Le jeudi 28 septembre 2006 à 11:41 +0200, Pascal Hambourg a écrit : > Paul Filo a écrit : > > > >>Masquerading de rigueur en effet pour que les paquets de réponse > >>trouvent le chemin du retour jusqu'au serveur SSH, sauf si d'une part > >>l'interface tunnel du client a une adresse - libre évidemment - que la > >>passerelle du serveur sait joindre, par exemple dans le sous-réseau du > >>LAN du serveur, et d'autre part le proxy_arp est activé sur le serveur. > >>Ainsi le serveur répondra aux requêtes ARP pour l'adresse de tunnel du > >>client. > > > > Une bonne vieille route statique point à point suffit il me semble. Et > > je suis sûr de ne pas avoir eu besoin de proxy arp mais peut-être pour > > certaines utilisations... > > Si le serveur SSH ne fait pas de masquerading de l'adresse IP du client, > la passerelle du LAN du serveur verra les paquets "aller" partant vers > l'extérieur avec l'adresse IP source du client, et non l'adresse IP du > serveur. Et il cherchera a envoyer les paquets "retour" reçus de > l'extérieur à cette même adresse. Il y a deux conditions à ce que > l'envoi réussisse : > - la passerelle doit avoir une route vers l'adresse du client, ce qui > est implcitement le cas si cette adresse appartient au sous-réseau du LAN ; > - la passerelle doit retrouver l'adresse MAC correspondante grâce à une > requête ARP. Le client n'étant pas directement sur le LAN, il ne peut > répondre aux requêtes ARP. Le serveur doit donc le faire à sa place, et > c'est l'objet de l'option proxy_arp du noyau. > > Alternative : créer sur la passerelle une route vers l'adresse du client > ayant pour passerelle l'adresse du serveur. Ainsi on fait d'une pierre > deux coups. Et par défaut, ça donne quoi ? Je dis ça car, en ce qui me concerne, je n'ai rien configuré du tout en dehors de mon tunnel et ça marche nickel. Ainsi, sur mon ordinateur A (réseau interne, adresse 10.*.*.*), je me connecte en SSH (via un proxy) sur mon serveur B (également réseau interne, adresse 192.168.*.*). Bon, bien évidemment, il y a du NAT. Mais quand je fais ma requête POP sur mon ordinateur A, elle est envoyée dans le tunnel, passe par mon serveur B et ressort sur Internet par son intermédiaire. Et le retour suit la même voie. En effet, il n'est pas possible que le retour arrive directement sur mon ordinateur A à partir du serveur POP. David.
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=