[gull] question NAT

Leopoldo Ghielmetti Fri, 01 Oct 2004 07:22:21 -0700

salut,

j'ai une question pour la mise en place d'un NAT.


J'aimerais installer une machine Linux avec un modem pour de la
maintenance clients.
Actuellement il y a deux clients chez qui se connecter, mais dans le
futur on pourrait en avoir plusieurs.
Le problÃme est le suivant, mon employeur Ã mis en place un rÃseaux
10.x.x.x, les deux clients aussi. Et certaines machines ont aussi la
mÃme adresse.

Vu que je n'ai besoin d'accÃder qu'a un nombre limitÃ de machines je me
suis dit qu'on aurait pu NATter une plage d'adresses pour la maintenance
et donc rediriger uniquement les trois ou quatre machines auxquelles on
a accÃs.
Pour ce fair je me suis dit (exemple d'adresses):
rÃseaux interne              client1              client2
10.0.0.1 serveur1
10.0.0.2 serveur2
10.0.0.3 serveur3
10.200.200.1                 10.0.0.1 serveur1
10.200.200.2                 10.0.0.3 serveur2
10.200.200.3                 10.0.0.8 serveur3
10.200.200.9                                       10.0.0.2 serveur1
10.200.200.10                                      10.0.0.3 serveur2
10.200.200.11                                      10.0.0.9 serveur3

de cette faÃon on aurait accÃs aux serveurs internes 1, 2 et 3 ainsi
qu'aux serveurs des deux clients.
En plus on peut utiliser la plage 10.200.200.0/29 pour appeler le numÃro
du client1 et la plage 10.200.200.8/29 pour appeler le numÃro du client2
avec le modem.

Seulement que iptables fait le DNAT puis le routing et ensuite le SNAT
et il n'y a pas moyen de faire l'inverse. Et qui plus est il n'y a pas
de possibilitÃ d'effectuer le routage en se basant sur l'adresse source
et non sur la destination.
Donc il m'est impossible de router avec l'adresse 10.200.200.x et
ensuite effectuer le NAT sur les adresses 10.x.x.x. Le iptable s'obstine
Ã translater les adresses d'abord et les router ensuite. Il m'est donc
impossible de configurer diald pour appeler le bon client car les
adresses 10.x.x.x sont ambigus.
En mÃme temps je ne peux pas utiliser une deuxiÃme machine qui ferait un
espÃce de prÃ traduction des adresses de faÃon Ã forcer la deuxiÃme
machine Ã router en se basant sur les adresses source et non sur les
adresses destination.

Vu que les deux solutions que j'ai imaginÃs ne sont pas possibles,
est-ce qu'il y a quelqu'un qui a une meilleure idÃe?

Je suis sur que ce n'est pas un problÃme nouveau et que quelqu'un doit
dÃjÃ avoir trouvÃ une solution.

merci Ã tous.

ciao, Leo

signature.asc
Description: This is a digitally signed message part

[gull] question NAT

Répondre à