On Tue, Jan 21, 2003 at 01:50:41AM +0100, Forgoto nous dit que :
Salut' !
> Voil� mon petit probl�me :
Il y a plus grave comme probl�me... :)
> Connaitriez-vous une solution pour filtrer les paquets tcp & udip, afin
> que les paquets �mis dont la destination est un certain port passent par
> une interface autre que l'interface par d�faut ?
> Je m'explique : faire passer certaines types de connexion par un vpn
> (via un ppp) quelquesoit leur ip de destination, juste en fonction de
> leur port cible...
Je vais te donner un petit example : soit un serveur web avec une adresse
publique ADDR_PUB.
Comme tu sais que tu auras beaucoup de traffic, tu vas d�cider de
rediriger vers 5 serveurs web sur une DMZ...
Voici un petit script :
########################
$PUB_ADDR=123.123.123.123
$PUB_IF=eth0
$DMZ_IF=eth1
#ouverture du traffic entrant et reroutage
iptables -t nat -A PREROUTING -i $PUB_IF -p tcp \
--sport 1024:65535 -d $PUB_ADDR --dport 80 \
-j DNAT --to-destination 192.168.1.1-192.168.1.5
# ouverture connexion
iptables -A FORWARD -i $PUB_IF -o $DMZ_IF -p tcp
--sport 1024:65535 -d 192.168.1.0/29 --dport 80 \
-m state --state NEW -j ACCEPT
#r�ponses serveur
iptables -A FORWARD -i $DMZ_IF -o $PUB_IF \
-m state --state ESTABLISHED,RELATED -j ACCEPT
#r�ponses client
iptables -A FORWARD -i $PUB_IF -o $DMZ_IF \
-m state --state ESTABLISHED,RELATED, -j ACCEPT
##########################
Bien sur, � appliquer dans le cadre d'un politique de rejet par d�faut,
accptation au coup par coup...
Pour ton probl�me, il ne te reste plus qu'� adapter...
> Une id�e ?
ben...
> PS : J'ai pas trouv� avec iptables, pas moyen de changer l'interface de
> sortie. Ou alors j'ai pas compris..
> Je ne sais meme pas si la stack ip de linux permet �a...
Il ne faut pas sous-estimer la puissance de linux... ni m�me un des ses
principaux atouts (� mon gout) : IPTABLES... :->
Je pense que tu n'as simplement pas pens� au DNAT : Destination Network
Address Translation...
Je conseille un excellent livre sur Iptables :
Linux Firewalls <Robert L.Ziegler>, second edition
parue chez New Riders.
ISBN : 0-7357-1099-6
D'accord, il est un peu cher (65 E), et en anglais, mais c'est une vraie
mine d'or...
Je ne cacherai pas que mon exemple est en partie issu du livre.... :)
Je travaille en ce moment sur un projet de Haute dispo, et c'est une
vraie mine d'or...
Olivier
> --
> Je plains les gens petits,
> Ils sont les premiers a savoir quand il pleut.
> Peter Ustinov.
>
> --
Euh... il n'y a pas erreur sur la citation... C'est pas les grands
plut�t ???
> Fran�ois Barre
> El�ve Ing�nieur en 2�me ann�e
> Ecole Nationale Sup�rieure des T�l�communications de Bretagne
> 29280 Plouzan�
Oh !!! Mais tu passeras un bonjour � PY, Lolo et Jean... :)
