Routage Firewall avec 2 acces Internet

Le
Xavier
Bonjour,

J'ai un problème de routage que je n'arrive pas à solutionner.

J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet (I1
et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1 et
que l'accès à DMZ se fasse par I2. Mon problème est de configurer le routage
du firewall pour les trames allant vers Internet. Pour que le LAN accède à
Internet, je mets comme passerelle par défaut l'interface de I1. Mais du
coup, les réponses aux accès à la DMZ partiront également par I1, ce que je
ne veux pas (et je ne suis même pas sûr que ça marche ).

Comment spécifier les chemins précis pour les 2 types de trames (accès à
Internet depuis LAN et réponses depuis DMZ) ?

Merci

Xavier

PS : iptables / Linux
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
TiChou
Le #773572
Dans le message *Xavier* tapota sur f.c.securite :

Bonjour,


Bonsoir,

J'ai un problème de routage que je n'arrive pas à solutionner.

J'ai un firewall à plusieurs branches. Pour simplifier, 2 accès Internet
(I1 et I2), une DMZ et un LAN. Je veux que le LAN accède à Internet par I1
et que l'accès à DMZ se fasse par I2. Mon problème est de configurer le
routage du firewall pour les trames allant vers Internet. Pour que le LAN
accède à Internet, je mets comme passerelle par défaut l'interface de I1.
Mais du coup, les réponses aux accès à la DMZ partiront également par I1,
ce que je ne veux pas (et je ne suis même pas sûr que ça marche ...).

Comment spécifier les chemins précis pour les 2 types de trames (accès à
Internet depuis LAN et réponses depuis DMZ) ?


Faire du source routing. Une recherche sur Google devrait vous en dire plus.

Merci


De rien.

PS : iptables / Linux


Ah, bah voilà, il aurait fallu commencer par là. ;-)

Donc sous Linux pour faire du source routing il faut utiliser la commande ip
du paquet iproute2.

Par exemple, sans trop de détail (limite HC, non ?) :

printf "101 fai1n" > /etc/iproute2/rt_tables
printf "102 fai2n" >> /etc/iproute2/rt_tables

ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100
ip rule add from ip_dmz to 0/0 table fai2 pref 100

ip route add table fai1 via ip1 dev interface_I1
ip route add table fai2 via ip2 dev interface_I2

Je vous recommande la lecture du Howto LARTC (Linux advanced Routing &
Traffic Control) pour une meilleure compréhension.
Je pense qu'il faudrait en discuter ailleurs, par exemple sur fcolc ?

--
TiChou

Xavier
Le #789119
Salut TiChou,

Ah, bah voilà, il aurait fallu commencer par là. ;-)


Oui, probablement, mais bon, j'ai pensé à la préciser, c'est déjà pas mal
.... ;-)

Donc sous Linux pour faire du source routing il faut utiliser la commande
ip

du paquet iproute2.

Par exemple, sans trop de détail (limite HC, non ?) :

printf "101 fai1n" > /etc/iproute2/rt_tables
printf "102 fai2n" >> /etc/iproute2/rt_tables

ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100
ip rule add from ip_dmz to 0/0 table fai2 pref 100

ip route add table fai1 via ip1 dev interface_I1
ip route add table fai2 via ip2 dev interface_I2

Je vous recommande la lecture du Howto LARTC (Linux advanced Routing &
Traffic Control) pour une meilleure compréhension.


OK, je vais étudier cette voie.

Je pense qu'il faudrait en discuter ailleurs, par exemple sur fcolc ?


fcolc ?

Xavier

Xavier
Le #788877
Salut TiChou,

Merci pour tes suggestions, j'ai un peu adapté et pétouillé, mais c'est bon,
ça marche !

printf "101 fai1n" > /etc/iproute2/rt_tables
printf "102 fai2n" >> /etc/iproute2/rt_tables

ip rule add from ip_lan/prefix to 0/0 table fai1 pref 100
ip rule add from ip_dmz to 0/0 table fai2 pref 100

ip route add table fai1 via ip1 dev interface_I1
ip route add table fai2 via ip2 dev interface_I2


Petite question : à quoi ça sert d'ajouter les tables dans le fichier
rt_tables ? Le "ip route add table" ne suffit-il pas ? Quel est le rôle du
"pref 100" ? Un rapport avec les 101 et 102 du fichier rt_tables ?

Merci

Xavier

Publicité
Poster une réponse
Anonyme