Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Eric Mognat]

Salut,

deux tests a faire :
--> règles désactivées, accès port 80 puis arp -a
--> même chose règles activées
contrôle que la mac est la bonne.

A+

Le 20 juillet 2016 à 18:14, Michel Py
 a écrit :
>> Antoine Durant a écrit :
>> [..]
>
> En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, 
> Windows et Unix :
>
> "netstat -r"  ??
>
> Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David et 
> Michel commencent à vendre des tickets :P
> Philippe Bourcier, ne t'inquiètes pas. Tes 15% font partie des tickets.
>
>
> Michel.
>
> David, 50/50 moins les frais et ce qu'on donne à Philippe ?
> Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ?
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Michel Py]

> Antoine Durant a écrit :
> [..]

En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, 
Windows et Unix :

"netstat -r"  ??

Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David et Michel 
commencent à vendre des tickets :P
Philippe Bourcier, ne t'inquiètes pas. Tes 15% font partie des tickets.


Michel.

David, 50/50 moins les frais et ce qu'on donne à Philippe ?
Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Michel Py]

> David Ponzone a écrit :
> Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher 
> .10 d’accéder à .33:80, c’est du
> local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, 
> c’est la devinette de l’été.

Han Effé.

Vu de loin, çà sent quand même a plein nez le subnet mask de class B qui force 
le routage par le Cisco. 172.16.0.0/12 c'est "class B" pour les débiles qui 
sont pas au courant de "ip classless"

Euh, le host c'est MS-DOS 5.0 avec M$ TCP/IP stack version 0.1 ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Matthieu Racine]

Le 20/07/2016 à 10:50, Antoine Durant a écrit :

Heu non David.
J'ai activé ces 2 règles pour que le service web soit joignable depuis 
l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux 
pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide...
Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
depuis le wan (normal) :)

   De : David Ponzone 
  À : Antoine Durant 
Cc : Frnog-tech 
  Envoyé le : Mercredi 20 juillet 2016 10h42
  Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ?

Alors là, magie!



Re,

Je n'avais pas lu tous les mails, et pas compris que tu essayais 
d'atteindre ton serveur par  l'adresse privée.

Effectivement c'est très étrange...
As tu fait un tcpdump sur le serveur et le client pour voir ? Vérifie 
les adresses mac des paquets si tu ne trouves rien au niveau des IP.

--
Matthieu


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Matthieu Racine]

Le 20/07/2016 à 11:11, Antoine Durant a écrit :

Salut alarig,
Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change 
pas mon problème d'accès depuis le lan

   De : Alarig Le Lay 
  À : frnog@frnog.org
  Envoyé le : Mercredi 20 juillet 2016 11h06
  Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:

   Bonjour,
J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle 
ip nat inside.
J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
depuis l’extérieur via IP wan :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?


Bonjour,

Je ne connais pas bien le NAT sur Cisco, mais c'est un problème qui 
m'amuse beaucoup en iptables (par exemple), aussi pour une fois, je me 
lance.


Ce sont les paquets retour qui n'arrivent pas correctement à ton client 
web. Ils arrivent, mais mal formés (avec un routeur/firewall Linux 
iptables toujours, mais je subodore que c'est plus ou moins le même 
problème sur cisco).


Posons :
- Adresse de ton client Web : C (Ip privée)
- Adresse de ton serveur Web : S (IP privée)
- Adresse publique sur laquelle tu fais un dst nat (nat inside ?) : W
- Adresse publique vers laquelle est natée ton client : W' 
(éventellement égale à W)


1- Ton client envoie un paquet SYN vers l'IP publique du serveur web :
=> adresse source C, adresse destination W
2- Le paquet arrive sur l'interface interne du routeur : Pré-routing DNAT
=> adresse source C, adresse destination S + création d'une entrée 
correspondante dans la table de NAT
3- Le paquet doit sortir du routeur : Post-routing SNAT, seulement il 
"sort" par l'interface interne puisque sa destination (S) est maintenant 
l'adresse IP privée de ton serveur WEB, le SNAT n'a donc pas lieu 
puisque que le Snat ne se fait que sur les paquet qui sortent par ton 
interface publique. Le paquet n'est donc pas modifié :

=> adresse source C, adresse destination S
4- La paquet arrive à ton serveur qui le traite et y répond en inversant 
adresse source et adresse destination (SYN+ACK)

  => adresse source S, adresse destination C
Et c'est là que ça merdoie : ton serveur réponds directement à l'adresse 
ip du client, sans passer par le routeur/firewall puisque C est sur le 
même domaine de broadcast que S. Le client voyant arriver le paquet avec 
comme adresse source de la réponse l'adresse IP privée de ton serveur, 
ça ne match pas avec la connexion qu'il à initié et drop le paquet...


Tu pex vérifier si c'est bien ce qui se produit en posant un tcpdump sur 
le serveur ou le client.


