'adresse IP destination
réelle mais l'adresse MAC destination du routeur. Le routeur reçoit le
paquet et peut faire le masquerading.
Bref, il faut faire en sorte que le routeur réponde lui-même aux
requêtes ARP pour ces adresses IP inexistantes. Je pensais qu'on pouvait
le faire avec l'option "pub" de la commande arp :
$ arp -i eth0 -Ds 192.168.255.252 eth0 pub
et ainsi de suite.
Mais je n'ai pas réussi à le faire fonctionner avec mon propre routeur
bien que la commande soit acceptée. D'après mes recherches je ne suis
pas le seul. Tu auras peut-être plus de chance.
"" wrote in message
news:ct0g2n$265j$Par contre, pour joindre les adresses de DNS définies dans l'autre
sous-réseau, la machine émettrice sait grâce à sa table de routage
qu'elle doit passer par une passerelle. Dans ce cas, la requête ARP
porte sur l'adresse IP de la passerelle et non de l'adresse IP
destination. Le routeur répond à la requête ARP avec sa propre adresse
MAC, et la machine envoie le paquet IP avec l'adresse IP destination
réelle mais l'adresse MAC destination du routeur. Le routeur reçoit le
paquet et peut faire le masquerading.
Oui, ça me semble plausible.
Il suffit pour répondre à ce problème de mettre en place du proxy arp.
Ce problème est décrit là:
<http://www.lalitte.com/nat.htm>
Et plus précisemment là:
3.5 - Problèmes de routage liés à l'utilisation de la NAT statique
(proxy ARP)
Bref, il faut faire en sorte que le routeur réponde lui-même aux
requêtes ARP pour ces adresses IP inexistantes. Je pensais qu'on pouvait
le faire avec l'option "pub" de la commande arp :
$ arp -i eth0 -Ds 192.168.255.252 eth0 pub
et ainsi de suite.
Mais je n'ai pas réussi à le faire fonctionner avec mon propre routeur
bien que la commande soit acceptée. D'après mes recherches je ne suis
pas le seul. Tu auras peut-être plus de chance.
En faisant un alias IP sur les interfaces ça devrait aller (il faut
dans ce cas faire la nat avant le routage, sinon, on route sur notre
propre interface)
J'ai pas testé, mais sur le papier ça me semble correc !
"Pascal@plouf" <pascal@plouf.invalid> wrote in message
news:ct0g2n$265j$1@biggoron.nerim.net
Par contre, pour joindre les adresses de DNS définies dans l'autre
sous-réseau, la machine émettrice sait grâce à sa table de routage
qu'elle doit passer par une passerelle. Dans ce cas, la requête ARP
porte sur l'adresse IP de la passerelle et non de l'adresse IP
destination. Le routeur répond à la requête ARP avec sa propre adresse
MAC, et la machine envoie le paquet IP avec l'adresse IP destination
réelle mais l'adresse MAC destination du routeur. Le routeur reçoit le
paquet et peut faire le masquerading.
Oui, ça me semble plausible.
Il suffit pour répondre à ce problème de mettre en place du proxy arp.
Ce problème est décrit là:
<http://www.lalitte.com/nat.htm>
Et plus précisemment là:
3.5 - Problèmes de routage liés à l'utilisation de la NAT statique
(proxy ARP)
Bref, il faut faire en sorte que le routeur réponde lui-même aux
requêtes ARP pour ces adresses IP inexistantes. Je pensais qu'on pouvait
le faire avec l'option "pub" de la commande arp :
$ arp -i eth0 -Ds 192.168.255.252 eth0 pub
et ainsi de suite.
Mais je n'ai pas réussi à le faire fonctionner avec mon propre routeur
bien que la commande soit acceptée. D'après mes recherches je ne suis
pas le seul. Tu auras peut-être plus de chance.
En faisant un alias IP sur les interfaces ça devrait aller (il faut
dans ce cas faire la nat avant le routage, sinon, on route sur notre
propre interface)
J'ai pas testé, mais sur le papier ça me semble correc !
"" wrote in message
news:ct0g2n$265j$Par contre, pour joindre les adresses de DNS définies dans l'autre
sous-réseau, la machine émettrice sait grâce à sa table de routage
qu'elle doit passer par une passerelle. Dans ce cas, la requête ARP
porte sur l'adresse IP de la passerelle et non de l'adresse IP
destination. Le routeur répond à la requête ARP avec sa propre adresse
MAC, et la machine envoie le paquet IP avec l'adresse IP destination
réelle mais l'adresse MAC destination du routeur. Le routeur reçoit le
paquet et peut faire le masquerading.
Oui, ça me semble plausible.
Il suffit pour répondre à ce problème de mettre en place du proxy arp.
Ce problème est décrit là:
<http://www.lalitte.com/nat.htm>
Et plus précisemment là:
3.5 - Problèmes de routage liés à l'utilisation de la NAT statique
(proxy ARP)
Bref, il faut faire en sorte que le routeur réponde lui-même aux
requêtes ARP pour ces adresses IP inexistantes. Je pensais qu'on pouvait
le faire avec l'option "pub" de la commande arp :
$ arp -i eth0 -Ds 192.168.255.252 eth0 pub
et ainsi de suite.
Mais je n'ai pas réussi à le faire fonctionner avec mon propre routeur
bien que la commande soit acceptée. D'après mes recherches je ne suis
pas le seul. Tu auras peut-être plus de chance.
En faisant un alias IP sur les interfaces ça devrait aller (il faut
dans ce cas faire la nat avant le routage, sinon, on route sur notre
propre interface)
J'ai pas testé, mais sur le papier ça me semble correc !
Oui, ça me semble plausible.
Il suffit pour répondre à ce problème de mettre en place du proxy arp.
Ce problème est décrit là:
<http://www.lalitte.com/nat.htm>
Et plus précisemment là:
3.5 - Problèmes de routage liés à l'utilisation de la NAT statique
(proxy ARP)
Je devrais lire les FAQ avant de répondre, moi, ça m'éviterait de me
fatiguer à écrire des tartines ;-)En faisant un alias IP sur les interfaces ça devrait aller (il faut
dans ce cas faire la nat avant le routage, sinon, on route sur notre
propre interface)
Dans l'architecture de Netfilter, la NAT destination se fait avant la
décision de routage, donc c'est bon. Note que si ce n'était pas le cas,
la NAT donnerait de drôles de résultats !J'ai pas testé, mais sur le papier ça me semble correc !
Y a pas de raison.
Oui, ça me semble plausible.
Il suffit pour répondre à ce problème de mettre en place du proxy arp.
Ce problème est décrit là:
<http://www.lalitte.com/nat.htm>
Et plus précisemment là:
3.5 - Problèmes de routage liés à l'utilisation de la NAT statique
(proxy ARP)
Je devrais lire les FAQ avant de répondre, moi, ça m'éviterait de me
fatiguer à écrire des tartines ;-)
En faisant un alias IP sur les interfaces ça devrait aller (il faut
dans ce cas faire la nat avant le routage, sinon, on route sur notre
propre interface)
Dans l'architecture de Netfilter, la NAT destination se fait avant la
décision de routage, donc c'est bon. Note que si ce n'était pas le cas,
la NAT donnerait de drôles de résultats !
J'ai pas testé, mais sur le papier ça me semble correc !
Y a pas de raison.
Oui, ça me semble plausible.
Il suffit pour répondre à ce problème de mettre en place du proxy arp.
Ce problème est décrit là:
<http://www.lalitte.com/nat.htm>
Et plus précisemment là:
3.5 - Problèmes de routage liés à l'utilisation de la NAT statique
(proxy ARP)
Je devrais lire les FAQ avant de répondre, moi, ça m'éviterait de me
fatiguer à écrire des tartines ;-)En faisant un alias IP sur les interfaces ça devrait aller (il faut
dans ce cas faire la nat avant le routage, sinon, on route sur notre
propre interface)
Dans l'architecture de Netfilter, la NAT destination se fait avant la
décision de routage, donc c'est bon. Note que si ce n'était pas le cas,
la NAT donnerait de drôles de résultats !J'ai pas testé, mais sur le papier ça me semble correc !
Y a pas de raison.