PHWinfo - Afficher un message - le nat marche plus en passant par le bridge !

07/04/2007, 21h40

Pascal Hambourg wrote:
> Pour que ce soit bien clair, ton firewall a deux interfaces reliées au
> même réseau WAN comme sur le schéma ci-dessous ?
>
> WAN
> --+-----------+--
> | |
> +---|-----------|---+
> | eth0 eth2 |
> | | | |
> | routage+NAT pont |
> | | | |
> | eth1 eth3 |
> +---|-----------|---+
> | |
> --+-- --+--
> LAN serveurs

C'est bien ça.

> Si oui, pourquoi cette architecture avec deux interfaces sur le WAN
> plutôt que d'utiliser l'interface bridge à la place de eth0 ?

Par méconnaissance :-)

> Le pont a-t-il une adresse IP ?

Le pont n'a pas d'IP.

> Si je comprends bien, les paquets partent des serveurs, entrent par
> eth3, traversent le pont, ressortent par eth2, parcourent le WAN et
> rentrent à nouveau par eth0 dans le but d'être DNATés ?

Exact !

> Si le noyau Linux de la machine a été compilé avec l'option
> CONFIG_BRIDGE_NETFILTER activée, les paquets ethernet traversant le pont
> et contenant des paquets IP traversent les chaînes iptables comme le
> feraient des paquets IP routés (PREROUTING -> FORWARD -> POSTROUTING).
> Ce faisant ils sont vus une première fois par le suivi de connexion de
> Netfilter. Lorsque les paquets reviennent par eth0, le suivi de
> connexion les reconnaît donc comme appartenant à une connexion existante
> et ils sautent les chaînes de la table 'nat'. Les règles de NAT liées à
> eth0 sont donc inopérantes sur ces paquets. Je sais bien, ce n'est pas
> optimal.

Bien vu ! et j'ai bien CONFIG_BRIDGE_NETFILTER=y

> Si tu n'as pas besoin du filtrage d'iptables sur le pont (par exemple
> ebtables suffit), tu peux recompiler le noyau sans l'option
> CONFIG_BRIDGE_NETFILTER.

Mais je ne suis pas chaud pour recompiler.
Je prefere deplacer le bridge sur un autre serveur.

> Sinon, tu peux essayer de faire en sorte que les règles NAT soient
> appliquées aussi lors de la traversée du pont (avec -m physdev), mais je
> ne garantis rien.

Je crois avoir déjà essayé...

> Sinon, si le pont n'a pas d'adresse IP tu peux aussi essayer de lui en
> donner une, même bidon. Ainsi les paquets entrant par eth3 destinés à
> l'adresse de eth0 ne traverseront pas le pont mais seront livrés
> directement à la pile IP via l'interface pont. Il faudra donc que les
> règles de NAT appliquées à eth0 s'appliquent aussi à cette interface.

Merci pour ses suggestions.

J'avais plutot dans l'idee de trouver des regles salvatrices avec
'ebtables' pour rendre le filtre plus ou moins poreux... mais sans
succès pour l'instant.

Merci

--
c'est pas moi

07/04/2007, 21h40	#4
LLogicoss Messages: n/a Hébergeur:	Re: le nat marche plus en passant par le bridge ! Pascal Hambourg wrote: > Pour que ce soit bien clair, ton firewall a deux interfaces reliées au > même réseau WAN comme sur le schéma ci-dessous ? > > WAN > --+-----------+-- > \| \| > +---\|-----------\|---+ > \| eth0 eth2 \| > \| \| \| \| > \| routage+NAT pont \| > \| \| \| \| > \| eth1 eth3 \| > +---\|-----------\|---+ > \| \| > --+-- --+-- > LAN serveurs C'est bien ça. > Si oui, pourquoi cette architecture avec deux interfaces sur le WAN > plutôt que d'utiliser l'interface bridge à la place de eth0 ? Par méconnaissance :-) > Le pont a-t-il une adresse IP ? Le pont n'a pas d'IP. > Si je comprends bien, les paquets partent des serveurs, entrent par > eth3, traversent le pont, ressortent par eth2, parcourent le WAN et > rentrent à nouveau par eth0 dans le but d'être DNATés ? Exact ! > Si le noyau Linux de la machine a été compilé avec l'option > CONFIG_BRIDGE_NETFILTER activée, les paquets ethernet traversant le pont > et contenant des paquets IP traversent les chaînes iptables comme le > feraient des paquets IP routés (PREROUTING -> FORWARD -> POSTROUTING). > Ce faisant ils sont vus une première fois par le suivi de connexion de > Netfilter. Lorsque les paquets reviennent par eth0, le suivi de > connexion les reconnaît donc comme appartenant à une connexion existante > et ils sautent les chaînes de la table 'nat'. Les règles de NAT liées à > eth0 sont donc inopérantes sur ces paquets. Je sais bien, ce n'est pas > optimal. Bien vu ! et j'ai bien CONFIG_BRIDGE_NETFILTER=y > Si tu n'as pas besoin du filtrage d'iptables sur le pont (par exemple > ebtables suffit), tu peux recompiler le noyau sans l'option > CONFIG_BRIDGE_NETFILTER. Mais je ne suis pas chaud pour recompiler. Je prefere deplacer le bridge sur un autre serveur. > Sinon, tu peux essayer de faire en sorte que les règles NAT soient > appliquées aussi lors de la traversée du pont (avec -m physdev), mais je > ne garantis rien. Je crois avoir déjà essayé... > Sinon, si le pont n'a pas d'adresse IP tu peux aussi essayer de lui en > donner une, même bidon. Ainsi les paquets entrant par eth3 destinés à > l'adresse de eth0 ne traverseront pas le pont mais seront livrés > directement à la pile IP via l'interface pont. Il faudra donc que les > règles de NAT appliquées à eth0 s'appliquent aussi à cette interface. Merci pour ses suggestions. J'avais plutot dans l'idee de trouver des regles salvatrices avec 'ebtables' pour rendre le filtre plus ou moins poreux... mais sans succès pour l'instant. Merci -- c'est pas moi