[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Configuration de socks et iptables

>> 3) tu lances ton client vtun sur machine A. Tu vas avoir une nouvelle
>> interface tun0 avec une adresse ip dans la plage de ton réseau local
> 
> Tu veux dire dans le réseau local du serveur SSH ?
> Note : le serveur aura aussi une nouvelle interface tunX à l'autre bout
> du tunnel.

Tu as raison : il y a une interface tun de chaque  coté. Je voulais dire
que si ton réseau local est en 192.168.1.0/24, tu peux prendre 2
adresses dans cette plage pour le tunnel une coté serveur, l'autre coté
client. Ca évite de rajouter encore d'autres règles de routage coté serveur.
> 
>> 4) tu ajoutes une route pour router tous les paquets à destination du
>> port 110 pat cette interface.
> 
> Euh, ce n'est pas si simple. On ne peut pas directement router en
> fonction du port destination. Il va falloir marquer les paquets sortants
> avec une règle iptables MARK et faire du routage avancé avec une règle
> de routage (ip rule) basée sur la marque définie qui aiguille le routage
> vers une table de routage alternative contenant une route par défaut
> passant par le tunnel. Du classique. Sans oublier le cas écheant de
> désactiver rp_filter sur l'interface tunnel sinon les paquets de réponse
> se feront jeter au retour. Ouf !

Effectivement... mais quelle joie quand ça marche... En fait, quand j'ai
testé ça, je filtrai sur l'adresse source et là c'est plus simple car ip
rule le fait directement.

{...]

> Masquerading de rigueur en effet pour que les paquets de réponse
> trouvent le chemin du retour jusqu'au serveur SSH, sauf si d'une part
> l'interface tunnel du client a une adresse - libre évidemment - que la
> passerelle du serveur sait joindre, par exemple dans le sous-réseau du
> LAN du serveur, et d'autre part le proxy_arp est activé sur le serveur.
> Ainsi le serveur répondra aux requêtes ARP pour l'adresse de tunnel du
> client.

Une bonne vieille route statique point à point suffit il me semble. Et
je suis sûr de ne pas avoir eu besoin de proxy arp mais peut-être pour
certaines utilisations...

> Et là quelque chose me dit que David n'est plus très chaud pour se
> lancer dans l'option tunnel et qu'il va plutôt se concentrer sur
> l'option proxy.  ;-)

C'est marrant, j'ai la même impression... (voir message de David sur
Dante plus loin). Moi, dans son cas, je préfère jouer avec les paquets
tcpip, iptables, iproute2 et vtun plutôt que multiplier les proxy mais
chacun son truc.
Reply to: