J'ai migré l'an passé un gros routeur de IPF à NPF. Globalement, ça
fonctionne bien mieux car NPF est multhreadé.
Manque de chance, je dois rajouter une règle un peu spéciale.
Typiquement, lorsqu'une machine du LAN parle vers le WAN, ses
paquets doivent sortir par une passerelle IPv4 qui n'est pas la
passerelle par défaut.
Typiquement, si wm0 est la passerelle par défaut, elle doit utiliser
wm1. wm2 est le LAN
Avec IPF, j'avais donc écrit :
pass in quick on wm2 to wm1:192.168.1.1 proto tcp \
from 192.168.10.103 port = 443 to any
Les paquets de toutes les machines utilisaient la route par défaut.
En revanche, lorsqu'un paquet en provenance de 192.168.10.103 (port
443) essayait de sortir, il était intercepté et envoyé sur la
passerelle 192.168.1.1 accessible sur wm1.
Comment faire la même chose avec NPF ?
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est
possible. Mon besoin est de router une transaction http en
provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à
toucher mon serveur apache, mais le retour se fait par la route par
défaut et non l'interface d'entrée pour cette machine.
Une idée ?
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Patrick =?iso-8859-1?q?Lamaizi=E8re?=
JKB : Bonjour,
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est possible. Mon besoin est de router une transaction http en provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à toucher mon serveur apache, mais le retour se fait par la route par défaut et non l'interface d'entrée pour cette machine. Une idée ?
PF et route-to ? oups pardon.
JKB :
Bonjour,
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est
possible. Mon besoin est de router une transaction http en
provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à
toucher mon serveur apache, mais le retour se fait par la route par
défaut et non l'interface d'entrée pour cette machine.
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est possible. Mon besoin est de router une transaction http en provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à toucher mon serveur apache, mais le retour se fait par la route par défaut et non l'interface d'entrée pour cette machine. Une idée ?
PF et route-to ? oups pardon.
JKB
Le Mon, 29 May 2017 13:17:45 +0000 (UTC), Patrick Lamaizière écrivait :
JKB : Bonjour,
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est possible. Mon besoin est de router une transaction http en provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à toucher mon serveur apache, mais le retour se fait par la route par défaut et non l'interface d'entrée pour cette machine. Une idée ?
PF et route-to ? oups pardon.
Faut pas marcher dedans... Sinon, je m'en suis sorti avec un SNAT côté routeur d'entrée. Cordialement, JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 29 May 2017 13:17:45 +0000 (UTC),
Patrick Lamaizière <adresse@est.invalid> écrivait :
JKB :
Bonjour,
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est
possible. Mon besoin est de router une transaction http en
provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à
toucher mon serveur apache, mais le retour se fait par la route par
défaut et non l'interface d'entrée pour cette machine.
Une idée ?
PF et route-to ?
oups pardon.
Faut pas marcher dedans...
Sinon, je m'en suis sorti avec un SNAT côté routeur d'entrée.
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 29 May 2017 13:17:45 +0000 (UTC), Patrick Lamaizière écrivait :
JKB : Bonjour,
Je ne m'y prends peut-être pas de la bonne façon avec NPF, ce qui est possible. Mon besoin est de router une transaction http en provenance de wm1 et initiée côté WAN. Aujourd'hui, j'arrive à toucher mon serveur apache, mais le retour se fait par la route par défaut et non l'interface d'entrée pour cette machine. Une idée ?
PF et route-to ? oups pardon.
Faut pas marcher dedans... Sinon, je m'en suis sorti avec un SNAT côté routeur d'entrée. Cordialement, JKB -- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
