Auriez vous des pistes de documentations sp=E9cifiques sur de la=20
translations d'adresse une pour une avec iptable sous linux ?
par exemple : toutes les adresses sources 192.168.0.x/24 doivent =EAtre=20
translat=E9s en 172.16.0.x/24 avec correspondance avec le dernier digit de=
=20
l'adresse avant d'=EAtre rout=E9es.=20
Genre Netfilter NAT HOWTO ? Ou le Double NAT HOWTO ?
Le sujet m'ayant intéressé, j'avais déjà lu ces deux docs et n'avais rien vu dedans qui traite de NAT 1:1 par bloc. je les ai relus, et ne trouve toujours rien. Tu pourrais préciser dans quels paragraphes exactement il en est question ?
Tu fais un concours de mauvaise foi là ? :)))
Oui, un peu. Hors de question que tu sois le seul à jouer :p
Déjà, d'une part, on ne parle pas encore de bloc. On parle de NAT 1-1, relis la citation que je fais.
Il était évident pour moi que la difficulté de la question portait sur la NAT 1:1 de bloc. S'il ne s'était agi que de NAT 1:1 sur des adresses individuelles, j'ose espérer que l'auteur de la question aurait été capable de s'en sortir seul tant la règle à écrire est triviale. On pourrait certes la multiplier pour l'étendre à un bloc entier, mais pour un /24 ça commence à faire beaucoup de règles.
Mais maintenant, vous avez le droit d'utiliser votre cerveau quand vous lisez un document.
En fait ce ne sont pas les deux premiers docs que tu as mentionnés qui m'ont posé problème mais le dernier. Merci donc d'avoir mentionné NETMAP, que je connaissais mais dont je pensais qu'il ne faisait que NAT destination. Fausse impression donnée précisément par le netfilter-extensions-howto qui ne dit pas explicitement qu'il fait aussi NAT source.
Cedric Blancher wrote:
Genre Netfilter NAT HOWTO ?
Ou le Double NAT HOWTO ?
Le sujet m'ayant intéressé, j'avais déjà lu ces deux docs et n'avais
rien vu dedans qui traite de NAT 1:1 par bloc. je les ai relus, et ne
trouve toujours rien. Tu pourrais préciser dans quels paragraphes
exactement il en est question ?
Tu fais un concours de mauvaise foi là ? :)))
Oui, un peu. Hors de question que tu sois le seul à jouer :p
Déjà, d'une part, on ne parle pas encore de bloc. On parle de NAT 1-1,
relis la citation que je fais.
Il était évident pour moi que la difficulté de la question portait sur
la NAT 1:1 de bloc. S'il ne s'était agi que de NAT 1:1 sur des adresses
individuelles, j'ose espérer que l'auteur de la question aurait été
capable de s'en sortir seul tant la règle à écrire est triviale. On
pourrait certes la multiplier pour l'étendre à un bloc entier, mais pour
un /24 ça commence à faire beaucoup de règles.
Mais maintenant,
vous avez le droit d'utiliser votre cerveau quand vous lisez un document.
En fait ce ne sont pas les deux premiers docs que tu as mentionnés qui
m'ont posé problème mais le dernier. Merci donc d'avoir mentionné
NETMAP, que je connaissais mais dont je pensais qu'il ne faisait que NAT
destination. Fausse impression donnée précisément par le
netfilter-extensions-howto qui ne dit pas explicitement qu'il fait aussi
NAT source.
Genre Netfilter NAT HOWTO ? Ou le Double NAT HOWTO ?
Le sujet m'ayant intéressé, j'avais déjà lu ces deux docs et n'avais rien vu dedans qui traite de NAT 1:1 par bloc. je les ai relus, et ne trouve toujours rien. Tu pourrais préciser dans quels paragraphes exactement il en est question ?
Tu fais un concours de mauvaise foi là ? :)))
Oui, un peu. Hors de question que tu sois le seul à jouer :p
Déjà, d'une part, on ne parle pas encore de bloc. On parle de NAT 1-1, relis la citation que je fais.
Il était évident pour moi que la difficulté de la question portait sur la NAT 1:1 de bloc. S'il ne s'était agi que de NAT 1:1 sur des adresses individuelles, j'ose espérer que l'auteur de la question aurait été capable de s'en sortir seul tant la règle à écrire est triviale. On pourrait certes la multiplier pour l'étendre à un bloc entier, mais pour un /24 ça commence à faire beaucoup de règles.
