Comment rediriger du traffic interne en repassant par internet ???
5 réponses
Chris
Bonjour,
j'ai un petit problème
Le contexte:
J'héberge chez moi quelques sites internet. Pour cela j'ai une machine
Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le
serveur web (sous Etch) et un firewall, une appliance Endian Firewall
Community 2.2 RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10.
Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui
forwarde tout le traffic venant d'internet sur le firewall au
192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers
172.16.1.10:80.
Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com
sont bien résolues vers l'ip publique du modem, qui NAT tout vers le
192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est
bien résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert,
et pourquoi ça ne passe pas ?
Si possible j'aimerais éviter de passer par une zone DNS spécifique
pour le LAN, parce que je n'ai pas envie de le modifier à chaque fois
que la zone internet est modifiée, et aussi surtout parce que je veux
comprendre ce qui se passe au niveau IP :o)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
GuiGui
Chris a écrit :
Bonjour,
j'ai un petit problème
Le contexte: J'héberge chez moi quelques sites internet. Pour cela j'ai une machine Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le serveur web (sous Etch) et un firewall, une appliance Endian Firewall Community 2.2 RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10. Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui forwarde tout le traffic venant d'internet sur le firewall au 192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers 172.16.1.10:80. Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com sont bien résolues vers l'ip publique du modem, qui NAT tout vers le 192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est bien résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et pourquoi ça ne passe pas ? Si possible j'aimerais éviter de passer par une zone DNS spécifique pour le LAN, parce que je n'ai pas envie de le modifier à chaque fois que la zone internet est modifiée, et aussi surtout parce que je veux comprendre ce qui se passe au niveau IP :o)
Chris
Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur lorsque la souurce est la zone GREEN et l'IP destination celle correspondant à mondomaine.com
Chris a écrit :
Bonjour,
j'ai un petit problème
Le contexte:
J'héberge chez moi quelques sites internet. Pour cela j'ai une machine
Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le
serveur web (sous Etch) et un firewall, une appliance Endian Firewall
Community 2.2 RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10.
Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui
forwarde tout le traffic venant d'internet sur le firewall au
192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers
172.16.1.10:80.
Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com
sont bien résolues vers l'ip publique du modem, qui NAT tout vers le
192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est
bien résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et
pourquoi ça ne passe pas ?
Si possible j'aimerais éviter de passer par une zone DNS spécifique pour
le LAN, parce que je n'ai pas envie de le modifier à chaque fois que la
zone internet est modifiée, et aussi surtout parce que je veux
comprendre ce qui se passe au niveau IP :o)
Chris
Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur
lorsque la souurce est la zone GREEN et l'IP destination celle
correspondant à mondomaine.com
Le contexte: J'héberge chez moi quelques sites internet. Pour cela j'ai une machine Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le serveur web (sous Etch) et un firewall, une appliance Endian Firewall Community 2.2 RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10. Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui forwarde tout le traffic venant d'internet sur le firewall au 192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers 172.16.1.10:80. Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com sont bien résolues vers l'ip publique du modem, qui NAT tout vers le 192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est bien résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et pourquoi ça ne passe pas ? Si possible j'aimerais éviter de passer par une zone DNS spécifique pour le LAN, parce que je n'ai pas envie de le modifier à chaque fois que la zone internet est modifiée, et aussi surtout parce que je veux comprendre ce qui se passe au niveau IP :o)
Chris
Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur lorsque la souurce est la zone GREEN et l'IP destination celle correspondant à mondomaine.com
Chris
GuiGui wrote on 29/10/2008 :
Chris a écrit :
Bonjour,
j'ai un petit problème
Le contexte: J'héberge chez moi quelques sites internet. Pour cela j'ai une machine Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le serveur web (sous Etch) et un firewall, une appliance Endian Firewall Community 2.2 RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10. Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui forwarde tout le traffic venant d'internet sur le firewall au 192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers 172.16.1.10:80. Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com sont bien résolues vers l'ip publique du modem, qui NAT tout vers le 192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est bien résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et pourquoi ça ne passe pas ? Si possible j'aimerais éviter de passer par une zone DNS spécifique pour le LAN, parce que je n'ai pas envie de le modifier à chaque fois que la zone internet est modifiée, et aussi surtout parce que je veux comprendre ce qui se passe au niveau IP :o)
Chris
Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur lorsque la souurce est la zone GREEN et l'IP destination celle correspondant à mondomaine.com
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il repose, permette de faire ça depuis le réseau vers, visiblement la source du DNAT est implicitement RED pour lui. Après peut-être faut-il jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais avoir le même problème pour l'IMAP, qui repose sur la même addresse publique, mais est hébergée par une autre vm :/
Mais effectivement ça parait une bonne approche.
GuiGui wrote on 29/10/2008 :
Chris a écrit :
Bonjour,
j'ai un petit problème
Le contexte:
J'héberge chez moi quelques sites internet. Pour cela j'ai une machine Xen
sur laquelle j'héberge plusieurs machines virtuelles, dont le serveur web
(sous Etch) et un firewall, une appliance Endian Firewall Community 2.2
RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10.
Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui
forwarde tout le traffic venant d'internet sur le firewall au
192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers
172.16.1.10:80.
Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com sont
bien résolues vers l'ip publique du modem, qui NAT tout vers le
192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est bien
résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et
pourquoi ça ne passe pas ?
Si possible j'aimerais éviter de passer par une zone DNS spécifique pour le
LAN, parce que je n'ai pas envie de le modifier à chaque fois que la zone
internet est modifiée, et aussi surtout parce que je veux comprendre ce qui
se passe au niveau IP :o)
Chris
Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur lorsque
la souurce est la zone GREEN et l'IP destination celle correspondant à
mondomaine.com
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel
il repose, permette de faire ça depuis le réseau vers, visiblement la
source du DNAT est implicitement RED pour lui. Après peut-être faut-il
jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais
avoir le même problème pour l'IMAP, qui repose sur la même addresse
publique, mais est hébergée par une autre vm :/
Le contexte: J'héberge chez moi quelques sites internet. Pour cela j'ai une machine Xen sur laquelle j'héberge plusieurs machines virtuelles, dont le serveur web (sous Etch) et un firewall, une appliance Endian Firewall Community 2.2 RC3.
J'ai donc mes 4 réseaux, RED, GREEN, ORANGE et BLUE.
Sur le ORANGE, 172.16.1.0/24, j'ai mon serveur web en 172.16.1.10. Sur le RED, 192.168.0.1/24, j'ai juste le modem ADSL (192.168.0.1), qui forwarde tout le traffic venant d'internet sur le firewall au 192.168.0.253. Le firewall, lui, NATe le port 80 du réseau ROUGE vers 172.16.1.10:80. Concernant GREEN, j'ai mes postes et serveurs windows.
Depuis internet, tout va bien, les requêtes vers http://mondomaine.com sont bien résolues vers l'ip publique du modem, qui NAT tout vers le 192.168.0.253, qui lui NAT vers le 172.16.1.10:80.
Par contre depuis mon poste, ma requête vers http://mondomaine.com est bien résolue vers l'ip publique ADSL, mais part dans le vide.
Que puis-je faire pour que le traffic se fasse depuis le réseau vert, et pourquoi ça ne passe pas ? Si possible j'aimerais éviter de passer par une zone DNS spécifique pour le LAN, parce que je n'ai pas envie de le modifier à chaque fois que la zone internet est modifiée, et aussi surtout parce que je veux comprendre ce qui se passe au niveau IP :o)
Chris
Ajouter une règle de FW qui fait du DNAT vers l'IP privée du serveur lorsque la souurce est la zone GREEN et l'IP destination celle correspondant à mondomaine.com
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il repose, permette de faire ça depuis le réseau vers, visiblement la source du DNAT est implicitement RED pour lui. Après peut-être faut-il jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais avoir le même problème pour l'IMAP, qui repose sur la même addresse publique, mais est hébergée par une autre vm :/
Mais effectivement ça parait une bonne approche.
GuiGui
Chris a écrit :
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il repose, permette de faire ça depuis le réseau vers, visiblement la source du DNAT est implicitement RED pour lui. Après peut-être faut-il jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais avoir le même problème pour l'IMAP, qui repose sur la même addresse publique, mais est hébergée par une autre vm :/
Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les related & established qui vont bien pour la réponse.
Je ne connais pas Endian/IPCop, mais ça doit être possible.
