En r�ponse � Bruno Pinaud <[EMAIL PROTECTED]>:
> Le Mardi 19 D�cembre 2000 11:05, vous avez �crit :
> > j'ai deux probl�me
> >
> > j'ai deux liaison pour l'internet et je cherche � les utilis� suivant
> le
> > protocol utilis�
> > exemple si c'est une connexion ssh il faudrait le rout� par la carte 1
> > et si c'est du www sur la carte 2
> >
> > COMMENT faire j'ai essayer beaucoup de chose mais rien ne marche je
> > commence a d�sesp�rer ?
> >
>
> ben je pense qu'avec ipchains on doit y arriver en interdisant les
> connexions
> vers le port 80 sur une carte et en les autorisant sur l'autre par ex
Non, ce qu'il veut faire c'est du *routage* en fonction du protocole, sachant
que la destination est "internet".
Il voudrait en qque sorte que sa table de routage sorte qque chose du genre :
Destination Protocole Interface
0.0.0.0 http eth2
0.0.0.0 ssh eth1
A ma connaissance, il n'y arrivera pas. Il lui faudrait un de ces routeur
sp�ciaux qui savent faire cela. Mais avec le kernel et ipchains ca ne marchera
pas, puisque le routage se fait au niveau du protocole IP, et non pas de TCP.
Avec IPCHAINS tu peux accepter/refuser le forwarding en conction du protocole
(tcp, udp,...) et �ventuellement du port TCP. Mais le routage proprement dit
est effectu� au niveau d'IP.
En r�sum�, ta table de routage, elle est d�finit au niveau IP
IP chains ne te permet que d'accepter ou de refuser le routage qui a *d�j�* �t�
d�fini au niveau d'ip , et en prenant eventuellement compte (pour accepter ou
refuser) le protocole utilis�.
A moins qu'il y ait une astuce qui m'�chappe ce qui est toujours possible.
Un solution de contournement serait �ventuellement la suivante :
Sur la passerelle P (qui est �quip�e de plusieurs cartes, on met un proxy) :
P a une carte eth1 -> internet
" " eth2 -> internet
" " eth3 -> vers le r�seau local
On affecte � Eth3 3 adresses IP :
192.168.0.1
192.168.0.2
192.168.0.3
On fait tourner sur P un proxy.
Les navigateurs du r�seau local sont param�tr�s pour attaquer le proxy
192.168.0.1:1080 pour le www
192.168.0.2:1080 pour le FTP
Avec ipchains, on bloque tout acces sur les ports www et ftp sur les 3 IPs
Comme route on met :
source destination interface
192.168.0.1 0.0.0.0 eth1
192.168.0.2 0.0.0.0 eth2
192.168.0.3 0.0.0.0 eth2
Ainsi, tout le traffic www de l'entreprise sera envoy� vers eth1
le FTP et le reste sera envoy� vers eth2
--
H.Lefebvre [EMAIL PROTECTED]
LINUX : Ne jetez plus votre argent par les fen�tres !