Mais maintenant, vous avez le droit d'utiliser votre cerveau quand vous lisez un document.
En fait ce ne sont pas les deux premiers docs que tu as mentionnés qui m'ont posé problème mais le dernier. Merci donc d'avoir mentionné NETMAP, que je connaissais mais dont je pensais qu'il ne faisait que NAT destination. Fausse impression donnée précisément par le netfilter-extensions-howto qui ne dit pas explicitement qu'il fait aussi NAT source.
Pascal
Cedric Blancher wrote:
Pour faire court, il faut une règle (rule) NAT source pour l'aller et une route NAT destination pour le retour (sans quoi la règle aller n'a pas l'air de fonctionner).
Ben si elle fonctionne.
Pas chez moi. S'il n'y a pas la route NAT correspondante, l'adresse source des paquets n'est pas altérée. Vérifié avec un LOG d'iptables, et rien à voir avec le paquet retour qui n'arrive pas comme il faut.
Ceci dit, est-ce que tu es bien sûr que ça fait du 1-1 par bloc ? Genre si 192.168.0.15 se connecte, est-ce qu'elle va bien avoir 172.16.0.15, et non une IP consécutive à l'IP natée précédemment ?
Vi, testé avec LOG.
NB : ce type de NAT semble poser pleins de problèmes avec les 2.6 et vient d'être retiré (en 2.6.9-rc1)
M'étonne pas. C'est quand même pas très joli-joli de faire ça au niveau du routage. Je me demande d'ailleurs comment Netfilter arrive à faire du suivi de connexion dans ce cas.
Cedric Blancher wrote:
Pour faire court, il faut une règle (rule)
NAT source pour l'aller et une route NAT destination pour le retour
(sans quoi la règle aller n'a pas l'air de fonctionner).
Ben si elle fonctionne.
Pas chez moi. S'il n'y a pas la route NAT correspondante, l'adresse
source des paquets n'est pas altérée. Vérifié avec un LOG d'iptables, et
rien à voir avec le paquet retour qui n'arrive pas comme il faut.
Ceci dit, est-ce que tu es bien sûr que ça fait du 1-1 par bloc ? Genre
si 192.168.0.15 se connecte, est-ce qu'elle va bien avoir 172.16.0.15, et
non une IP consécutive à l'IP natée précédemment ?
Vi, testé avec LOG.
NB : ce type de NAT semble poser pleins de problèmes avec les 2.6 et
vient d'être retiré (en 2.6.9-rc1)
M'étonne pas. C'est quand même pas très joli-joli de faire ça au niveau
du routage. Je me demande d'ailleurs comment Netfilter arrive à faire du
suivi de connexion dans ce cas.
Pour faire court, il faut une règle (rule) NAT source pour l'aller et une route NAT destination pour le retour (sans quoi la règle aller n'a pas l'air de fonctionner).
Ben si elle fonctionne.
Pas chez moi. S'il n'y a pas la route NAT correspondante, l'adresse source des paquets n'est pas altérée. Vérifié avec un LOG d'iptables, et rien à voir avec le paquet retour qui n'arrive pas comme il faut.
Ceci dit, est-ce que tu es bien sûr que ça fait du 1-1 par bloc ? Genre si 192.168.0.15 se connecte, est-ce qu'elle va bien avoir 172.16.0.15, et non une IP consécutive à l'IP natée précédemment ?
Vi, testé avec LOG.
NB : ce type de NAT semble poser pleins de problèmes avec les 2.6 et vient d'être retiré (en 2.6.9-rc1)
M'étonne pas. C'est quand même pas très joli-joli de faire ça au niveau du routage. Je me demande d'ailleurs comment Netfilter arrive à faire du suivi de connexion dans ce cas.
Pierre LALET
Ben si elle fonctionne. Mais comme il n'y a pas de règle pour remettre les adresses en place au retour, ça ne marche pas...
Non. C'est ce que j'expliquais, il n'y a pas une règle pour le sens aller et une règle retour (toujours de mémoire, mes tests en la matière sont lointains). Les deux règles sont différentes *aussi* sémantiquement, et elles sont toutes deux nécessaires.
Ceci dit, est-ce que tu es bien sûr que ça fait du 1-1 par bloc ? Genre si 192.168.0.15 se connecte, est-ce qu'elle va bien avoir 172.16.0.15, et non une IP consécutive à l'IP natée précédemment ?
Oui, précisément parce qu'il fait de la NAT bête et méchante. Il sait que 192.168.0.X doit être transformé en 172.16.0.X, sans autre forme de procès.
NB : ce type de NAT semble poser pleins de problèmes avec les 2.6 et vient d'être retiré (en 2.6.9-rc1)
Ca c'est con, c'est un truc vraiment sympa. Et en 2.4 ça marchait super bien.
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Ben si elle fonctionne. Mais comme il n'y a pas de règle pour remettre
les adresses en place au retour, ça ne marche pas...
Non. C'est ce que j'expliquais, il n'y a pas une règle pour le sens
aller et une règle retour (toujours de mémoire, mes tests en la matière
sont lointains). Les deux règles sont différentes *aussi*
sémantiquement, et elles sont toutes deux nécessaires.
Ceci dit, est-ce que tu es bien sûr que ça fait du 1-1 par bloc ? Genre
si 192.168.0.15 se connecte, est-ce qu'elle va bien avoir 172.16.0.15, et
non une IP consécutive à l'IP natée précédemment ?
Oui, précisément parce qu'il fait de la NAT bête et méchante. Il sait
que 192.168.0.X doit être transformé en 172.16.0.X, sans autre forme de
procès.
NB : ce type de NAT semble poser pleins de problèmes avec les 2.6 et
vient d'être retiré (en 2.6.9-rc1)
Ca c'est con, c'est un truc vraiment sympa. Et en 2.4 ça marchait super
bien.
pierre
--
Pierre LALET
http://pierre.droids-corp.org/
Droids Corporation & Team rstack
French Honeynet Project
Ben si elle fonctionne. Mais comme il n'y a pas de règle pour remettre les adresses en place au retour, ça ne marche pas...
Non. C'est ce que j'expliquais, il n'y a pas une règle pour le sens aller et une règle retour (toujours de mémoire, mes tests en la matière sont lointains). Les deux règles sont différentes *aussi* sémantiquement, et elles sont toutes deux nécessaires.
Ceci dit, est-ce que tu es bien sûr que ça fait du 1-1 par bloc ? Genre si 192.168.0.15 se connecte, est-ce qu'elle va bien avoir 172.16.0.15, et non une IP consécutive à l'IP natée précédemment ?
Oui, précisément parce qu'il fait de la NAT bête et méchante. Il sait que 192.168.0.X doit être transformé en 172.16.0.X, sans autre forme de procès.
NB : ce type de NAT semble poser pleins de problèmes avec les 2.6 et vient d'être retiré (en 2.6.9-rc1)
Ca c'est con, c'est un truc vraiment sympa. Et en 2.4 ça marchait super bien.
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Laurent
dans l'article <cl4783$1pe$, disait...
Ca c'est con, c'est un truc vraiment sympa. Et en 2.4 ça marchait super bien. Comme je suis en 2.4, je vais tâcher de me pencher vers la solution "pas
propre" citée: routage avancé, fast nat et iproute2. Recompiler le noyau... je ne me sens pas :)
Merci à tous, je ne pensais pas déclencher autant de post ;o)
dans l'article <cl4783$1pe$1@news.u-bordeaux.fr>, pierre@droids-corp.org
disait...
Ca c'est con, c'est un truc vraiment sympa. Et en 2.4 ça marchait super
bien.
Comme je suis en 2.4, je vais tâcher de me pencher vers la solution "pas
propre" citée: routage avancé, fast nat et iproute2.
Recompiler le noyau... je ne me sens pas :)
Merci à tous, je ne pensais pas déclencher autant de post ;o)
Comme je suis en 2.4, je vais tâcher de me pencher vers la solution "pas propre" citée: routage avancé, fast nat et iproute2.
Ceci n'est certainement *pas* une solution "pas propre". C'est une excellente solution très adaptée à ton problème.
Recompiler le noyau... je ne me sens pas :)
Ca c'est le genre de choses dont il ne faut pas avoir peur.
A+
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Pascal
Salut,
Laurent wrote:
Comme je suis en 2.4, je vais tâcher de me pencher vers la solution "pas propre" citée: routage avancé, fast nat et iproute2. Recompiler le noyau... je ne me sens pas :)
En espérant que ton noyau actuel a été compilé avec les options nécessaires citées par Pierre. Sinon, c'est la case recompilation obligatoire dans les deux cas. Le noyau 2.4.18 fourni par défaut avec ma la distrib que j'ai installée (Debian Woody) ne contenait aucune de ces options. Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu ne te sens pas de recompiler le noyau ;)
Salut,
Laurent wrote:
Comme je suis en 2.4, je vais tâcher de me pencher vers la solution "pas
propre" citée: routage avancé, fast nat et iproute2.
Recompiler le noyau... je ne me sens pas :)
En espérant que ton noyau actuel a été compilé avec les options
nécessaires citées par Pierre. Sinon, c'est la case recompilation
obligatoire dans les deux cas. Le noyau 2.4.18 fourni par défaut avec ma
la distrib que j'ai installée (Debian Woody) ne contenait aucune de ces
options. Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas
que tu ne te sens pas de recompiler le noyau ;)
Comme je suis en 2.4, je vais tâcher de me pencher vers la solution "pas propre" citée: routage avancé, fast nat et iproute2. Recompiler le noyau... je ne me sens pas :)
En espérant que ton noyau actuel a été compilé avec les options nécessaires citées par Pierre. Sinon, c'est la case recompilation obligatoire dans les deux cas. Le noyau 2.4.18 fourni par défaut avec ma la distrib que j'ai installée (Debian Woody) ne contenait aucune de ces options. Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu ne te sens pas de recompiler le noyau ;)
Pierre LALET
Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu ne te sens pas de recompiler le noyau ;)
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires, que veux-tu dire par là ?
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas
que tu ne te sens pas de recompiler le noyau ;)
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires,
que veux-tu dire par là ?
pierre
--
Pierre LALET
http://pierre.droids-corp.org/
Droids Corporation & Team rstack
French Honeynet Project
Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu ne te sens pas de recompiler le noyau ;)
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires, que veux-tu dire par là ?
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Laurent
Dans l'article <cl54qd$c6o$, disait...
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires, que veux-tu dire par là ? Qu'un gars qui utilise une debian *sait* recompiler un noyau ;o))
je ne me trompe pas Pierre ?
Sinon, en effet, je suis sous mandrake. Ceci dit, j'ai déjà compilé un noyau, c'est plus une question de temp s à y consacrer qu'autre chose...
Dans l'article <cl54qd$c6o$2@news.u-bordeaux.fr>, pierre@droids-corp.org
disait...
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires,
que veux-tu dire par là ?
Qu'un gars qui utilise une debian *sait* recompiler un noyau ;o))
je ne me trompe pas Pierre ?
Sinon, en effet, je suis sous mandrake.
Ceci dit, j'ai déjà compilé un noyau, c'est plus une question de temp s à
y consacrer qu'autre chose...
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires, que veux-tu dire par là ? Qu'un gars qui utilise une debian *sait* recompiler un noyau ;o))
je ne me trompe pas Pierre ?
Sinon, en effet, je suis sous mandrake. Ceci dit, j'ai déjà compilé un noyau, c'est plus une question de temp s à y consacrer qu'autre chose...
Laurent
Dans l'article , disait...
je ne me trompe pas Pierre ? Pascal, pardon... pas Pierre :)
Dans l'article <MPG.1be0394c483ce8f89897dd@192.168.254.7>,
lpopoz@alussinan.invalid disait...
je ne me trompe pas Pierre ?
Pascal, pardon... pas Pierre :)
je ne me trompe pas Pierre ? Pascal, pardon... pas Pierre :)
Pascal
Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu ne te sens pas de recompiler le noyau ;)
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires, que veux-tu dire par là ?
Qu'il est très facile avec la "méthode Debian" de préparer un noyau sous forme de paquetage installable (qu'on peut ensuite installer tout aussi facilement sur une autre machine sous Debian). Même moi j'y suis arrivé du premier coup alors que je n'avais jamais compilé d'application "normale" :)
Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu
ne te sens pas de recompiler le noyau ;)
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires,
que veux-tu dire par là ?
Qu'il est très facile avec la "méthode Debian" de préparer un noyau sous
forme de paquetage installable (qu'on peut ensuite installer tout aussi
facilement sur une autre machine sous Debian). Même moi j'y suis arrivé
du premier coup alors que je n'avais jamais compilé d'application
"normale" :)
Mais tu ne dois pas avoir une Debian, sinon tu n'écrirais pas que tu ne te sens pas de recompiler le noyau ;)
Bein Debian permet de bien vivre avec leurs packages de noyaux binaires, que veux-tu dire par là ?
Qu'il est très facile avec la "méthode Debian" de préparer un noyau sous forme de paquetage installable (qu'on peut ensuite installer tout aussi facilement sur une autre machine sous Debian). Même moi j'y suis arrivé du premier coup alors que je n'avais jamais compilé d'application "normale" :)