Chris a écrit :
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il
repose, permette de faire ça depuis le réseau vers, visiblement la
source du DNAT est implicitement RED pour lui. Après peut-être faut-il
jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais
avoir le même problème pour l'IMAP, qui repose sur la même addresse
publique, mais est hébergée par une autre vm :/
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il repose, permette de faire ça depuis le réseau vers, visiblement la source du DNAT est implicitement RED pour lui. Après peut-être faut-il jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais avoir le même problème pour l'IMAP, qui repose sur la même addresse publique, mais est hébergée par une autre vm :/
Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les related & established qui vont bien pour la réponse.
Je ne connais pas Endian/IPCop, mais ça doit être possible.
Charly
GuiGui a écrit :
Chris a écrit :
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il repose, permette de faire ça depuis le réseau vers, visiblement la source du DNAT est implicitement RED pour lui. Après peut-être faut-il jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais avoir le même problème pour l'IMAP, qui repose sur la même addresse publique, mais est hébergée par une autre vm :/
Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les related & established qui vont bien pour la réponse.
Je ne connais pas Endian/IPCop, mais ça doit être possible.
Et modifier la résolution interne de cette adresse ? un DNS interne ou fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du firewall ? Bon cela n'empeche pas d'adapter les regles de controle de ce dernier si elles bloquent, mais peut éviter de passer par le routeur ADSL.
Charly
GuiGui a écrit :
Chris a écrit :
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel
il repose, permette de faire ça depuis le réseau vers, visiblement la
source du DNAT est implicitement RED pour lui. Après peut-être faut-il
jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais
avoir le même problème pour l'IMAP, qui repose sur la même addresse
publique, mais est hébergée par une autre vm :/
Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les
related & established qui vont bien pour la réponse.
Je ne connais pas Endian/IPCop, mais ça doit être possible.
Et modifier la résolution interne de cette adresse ? un DNS interne ou
fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du
firewall ? Bon cela n'empeche pas d'adapter les regles de controle de
ce dernier si elles bloquent, mais peut éviter de passer par le routeur
ADSL.
Mmmmmh, je n'ai pas l'impression que Endian, ou même IPCop sur lequel il repose, permette de faire ça depuis le réseau vers, visiblement la source du DNAT est implicitement RED pour lui. Après peut-être faut-il jouer avec le SNAT, mais là j'avoue voir mal comment le paramétrer.
En plus il faudra préciser le port 80 dans la règle, parce que je vais avoir le même problème pour l'IMAP, qui repose sur la même addresse publique, mais est hébergée par une autre vm :/
Sans oublier d'autoriser le forward entre GREEN et ORANGE ainsi que les related & established qui vont bien pour la réponse.
Je ne connais pas Endian/IPCop, mais ça doit être possible.
Et modifier la résolution interne de cette adresse ? un DNS interne ou fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du firewall ? Bon cela n'empeche pas d'adapter les regles de controle de ce dernier si elles bloquent, mais peut éviter de passer par le routeur ADSL.
Charly
GuiGui
Charly a écrit :
Et modifier la résolution interne de cette adresse ? un DNS interne ou fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du firewall ? Bon cela n'empeche pas d'adapter les regles de controle de ce dernier si elles bloquent, mais peut éviter de passer par le routeur ADSL.
La question était justement de ne pas toucher à la conf du DNS. Sinon, il est évident que la meilleure solution est de mettre 2 vues dans le DNS.
Charly a écrit :
Et modifier la résolution interne de cette adresse ? un DNS interne ou
fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du
firewall ? Bon cela n'empeche pas d'adapter les regles de controle de
ce dernier si elles bloquent, mais peut éviter de passer par le routeur
ADSL.
La question était justement de ne pas toucher à la conf du DNS. Sinon,
il est évident que la meilleure solution est de mettre 2 vues dans le DNS.
Et modifier la résolution interne de cette adresse ? un DNS interne ou fichier HOSTS local resolvant l'adresse mondomaine.com vers l'adresse du firewall ? Bon cela n'empeche pas d'adapter les regles de controle de ce dernier si elles bloquent, mais peut éviter de passer par le routeur ADSL.
La question était justement de ne pas toucher à la conf du DNS. Sinon, il est évident que la meilleure solution est de mettre 2 vues dans le DNS.