Routage Firewall avec 2 acces Internet
Le
Xavier
Bonjour,
J'ai un problème de routage que je n'arrive pas à solutionner.
J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet (I1
et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1 et
que l'accès à DMZ se fasse par I2. Mon problème est de configurer le routage
du firewall pour les trames allant vers Internet. Pour que le LAN accède à
Internet, je mets comme passerelle par défaut l'interface de I1. Mais du
coup, les réponses aux accès à la DMZ partiront également par I1, ce que je
ne veux pas (et je ne suis même pas sûr que ça marche ).
Comment spécifier les chemins précis pour les 2 types de trames (accès à
Internet depuis LAN et réponses depuis DMZ) ?
Merci
Xavier
PS : iptables / Linux
J'ai un problème de routage que je n'arrive pas à solutionner.
J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet (I1
et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1 et
que l'accès à DMZ se fasse par I2. Mon problème est de configurer le routage
du firewall pour les trames allant vers Internet. Pour que le LAN accède à
Internet, je mets comme passerelle par défaut l'interface de I1. Mais du
coup, les réponses aux accès à la DMZ partiront également par I1, ce que je
ne veux pas (et je ne suis même pas sûr que ça marche ).
Comment spécifier les chemins précis pour les 2 types de trames (accès à
Internet depuis LAN et réponses depuis DMZ) ?
Merci
Xavier
PS : iptables / Linux
Poser une question
Bonsoir,
Faire du source routing. Une recherche sur Google devrait vous en dire plus.
De rien.
Ah, bah voilà, il aurait fallu commencer par là. ;-)
Donc sous Linux pour faire du source routing il faut utiliser la commande ip
du paquet iproute2.
Par exemple, sans trop de détail (limite HC, non ?) :
printf "101 fai1n" > /etc/iproute2/rt_tables
printf "102 fai2n" >> /etc/iproute2/rt_tables
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100
ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1
ip route add table fai2 via ip2 dev interface_I2
Je vous recommande la lecture du Howto LARTC (Linux advanced Routing &
Traffic Control) pour une meilleure compréhension.
Je pense qu'il faudrait en discuter ailleurs, par exemple sur fcolc ?
--
TiChou
Oui, probablement, mais bon, j'ai pensé à la préciser, c'est déjà pas mal
.... ;-)
OK, je vais étudier cette voie.
fcolc ?
Xavier
Merci pour tes suggestions, j'ai un peu adapté et pétouillé, mais c'est bon,
ça marche !
Petite question : à quoi ça sert d'ajouter les tables dans le fichier
rt_tables ? Le "ip route add table" ne suffit-il pas ? Quel est le rôle du
"pref 100" ? Un rapport avec les 101 et 102 du fichier rt_tables ?
Merci
Xavier