Re: RE : Re: Fonctionnement du routage au niveau du noyau
François de Beauregard a écrit :
merci beaucoup pour ces explications très précises !
Je n'ai malheureusement que peu de connaissances en
routage, et peu de matos pour tester !
Mais je comprends mieux maintenant.
C'était le but. :-)
Quel est le but ultime de la manoeuvre ?
Je me demandais tout simplement si cela était
possible.
Si quoi est possible ? Si l'objectif est d'émettre du trafic IP par une
interface et de le recevoir par une autre de la même machine, une
possibilité consiste à tromper le routage en faisant du NAT.
Exemple :
# on configure les deux interfaces dans des reseaux IP différents
ifconfig eth1 192.168.1.1
ifconfig eth2 192.168.2.2
# on remplace l'adresse source en sortie par une adresse "virtuelle"
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.2.1
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to 192.168.1.2
# on remplace l'adresse destination en entrée par une adresse "virtuelle"
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 192.168.1.1
iptables -t nat -A PREROUTING -i eth2 -j DNAT --to 192.168.2.2
# on crée les correspondances adresse MAC <-> adresse virtuelle
arp -s 192.168.2.1 <adresse_mac_eth1>
arp -s 192.168.1.2 <adresse_mac_eth2>
Et hop, on peut faire un ping (ou une connexion TCP, ou autre chose)
vers l'une des deux adresses virtuelles, 192.168.1.2 ou 192.168.2.1, qui
passera, ainsi que la réponse, par la liaison extérieure entre les deux
cartes.
Note : les adresses "virtuelles" n'ont ici rien à voir avec les alias IP
appelées parfois "interfaces virtuelles", de la forme ethX:Y. Elles
n'existent par dans la configuration IP de la machine mais seulement
dans les paquets IP transmis entre les deux interfaces.
Ça, c'est la version luxe. On peut aussi y aller bourrin en mettant les
deux interfaces en mode PROMISC et NOARP, en balançant du trafic par une
interface et en le capturant sur l'autre avec tcpdump ou autre. Mais
sans l'astuce du NAT ça ne permettra pas d'établir une vraie
communication IP.
Reply to: