A: machine sur internet
B: fw eth0: 172.25.01.252 et eth1:IP_publique_X
C: serveur eth0: 172.25.01.81 et eth1:IP_publique_Y
Depuis A, je souhaite me connecter en ssh sur C en passant par B qui me
fait du DNAT. Cela fonctionne nickel à une condition : sur C, il faut
que je désactive une route (dont j'ai besoin par ailleurs)
Selon vous, comment puis-je faire pour avoir cette route up (cf
/etc/network/interfaces) sur C et pouvoir l'attaquer par eth0 en DNAT ?
rq: à quoi me sert cette route ? à permettre à eth1 de dialoguer avec
_une seule_ machine IP_PUBLIQUE_Z.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le Wed, 13 May 2009 19:20:25 +0200
fabrice régnier <regnier.fab@free.fr> a écrit:
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
j'ai mis : post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C
mais je ne parviens toujours pas à faire: ssh -p 2223 IP_publique_X sur la machine A alors que si je vire la route de C, ça marche.
d'autres idées ?
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
j'ai mis :
post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C
mais je ne parviens toujours pas à faire:
ssh -p 2223 IP_publique_X sur la machine A
alors que si je vire la route de C, ça marche.
d'autres idées ?
f.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
j'ai mis : post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C
mais je ne parviens toujours pas à faire: ssh -p 2223 IP_publique_X sur la machine A alors que si je vire la route de C, ça marche.
d'autres idées ?
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
fabrice régnier
Je me réponds et je flagelle avec des orties bio!
Il est normal que C me renvoie les paquets sur la mauvaise gateway car lorsque je teste sur A
ssh -p 2223 IP_publique_X
en espérant que C me retourne les paquets sur 172.25.01.252 et bien je me fourre le doigt dans l'oeil car l'IP de A n'est autre que l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Merci à François pour avoir tenté de me sortir de mon puit d'ignorance crasse ;)
a+
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Je me réponds et je flagelle avec des orties bio!
Il est normal que C me renvoie les paquets sur la mauvaise gateway car
lorsque je teste sur A
ssh -p 2223 IP_publique_X
en espérant que C me retourne les paquets sur 172.25.01.252 et bien je
me fourre le doigt dans l'oeil car l'IP de A n'est autre que
l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Merci à François pour avoir tenté de me sortir de mon puit d'ignorance
crasse ;)
a+
f.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Il est normal que C me renvoie les paquets sur la mauvaise gateway car lorsque je teste sur A
ssh -p 2223 IP_publique_X
en espérant que C me retourne les paquets sur 172.25.01.252 et bien je me fourre le doigt dans l'oeil car l'IP de A n'est autre que l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Merci à François pour avoir tenté de me sortir de mon puit d'ignorance crasse ;)
a+
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
j'ai mis : post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C
En fait up et post-up sont équivalents.
mais je ne parviens toujours pas à faire: ssh -p 2223 IP_publique_X sur la machine A alors que si je vire la route de C, ça marche.
Depuis IP_PUBLIQUE_Z ou une autre adresse apparente ? Cette route ne devrait interférer que dans les communications avec IP_PUBLIQUE_Z. Le problème se manifeste comment ? Tu as fait des captures de paquets sur les différentes interfaces de C pour voir par où passe le trafic aller et retour ? La ligne "gateway blabla" reste bien commentée en permanence ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
j'ai mis :
post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C
En fait up et post-up sont équivalents.
mais je ne parviens toujours pas à faire:
ssh -p 2223 IP_publique_X sur la machine A
alors que si je vire la route de C, ça marche.
Depuis IP_PUBLIQUE_Z ou une autre adresse apparente ? Cette route ne
devrait interférer que dans les communications avec IP_PUBLIQUE_Z.
Le problème se manifeste comment ? Tu as fait des captures de paquets
sur les différentes interfaces de C pour voir par où passe le trafic
aller et retour ?
La ligne "gateway blabla" reste bien commentée en permanence ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
j'ai mis : post-up route add -host IP_PUBLIQUE_Z gw blabla sur la machine C
En fait up et post-up sont équivalents.
mais je ne parviens toujours pas à faire: ssh -p 2223 IP_publique_X sur la machine A alors que si je vire la route de C, ça marche.
Depuis IP_PUBLIQUE_Z ou une autre adresse apparente ? Cette route ne devrait interférer que dans les communications avec IP_PUBLIQUE_Z. Le problème se manifeste comment ? Tu as fait des captures de paquets sur les différentes interfaces de C pour voir par où passe le trafic aller et retour ? La ligne "gateway blabla" reste bien commentée en permanence ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
fabrice régnier a écrit :
Il est normal que C me renvoie les paquets sur la mauvaise gateway car lorsque je teste sur A
ssh -p 2223 IP_publique_X
en espérant que C me retourne les paquets sur 172.25.01.252 et bien je me fourre le doigt dans l'oeil car l'IP de A n'est autre que l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Alors il va falloir mettre en oeuvre du routage avancé en fonction de l'adresse source (ip rule add from) pour résoudre ce problème.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
fabrice régnier a écrit :
Il est normal que C me renvoie les paquets sur la mauvaise gateway car
lorsque je teste sur A
ssh -p 2223 IP_publique_X
en espérant que C me retourne les paquets sur 172.25.01.252 et bien je
me fourre le doigt dans l'oeil car l'IP de A n'est autre que
l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Alors il va falloir mettre en oeuvre du routage avancé en fonction de
l'adresse source (ip rule add from) pour résoudre ce problème.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Il est normal que C me renvoie les paquets sur la mauvaise gateway car lorsque je teste sur A
ssh -p 2223 IP_publique_X
en espérant que C me retourne les paquets sur 172.25.01.252 et bien je me fourre le doigt dans l'oeil car l'IP de A n'est autre que l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Alors il va falloir mettre en oeuvre du routage avancé en fonction de l'adresse source (ip rule add from) pour résoudre ce problème.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
fabrice régnier
>> en espérant que C me retourne les paquets sur 172.25.01.252 et bien je me fourre le doigt dans l'oeil car l'IP de A n'est autre que l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Alors il va falloir mettre en oeuvre du routage avancé en fonction de l'adresse source (ip rule add from) pour résoudre ce problème.
Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire. Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier une connection avec C donc pas de soucis. Demain, j'essaie depuis une autre machine et cela devrait rouler.
En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour résoudre ce problème.
a+
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
>> en espérant que C me retourne les paquets sur 172.25.01.252 et bien je
me fourre le doigt dans l'oeil car l'IP de A n'est autre que
l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Alors il va falloir mettre en oeuvre du routage avancé en fonction de
l'adresse source (ip rule add from) pour résoudre ce problème.
Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire.
Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier
une connection avec C donc pas de soucis. Demain, j'essaie depuis une
autre machine et cela devrait rouler.
En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour
résoudre ce problème.
a+
f.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
>> en espérant que C me retourne les paquets sur 172.25.01.252 et bien je me fourre le doigt dans l'oeil car l'IP de A n'est autre que l'IP_PUBLIQUE_Z utilisée dans la route sur C !
Alors il va falloir mettre en oeuvre du routage avancé en fonction de l'adresse source (ip rule add from) pour résoudre ce problème.
Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire. Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier une connection avec C donc pas de soucis. Demain, j'essaie depuis une autre machine et cela devrait rouler.
En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour résoudre ce problème.
a+
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Pascal Hambourg
fabrice régnier a écrit :
Alors il va falloir mettre en oeuvre du routage avancé en fonction de l'adresse source (ip rule add from) pour résoudre ce problème.
Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire. Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier une connection avec C donc pas de soucis. Demain, j'essaie depuis une autre machine et cela devrait rouler.
Avec du routage avancé pas très compliqué tu pourrais faire en sorte que ça marche même depuis A. Par exemple : si adresse source = 172.25.01.81 alors router par eth0, même si la destination est IP_PUBLIQUE_Z. Inversement, si adresse source = IP_PUBLIQUE_Y alors router par eth1, sauf si la destination est dans 172.25.1.0/24.
En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour résoudre ce problème.
Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple" routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans ip rule/ip route.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
fabrice régnier a écrit :
Alors il va falloir mettre en oeuvre du routage avancé en fonction de
l'adresse source (ip rule add from) pour résoudre ce problème.
Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire.
Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier
une connection avec C donc pas de soucis. Demain, j'essaie depuis une
autre machine et cela devrait rouler.
Avec du routage avancé pas très compliqué tu pourrais faire en sorte que
ça marche même depuis A. Par exemple : si adresse source = 172.25.01.81
alors router par eth0, même si la destination est IP_PUBLIQUE_Z.
Inversement, si adresse source = IP_PUBLIQUE_Y alors router par eth1,
sauf si la destination est dans 172.25.1.0/24.
En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour
résoudre ce problème.
Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple"
routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans
ip rule/ip route.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Alors il va falloir mettre en oeuvre du routage avancé en fonction de l'adresse source (ip rule add from) pour résoudre ce problème.
Dans la cas du test, puisque IP de A = IP_PUBLIQUE_Z, cela foire. Mais dans la vraie vie, ce ne sera jamais A qui aura besoin d'initier une connection avec C donc pas de soucis. Demain, j'essaie depuis une autre machine et cela devrait rouler.
Avec du routage avancé pas très compliqué tu pourrais faire en sorte que ça marche même depuis A. Par exemple : si adresse source = 172.25.01.81 alors router par eth0, même si la destination est IP_PUBLIQUE_Z. Inversement, si adresse source = IP_PUBLIQUE_Y alors router par eth1, sauf si la destination est dans 172.25.1.0/24.
En tout cas, merci à toi. Perso je n'aurai pas pensé à iptables pour résoudre ce problème.
Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple" routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans ip rule/ip route.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
fabrice régnier
salut,
Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple" routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans ip rule/ip route.
et après... euh, c'est trop fort pour moi, ceci dit, tu as piqué ma curiosité! lorsque j'aurai un peu plus de temps, je plonge dans la doc. Pour l'instant, je ne vois pas trop quand créer des ip route ou ip rule et les exemples sont plutôt spartiates. Merci pour m'avoir mis sur la piste ;)
a+
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
salut,
Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple"
routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans
ip rule/ip route.
et après... euh, c'est trop fort pour moi, ceci dit, tu as piqué ma
curiosité! lorsque j'aurai un peu plus de temps, je plonge dans la doc.
Pour l'instant, je ne vois pas trop quand créer des ip route ou ip rule
et les exemples sont plutôt spartiates.
Merci pour m'avoir mis sur la piste ;)
a+
f.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Je n'ai pas parlé d'iptables. Ce n'est pas nécessaire pour du "simple" routage basé sur l'adresse source, il y a déjà tout ce qu'il faut dans ip rule/ip route.
et après... euh, c'est trop fort pour moi, ceci dit, tu as piqué ma curiosité! lorsque j'aurai un peu plus de temps, je plonge dans la doc. Pour l'instant, je ne vois pas trop quand créer des ip route ou ip rule et les exemples sont plutôt spartiates. Merci pour m'avoir mis sur la piste ;)
a+
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS