J'ai une passerelle firewall sous Linux Gentoo qui connecte mon LAN a
Internet.
Plage du LAN : 192.168.1.0/24 (le .1 etant la passerelle en question)
IP publique fixe
(Le LAN est sur eth0 et le WAN sur eth1)
Cette passerelle est egalement DNS pour mon nom de domaine.
Les entrées DNS sont :
smtp.mondomaine.fr A ip_publique
mail.mondomaine.fr A ip_publique
Ensuite, le firewall redirige les paquets des ports 25,110 et 143
venant du WAN vers la machine ayant l'IP .10 sur le LAN.
Depuis l'exterieur, cela fonctionne correctement. MAis depuis le LAN,
aucune réponse lorsque l'on donne le FQDN (ie mail.mondomaine.fr).
Je suppose que cela vient du fait que la machine (du LAN) demande une
connection sur l'IP eth1 de la gateway (le paquet venant du LAN), le
firewall va ensuite renvoyer cette demande par la même interface (eth0
donc) sur la machine du LAN.
Je ne sais pas si l'on peut faire en sorte que cela fonctionne sans tucher
au DNS (donc réaliser des actions sur les tables IP par ex)
Sinon, est il possible qu'un DNS retourne une IP différentes selon
l'interface de la requete ?
Je m'explique : si le requete "smtp.mondomaine.fr" vient du LAN, la
réponse sera 192.168.1.10 si elle vient du WAN, le DNS retournera en
réponse l'IP pubique
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
J'ai une passerelle firewall sous Linux Gentoo qui connecte mon LAN a Internet.
Plage du LAN : 192.168.1.0/24 (le .1 etant la passerelle en question) IP publique fixe (Le LAN est sur eth0 et le WAN sur eth1)
Cette passerelle est egalement DNS pour mon nom de domaine. Les entrées DNS sont : smtp.mondomaine.fr A ip_publique mail.mondomaine.fr A ip_publique
Ensuite, le firewall redirige les paquets des ports 25,110 et 143 venant du WAN vers la machine ayant l'IP .10 sur le LAN.
Depuis l'exterieur, cela fonctionne correctement. MAis depuis le LAN, aucune réponse lorsque l'on donne le FQDN (ie mail.mondomaine.fr).
Je suppose que cela vient du fait que la machine (du LAN) demande une connection sur l'IP eth1 de la gateway (le paquet venant du LAN), le firewall va ensuite renvoyer cette demande par la même interface (eth0 donc) sur la machine du LAN.
"Jusque là, tout va bien", à condition de ne pas bloquer les paquets de eth0 vers eth0 dans la chaîne FORWARD. C'est le routage direct des paquets de réponse du serveur vers le client sans passer par la passerelle, et donc sans subir le NAT retour, qui fait que la connexion échoue.
Je ne sais pas si l'on peut faire en sorte que cela fonctionne sans tucher au DNS (donc réaliser des actions sur les tables IP par ex)
Il suffit de NATer l'adresse source des clients du LAN, avec des règles du style :
Inconvénient : toutes les connexions venant du LAN semblent venir de la passerelle. Pour l'éviter, on peut faire du NAT source 1:1 avec une plage d'adresses inutilisées grâce à NETMAP. Attention, NETMAP n'est pas supporté par tous les noyaux, mais il existe un patch dans les versions antérieurs à 20060512 du patch-o-matic-ng de Netfilter. Par exemple :
Ainsi une connexion venant de 192.168.1.45 a l'air de venir de 192.168.2.45.
Sinon, est il possible qu'un DNS retourne une IP différentes selon l'interface de la requete ? Je m'explique : si le requete "smtp.mondomaine.fr" vient du LAN, la réponse sera 192.168.1.10 si elle vient du WAN, le DNS retournera en réponse l'IP pubique
C'est possible avec Bind 9, en créant des "vues" (views) différentes pour les requêtes venant du LAN et de l'extérieur.
[Suivi vers fr.comp.reseaux.ip]
Salut,
J'ai une passerelle firewall sous Linux Gentoo qui connecte mon LAN a
Internet.
Plage du LAN : 192.168.1.0/24 (le .1 etant la passerelle en question)
IP publique fixe
(Le LAN est sur eth0 et le WAN sur eth1)
Cette passerelle est egalement DNS pour mon nom de domaine.
Les entrées DNS sont :
smtp.mondomaine.fr A ip_publique
mail.mondomaine.fr A ip_publique
Ensuite, le firewall redirige les paquets des ports 25,110 et 143
venant du WAN vers la machine ayant l'IP .10 sur le LAN.
Depuis l'exterieur, cela fonctionne correctement. MAis depuis le LAN,
aucune réponse lorsque l'on donne le FQDN (ie mail.mondomaine.fr).
Je suppose que cela vient du fait que la machine (du LAN) demande une
connection sur l'IP eth1 de la gateway (le paquet venant du LAN), le
firewall va ensuite renvoyer cette demande par la même interface (eth0
donc) sur la machine du LAN.
"Jusque là, tout va bien", à condition de ne pas bloquer les paquets de
eth0 vers eth0 dans la chaîne FORWARD. C'est le routage direct des
paquets de réponse du serveur vers le client sans passer par la
passerelle, et donc sans subir le NAT retour, qui fait que la connexion
échoue.
Je ne sais pas si l'on peut faire en sorte que cela fonctionne sans tucher
au DNS (donc réaliser des actions sur les tables IP par ex)
Il suffit de NATer l'adresse source des clients du LAN, avec des règles
du style :
Inconvénient : toutes les connexions venant du LAN semblent venir de la
passerelle. Pour l'éviter, on peut faire du NAT source 1:1 avec une
plage d'adresses inutilisées grâce à NETMAP. Attention, NETMAP n'est pas
supporté par tous les noyaux, mais il existe un patch dans les versions
antérieurs à 20060512 du patch-o-matic-ng de Netfilter.
Par exemple :
Ainsi une connexion venant de 192.168.1.45 a l'air de venir de 192.168.2.45.
Sinon, est il possible qu'un DNS retourne une IP différentes selon
l'interface de la requete ?
Je m'explique : si le requete "smtp.mondomaine.fr" vient du LAN, la
réponse sera 192.168.1.10 si elle vient du WAN, le DNS retournera en
réponse l'IP pubique
C'est possible avec Bind 9, en créant des "vues" (views) différentes
pour les requêtes venant du LAN et de l'extérieur.
J'ai une passerelle firewall sous Linux Gentoo qui connecte mon LAN a Internet.
Plage du LAN : 192.168.1.0/24 (le .1 etant la passerelle en question) IP publique fixe (Le LAN est sur eth0 et le WAN sur eth1)
Cette passerelle est egalement DNS pour mon nom de domaine. Les entrées DNS sont : smtp.mondomaine.fr A ip_publique mail.mondomaine.fr A ip_publique
Ensuite, le firewall redirige les paquets des ports 25,110 et 143 venant du WAN vers la machine ayant l'IP .10 sur le LAN.
Depuis l'exterieur, cela fonctionne correctement. MAis depuis le LAN, aucune réponse lorsque l'on donne le FQDN (ie mail.mondomaine.fr).
Je suppose que cela vient du fait que la machine (du LAN) demande une connection sur l'IP eth1 de la gateway (le paquet venant du LAN), le firewall va ensuite renvoyer cette demande par la même interface (eth0 donc) sur la machine du LAN.
"Jusque là, tout va bien", à condition de ne pas bloquer les paquets de eth0 vers eth0 dans la chaîne FORWARD. C'est le routage direct des paquets de réponse du serveur vers le client sans passer par la passerelle, et donc sans subir le NAT retour, qui fait que la connexion échoue.
Je ne sais pas si l'on peut faire en sorte que cela fonctionne sans tucher au DNS (donc réaliser des actions sur les tables IP par ex)
Il suffit de NATer l'adresse source des clients du LAN, avec des règles du style :
Inconvénient : toutes les connexions venant du LAN semblent venir de la passerelle. Pour l'éviter, on peut faire du NAT source 1:1 avec une plage d'adresses inutilisées grâce à NETMAP. Attention, NETMAP n'est pas supporté par tous les noyaux, mais il existe un patch dans les versions antérieurs à 20060512 du patch-o-matic-ng de Netfilter. Par exemple :
Ainsi une connexion venant de 192.168.1.45 a l'air de venir de 192.168.2.45.
Sinon, est il possible qu'un DNS retourne une IP différentes selon l'interface de la requete ? Je m'explique : si le requete "smtp.mondomaine.fr" vient du LAN, la réponse sera 192.168.1.10 si elle vient du WAN, le DNS retournera en réponse l'IP pubique
C'est possible avec Bind 9, en créant des "vues" (views) différentes pour les requêtes venant du LAN et de l'extérieur.
