Re: Petite colle ... solvable??? :)

To: Forgoto <francois.barre@enst-bretagne.fr>
Subject: Re: Petite colle ... solvable??? :)
From: Olivier LAMBERT <ceituna@ardilla.asso.fr>
Date: Tue, 21 Jan 2003 03:57:07 +0100
Message-id: <[🔎] 20030121025707.GA7411@ardilla.asso.fr>
In-reply-to: <[🔎] 3E2C9961.8040703@enst-bretagne.fr>
References: <[🔎] 3E2C9961.8040703@enst-bretagne.fr>

On Tue, Jan 21, 2003 at 01:50:41AM +0100, Forgoto nous dit que :
Salut' !

> Voilà mon petit problème :

Il y a plus grave comme problème... :)

> Connaitriez-vous une solution pour filtrer les paquets tcp & udip, afin 
> que les paquets émis dont la destination est un certain port passent par 
> une interface autre que l'interface par défaut ?
> Je m'explique : faire passer certaines types de connexion par un vpn 
> (via un ppp) quelquesoit leur ip de destination, juste en fonction de 
> leur port cible...

Je vais te donner un petit example : soit un serveur web avec une adresse publique ADDR_PUB.

Comme tu sais que tu auras beaucoup de traffic, tu vas décider de
rediriger vers 5 serveurs web sur une DMZ...

Voici un petit script :
########################
$PUB_ADDR=123.123.123.123
$PUB_IF=eth0
$DMZ_IF=eth1

#ouverture du traffic entrant et reroutage
iptables -t nat -A PREROUTING -i $PUB_IF -p tcp \
	--sport 1024:65535 -d $PUB_ADDR --dport 80 \
	-j DNAT --to-destination 192.168.1.1-192.168.1.5

# ouverture connexion
iptables -A FORWARD -i $PUB_IF -o $DMZ_IF -p tcp
	--sport 1024:65535 -d 192.168.1.0/29 --dport 80 \
	-m state --state NEW -j ACCEPT

#réponses serveur
iptables -A FORWARD -i $DMZ_IF -o $PUB_IF \
	-m state --state ESTABLISHED,RELATED -j ACCEPT

#réponses client
iptables -A FORWARD -i $PUB_IF -o $DMZ_IF \
	-m state --state ESTABLISHED,RELATED, -j ACCEPT
##########################

Bien sur, à appliquer dans le cadre d'un politique de rejet par défaut,
accptation au coup par coup...

Pour ton problème, il ne te reste plus qu'à adapter...


> Une idée ?

ben...

> PS : J'ai pas trouvé avec iptables, pas moyen de changer l'interface de 
> sortie. Ou alors j'ai pas compris..
> Je ne sais meme pas si la stack ip de linux permet ça...

Il ne faut pas sous-estimer la puissance de linux... ni même un des ses
principaux atouts (à mon gout) : IPTABLES... :->

Je pense que tu n'as simplement pas pensé au DNAT : Destination Network
Address Translation...



Je conseille un excellent livre sur Iptables : 
Linux Firewalls <Robert L.Ziegler>, second edition 
parue chez New Riders.
ISBN : 0-7357-1099-6

D'accord, il est un peu cher (65 E), et en anglais, mais c'est une vraie
mine d'or...

Je ne cacherai pas que mon exemple est en partie issu du livre.... :)

Je travaille en ce moment sur un projet de Haute dispo, et c'est une
vraie mine d'or...


Olivier

> -- 
> Je plains les gens petits,
> Ils sont les premiers a savoir quand il pleut.
> Peter Ustinov.
> 
> --

Euh... il n'y a pas erreur sur la citation... C'est pas les grands
plutôt ???

> François Barre
> Elève Ingénieur en 2ème année
> Ecole Nationale Supérieure des Télécommunications de Bretagne
> 29280 Plouzané

Oh !!! Mais tu passeras un bonjour à PY, Lolo et Jean... :)

Reply to:

References:
- Petite colle ...
  - From: Forgoto <francois.barre@enst-bretagne.fr>

Prev by Date: Re: Carte eth0
Next by Date: Re: fichier udf
Previous by thread: Petite colle ...
Next by thread: Re: Petite colle ...
Index(es):
- Date
- Thread