Ce problème se produit (à ma connaissance) uniquement quand tu mets en 
place un DNAT et essaye d'atteindre via le routeur un serveur qui est 
dans le même domaine de broadcast que ton client (ça "marche" aussi si 
tu essayes de faire un wget depuis le serveur sur l'IP publique du 
serveur :D )


Plusieurs solutions sont possibles :
- DNS privé ou fichier hosts qui évite de te faire passer par ton 
firewall en résolvant avec l'adresse IP privée
- Tu mets ton serveur dans une DMZ et ton client dans un autre réseau  
(mais ça ne règle pas vraiment le problème si des serveurs de la DMZ 
doivent s'interroger mutuellement via leurs IP publiques)
- Tu forces le SNAT vers W' lorsque le paquet sort (même par l'interface 
privée), ainsi, à l'étape 3 le paquet devient :
  => Adresse source W', adresse destination C + création d'une deuxième 
entrée dans la table de NAT


Le serveur réponds donc vers l'IP publique du W', passe par le firewall 
qui fait les opérations inverses grâce aux deux entrées de la table de 
NAT et hop la connexion se fait.


Je trouve ça peu élégant, mais ça marche. Si quelqu'un à une autre 
solution, je suis preneur :)


--
Matthieu


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Oui je peux aussi faire ça ! 
Je vais en premier lieu faire une maj ios et écraser la configuration !
Merci David pour l'aide ;)



  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech 
 Envoyé le : Mercredi 20 juillet 2016 11h46
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Tu peux aussi faire un autre truc amusant.
Tu mets tes 2 règles donc .10 peut plus accéder à .33:80.
Tu débranches le Cisco du switch.
Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local.
Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la 
devinette de l’été.


> Le 20 juil. 2016 à 11:37, Antoine Durant  a écrit :
> 
> C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai 
> branché un switch qui connecte mon serveur web et mon pc.
> 
> Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
> était connecté derrière le Cisco avant de passer sur le switch...
> 
> Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
> 
> Je vais reprendre la configuration du Cisco à zéro et écraser la conf.
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Frnog-tech 
> Envoyé le : Mercredi 20 juillet 2016 11h25
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse 
> MAC qu’elle a pour l’autre est bien l’autre :)
> En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de 
> .33, et pas un méchant qui se fait passer pour elle, et inversement.
> Vire toute règle de firewall/iptables/etc.. sur .33.
> Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par 
> le Cisco, sauf config tordue.
> Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
> matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
> voir si le compteur s’incrémente).
> 
> T’es sûr qu’il y a pas une subtilité dans la conf ?
> 
> 
> 
>> Le 20 juil. 2016 à 11:07, Antoine Durant > > a écrit :
>> 
>> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>> >172.16.1.10 ?
>> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
>> dans une règle ip nat
>> 
>> >.10 et .33 ont le Cisco comme route par défaut ?
>> Oui
>> 
>> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
>> Oui le ping passe avec les règles ou meme sans
>> 
>> >Si non, je te recommande de revoir toute la configuration (netmask, 
>> >proxy-arp, ….) car c’est juste pas possible.
>> Le netmask est conforme, le proxy-arp est off
>> 
>> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
>> archi simple...
>> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Tu peux aussi faire un autre truc amusant.
Tu mets tes 2 règles donc .10 peut plus accéder à .33:80.
Tu débranches le Cisco du switch.
Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local.
Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la 
devinette de l’été.


> Le 20 juil. 2016 à 11:37, Antoine Durant  a écrit :
> 
> C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai 
> branché un switch qui connecte mon serveur web et mon pc.
> 
> Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
> était connecté derrière le Cisco avant de passer sur le switch...
> 
> Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
> 
> Je vais reprendre la configuration du Cisco à zéro et écraser la conf.
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Frnog-tech 
> Envoyé le : Mercredi 20 juillet 2016 11h25
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse 
> MAC qu’elle a pour l’autre est bien l’autre :)
> En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de 
> .33, et pas un méchant qui se fait passer pour elle, et inversement.
> Vire toute règle de firewall/iptables/etc.. sur .33.
> Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par 
> le Cisco, sauf config tordue.
> Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
> matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
> voir si le compteur s’incrémente).
> 
> T’es sûr qu’il y a pas une subtilité dans la conf ?
> 
> 
> 
>> Le 20 juil. 2016 à 11:07, Antoine Durant > > a écrit :
>> 
>> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>> >172.16.1.10 ?
>> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
>> dans une règle ip nat
>> 
>> >.10 et .33 ont le Cisco comme route par défaut ?
>> Oui
>> 
>> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
>> Oui le ping passe avec les règles ou meme sans
>> 
>> >Si non, je te recommande de revoir toute la configuration (netmask, 
>> >proxy-arp, ….) car c’est juste pas possible.
>> Le netmask est conforme, le proxy-arp est off
>> 
>> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
>> archi simple...
>> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché 
un switch qui connecte mon serveur web et mon pc.
Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
était connecté derrière le Cisco avant de passer sur le switch...
Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
Je vais reprendre la configuration du Cisco à zéro et écraser la conf. 

  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech 
 Envoyé le : Mercredi 20 juillet 2016 11h25
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC 
qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC 
que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer 
pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur 
.33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas 
par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur 
l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 
(tu les acceptes, c’est juste pour voir si le compteur s’incrémente).
T’es sûr qu’il y a pas une subtilité dans la conf ?




Le 20 juil. 2016 à 11:07, Antoine Durant  a écrit :
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC 
qu’elle a pour l’autre est bien l’autre :)
En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de .33, 
et pas un méchant qui se fait passer pour elle, et inversement.
Vire toute règle de firewall/iptables/etc.. sur .33.
Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par le 
Cisco, sauf config tordue.
Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
voir si le compteur s’incrémente).

T’es sûr qu’il y a pas une subtilité dans la conf ?



> Le 20 juil. 2016 à 11:07, Antoine Durant  a écrit :
> 
> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
> >172.16.1.10 ?
> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
> dans une règle ip nat
> 
> >.10 et .33 ont le Cisco comme route par défaut ?
> Oui
> 
> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
> Oui le ping passe avec les règles ou meme sans
> 
> >Si non, je te recommande de revoir toute la configuration (netmask, 
> >proxy-arp, ….) car c’est juste pas possible.
> Le netmask est conforme, le proxy-arp est off
> 
> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
> archi simple...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Salut alarig,
Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change 
pas mon problème d'accès depuis le lan

  De : Alarig Le Lay 
 À : frnog@frnog.org 
 Envoyé le : Mercredi 20 juillet 2016 11h06
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:
>  Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?

-- 
alarig

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Alarig Le Lay]

On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:
>  Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?

-- 
alarig


signature.asc
Description: Digital signature

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
172.16.1.10 ?
Amusant compte tenu du fait que les paquets entre .10 et .33 ne passent pas par 
le routeur, sauf si tu t’es trompé quelque part.
.10 et .33 ont le Cisco comme route par défaut ?
Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
….) car c’est juste pas possible.


> Le 20 juil. 2016 à 10:50, Antoine Durant  a écrit :
> 
> Heu non David.
> 
> J'ai activé ces 2 règles pour que le service web soit joignable depuis 
> l'exterieur, c'est OK !
> Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip 
> lan 172.16.1.33 du service web ca mouline dans le vide...
> 
> Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
> depuis le wan (normal) :)
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Frnog-tech 
> Envoyé le : Mercredi 20 juillet 2016 10h42
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
> X.Y.Z.1:80 ?
> Alors là, magie!
> 
> 
> > Le 20 juil. 2016 à 10:28, Antoine Durant  > > a écrit :
> > 
> > Bonjour,
> > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> > règle ip nat inside.
> > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> > depuis l’extérieur via IP wan :
> > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> > mouline et je n’y accède pas. 
> > Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> > 
> > Est-ce que mes règles sont mal construites ?
> > 
> > Merci pour le coup de pouce ;)
> 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Heu non David.
J'ai activé ces 2 règles pour que le service web soit joignable depuis 
l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux 
pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide...
Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
depuis le wan (normal) :)

  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech 
 Envoyé le : Mercredi 20 juillet 2016 10h42
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
X.Y.Z.1:80 ?
Alors là, magie!


> Le 20 juil. 2016 à 10:28, Antoine Durant  a écrit :
> 
> Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> mouline et je n’y accède pas. 
> Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> 
> Est-ce que mes règles sont mal construites ?
> 
> Merci pour le coup de pouce ;)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
X.Y.Z.1:80 ?
Alors là, magie!


> Le 20 juil. 2016 à 10:28, Antoine Durant  a écrit :
> 
> Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> mouline et je n’y accède pas. 
> Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> 
> Est-ce que mes règles sont mal construites ?
> 
> Merci pour le coup de pouce ;)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

 Bonjour,
J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle 
ip nat inside.
J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
depuis l’extérieur via IP wan :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
mouline et je n’y accède pas. 
Si j’enlève les règles du dessus ça fonctionne depuis le lan.

Est-ce que mes règles sont mal construites ?

Merci pour le coup de pouce ;)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Offres d'emploi au sein d'Inria

[Didier Faugeron]

Bonjour, 

Le service Exploitation/Infrastructure de la DSI Inria vient de publier 2 
postes qui pourraient intéresser les membres de la liste: 
- 1 ingénieur Sécurité : 
http://www.inria.fr/institut/recrutement-metiers/offres/cdd/(view)/details.html?id=PUQFK026203F3VBQB6G68LO2G=5033=2=FR=20=10676=17077=52=DESC=2
 

- 1 ingénieur Réseaux et Télécoms : 
http://www.inria.fr/institut/recrutement-metiers/offres/cdd/(view)/details.html?id=PUQFK026203F3VBQB6G68LO2G=5033=2=FR=20=10674=17073=52=DESC=2
 

Il s'agit de CDD de 3 ans. 
La localisation de ces 2 postes est ouverte à tous les centres de recherche 
Inria. 

Je suis disponible pour toute information complémentaire au sujet de ces 
postes. 


Cordialement 


Didier Faugeron 
Inria / DSI / SESI / Responsable de service 
655 avenue de l'Europe 
38330 Montbonnot - Saint Ismier 
Tel: +33(0)476 61 54 96 



---
Liste de diffusion du FRnOG
http://www.frnog.org/