J'ai un problème de routage que je n'arrive pas à solutionner.
J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet (I1
et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1 et
que l'accès à DMZ se fasse par I2. Mon problème est de configurer le routage
du firewall pour les trames allant vers Internet. Pour que le LAN accède à
Internet, je mets comme passerelle par défaut l'interface de I1. Mais du
coup, les réponses aux accès à la DMZ partiront également par I1, ce que je
ne veux pas (et je ne suis même pas sûr que ça marche ...).
Comment spécifier les chemins précis pour les 2 types de trames (accès à
Internet depuis LAN et réponses depuis DMZ) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
TiChou
Dans le message <news:d84esn$2tha$, *Xavier* tapota sur f.c.securite :
Bonjour,
Bonsoir,
J'ai un problème de routage que je n'arrive pas à solutionner.
J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet (I1 et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1 et que l'accès à DMZ se fasse par I2. Mon problème est de configurer le routage du firewall pour les trames allant vers Internet. Pour que le LAN accède à Internet, je mets comme passerelle par défaut l'interface de I1. Mais du coup, les réponses aux accès à la DMZ partiront également par I1, ce que je ne veux pas (et je ne suis même pas sûr que ça marche ...).
Comment spécifier les chemins précis pour les 2 types de trames (accès à Internet depuis LAN et réponses depuis DMZ) ?
Faire du source routing. Une recherche sur Google devrait vous en dire plus.
Merci
De rien.
PS : iptables / Linux
Ah, bah voilà, il aurait fallu commencer par là. ;-)
Donc sous Linux pour faire du source routing il faut utiliser la commande ip du paquet iproute2.
Par exemple, sans trop de détail (limite HC, non ?) :
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100 ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1 ip route add table fai2 via ip2 dev interface_I2
Je vous recommande la lecture du Howto LARTC (Linux advanced Routing & Traffic Control) pour une meilleure compréhension. Je pense qu'il faudrait en discuter ailleurs, par exemple sur fcolc ?
-- TiChou
Dans le message <news:d84esn$2tha$1@biggoron.nerim.net>,
*Xavier* tapota sur f.c.securite :
Bonjour,
Bonsoir,
J'ai un problème de routage que je n'arrive pas à solutionner.
J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet
(I1 et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1
et que l'accès à DMZ se fasse par I2. Mon problème est de configurer le
routage du firewall pour les trames allant vers Internet. Pour que le LAN
accède à Internet, je mets comme passerelle par défaut l'interface de I1.
Mais du coup, les réponses aux accès à la DMZ partiront également par I1,
ce que je ne veux pas (et je ne suis même pas sûr que ça marche ...).
Comment spécifier les chemins précis pour les 2 types de trames (accès à
Internet depuis LAN et réponses depuis DMZ) ?
Faire du source routing. Une recherche sur Google devrait vous en dire plus.
Merci
De rien.
PS : iptables / Linux
Ah, bah voilà, il aurait fallu commencer par là. ;-)
Donc sous Linux pour faire du source routing il faut utiliser la commande ip
du paquet iproute2.
Par exemple, sans trop de détail (limite HC, non ?) :
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100
ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1
ip route add table fai2 via ip2 dev interface_I2
Je vous recommande la lecture du Howto LARTC (Linux advanced Routing &
Traffic Control) pour une meilleure compréhension.
Je pense qu'il faudrait en discuter ailleurs, par exemple sur fcolc ?
Dans le message <news:d84esn$2tha$, *Xavier* tapota sur f.c.securite :
Bonjour,
Bonsoir,
J'ai un problème de routage que je n'arrive pas à solutionner.
J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet (I1 et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1 et que l'accès à DMZ se fasse par I2. Mon problème est de configurer le routage du firewall pour les trames allant vers Internet. Pour que le LAN accède à Internet, je mets comme passerelle par défaut l'interface de I1. Mais du coup, les réponses aux accès à la DMZ partiront également par I1, ce que je ne veux pas (et je ne suis même pas sûr que ça marche ...).
Comment spécifier les chemins précis pour les 2 types de trames (accès à Internet depuis LAN et réponses depuis DMZ) ?
Faire du source routing. Une recherche sur Google devrait vous en dire plus.
Merci
De rien.
PS : iptables / Linux
Ah, bah voilà, il aurait fallu commencer par là. ;-)
Donc sous Linux pour faire du source routing il faut utiliser la commande ip du paquet iproute2.
Par exemple, sans trop de détail (limite HC, non ?) :
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100 ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1 ip route add table fai2 via ip2 dev interface_I2
Je vous recommande la lecture du Howto LARTC (Linux advanced Routing & Traffic Control) pour une meilleure compréhension. Je pense qu'il faudrait en discuter ailleurs, par exemple sur fcolc ?
-- TiChou
Xavier
Salut TiChou,
Ah, bah voilà, il aurait fallu commencer par là. ;-)
Oui, probablement, mais bon, j'ai pensé à la préciser, c'est déjà pas mal .... ;-)
Donc sous Linux pour faire du source routing il faut utiliser la commande ip
du paquet iproute2.
Par exemple, sans trop de détail (limite HC, non ?) :
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100 ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1 ip route add table fai2 via ip2 dev interface_I2
Petite question : à quoi ça sert d'ajouter les tables dans le fichier rt_tables ? Le "ip route add table" ne suffit-il pas ? Quel est le rôle du "pref 100" ? Un rapport avec les 101 et 102 du fichier rt_tables ?
Merci
Xavier
Salut TiChou,
Merci pour tes suggestions, j'ai un peu adapté et pétouillé, mais c'est bon,
ça marche !
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100
ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1
ip route add table fai2 via ip2 dev interface_I2
Petite question : à quoi ça sert d'ajouter les tables dans le fichier
rt_tables ? Le "ip route add table" ne suffit-il pas ? Quel est le rôle du
"pref 100" ? Un rapport avec les 101 et 102 du fichier rt_tables ?
ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100 ip rule add from ip_dmz to 0/0 table fai2 pref 100
ip route add table fai1 via ip1 dev interface_I1 ip route add table fai2 via ip2 dev interface_I2
Petite question : à quoi ça sert d'ajouter les tables dans le fichier rt_tables ? Le "ip route add table" ne suffit-il pas ? Quel est le rôle du "pref 100" ? Un rapport avec les 101 et 102 du fichier rt_tables ?
