Re: [HS] iptables et ip aliasing
Le Mardi 9 Mai 2006 13:36, Pascal Hambourg a écrit :
> steve a écrit :
> > Ce que j'essaie de faire, c'est
> > d'avoir 2 sites web sur la même machine et accessible depuis mon réseau
> > interne (en 192.168.20.0/24). J'ai trois interfaces sur le serveur : eth0
> > sur internet, eth1 (192.168.2.2) et ath0 (192.168.20.1).
> >
> > J'ai un serveur web auquel j'accède via www.maison.mrs et un autre sous
> > dolibarr.maison.mrs.
>
> A quelle(s) adresse(s) IP correspondent ces noms ?
www.maison.mrs : 192.168.20.1
dolibarr.maison.mrs : 192.168.2.2
J'ai défini deux VirtualHost dans httpd.conf .
De plus, j'ai mis une entrée A pour chacun dans ma zone maison.mrs (bind).
>
> > J'arrive accéder aux 2 sites depuis le serveur, au
> > www.maison.mrs depuis le réseau local (wifi),
>
> Qui correspond à quelle interface ?
192.168.20.1.
Ce que j'appelle le réseau local (en wifi) est en 192.168.20.0/24
>
> > mais pas au 2e site. D'ailleurs
> > je n'arrive pas à pinger depuis 192.168.20.2 sur 192.168.2.2.
>
> Ça veut dire quoi exactement "je n'arrive pas" ? Il y a un message
> d'erreur ?
non. je pingue et il ne se passe rien, à part que si je pingue sur
dolibarr.maison.mrs, il me trouve la bonne IP:
ping dolibarr.maison.mrs
PING dolibarr.maison.mrs (192.168.2.2) 56(84) bytes of data.
et nada. ça ne passe pas.
> La machine ayant l'adresse 192.168.20.2 a-t-elle une route explicite ou
> par défaut pour joindre 192.168.2.2 ?
non. la route par défaut passe par 192.168.20.1 puis par eth0 (192.168.1.34)
puis vers le net via le modem en 192.168.1.1, mais rien vers le réseau
192.168.2.0.
> Y a-t-il du filtrage IP sur les machines ?
Il y a des règles iptables pour bloquer l'accès depuis le net, que j'ouvre au
cas par cas si besoin est.
>
> > J'ai essayé
> > plusieurs règles iptables (un peu au bol il y est vrai...), mais je n'y
> > parviens pas.
>
> Tu veux parvenir à *quoi* exactement ?
je veux que les postes de mon réseau wifi soient capables d'aller sur les deux
sites; pour le moment seul le www.maison.mrs est accessible.
>
> > J'ai pensé faire du port forwarding depuis 192.168.20.1:80 sur
> > 192.168.2.2:80, ... pas marché ;-(
>
> Tu n'as pas besoin de faire du port forwarding (NAT destination). En
> fait tu n'as pas besoin d'iptables, sauf si tu bloques du trafic par
> défaut et que tu dois autoriser du trafic explicitement.
ce que je fais pour le net.
> > Comment je fais pour faire passer les paquets de ath0 sur eth1
> > (ip_forward déjà est à 1) ?
>
> Tu n'as pas besoin de "forwarder" des paquets d'une interface à une
> autre.
c'est bien ce qui se passe quand on fait
echo 1 > /proc/sys/net/ipv4/ip_forward
n'est-ce pas ?
> Les paquets "forwardés" sont uniquement ceux reçus et destinés à
> une autre machine. Les paquets reçus avec une adresse destination
> appartenant à la machine sont dirigés vers les processus locaux même si
> l'adresse ne correspond pas à l'interface d'arrivée. Les sockets TCP/UDP
> ne sont pas spécialement concernés par les interfaces.
>
> En fait le réseau c'est simple :
c'est toujours ce qu'on dit quand ça marche ;-)
> - un paquet arrive sur n'importe quelle interface avec n'importe quelle
> adresse destination appartenant à la machine -> je prends ;
> - un paquet arrive avec une adresse de destination n'appartenant pas à
> la machine -> je forwarde (si forwarding activé).
alors pourquoi ça ne marche pas dans mon cas ? est-ce dû au virtualhosting par
IP de Apache ? des règles iptables mal foutues ? le crachin qu'il fait
aujourd'hui ?
En tous cas merci Pascal pour ces très claires explications. Je vais de ce pas
essayer de les mettre en applications.
@ plouff
--
steve
jabber : sdl@jabber.org
Reply to: