Tu veux dire plusieurs IP publiques sur une seule interface ?Le cisco nous permet d'avoir un ensemble d'adresses publiques sur une seule interface.
= IP aliasing
Si eth0 est ton interface publique, cr�e des alias IP:
p.ex.:
eth0 = 1.2.3.4
eth0:0 = 1.2.3.5
eth0:1 = 1.2.3.6
eth0:2 = 1.2.3.7
etc...
<question aux sp�cialistes>
Enfin, �a je suis pas tout-�-fait sur mais il faut bien qu'il y ait des interfaces attach�es � ces IP pour qu'il r�ceptionne les paquets non ? Sinon il les rejette ?
</question aux sp�cialistes>
Oui, �a c'est du DNAT (Destination Network Address Translation): l'adresse IP de destination est r��crite par le routage/firewall (c'est via iptables en fait) et redirig� sur la machine correspondante (= l' "inverse" du masquerading = SNAT (Source Network Address Translation)).Une dizaine de ces adresses sont directement "redirig�es" vers des serveurs webs, mails (qui se trouvent dans un r�seau d'adresses priv�es). Par exemple, l'adresse publique 193.190.x.y est allou�e au serveur web a.b.c.d tandis que l'adresse 193.190.x.z est allou�e au serveur web a.b.c.e
Les machines serveurs sont dans une DMZ ?
Le reste du pool d'adresses publiques sert � faire du maquerading pour les machines du personnel.
Masquerading (SNAT)... avec un pool d'adresses ? pas une seule ? Et la d�cision se fait comment ? Une adresse par subnet de machines du LAN, du round-robin, ... ?
========> Pour le DNAT, tu dois ajouter les r�gles suivantes dans iptables:Comment puis-je configurer mon routeur linux pour qu'il fasse sensiblement la m�me chose ?
PUBLIC_IP_WEB_TRUC=193.190.1.1 # IP publique pour WEB_TRUC
PUBLIC_IP_WEB_BIDULE=193.190.1.4 # IP publique pour WEB_BIDULE
PUBLIC_IP_MAIL=193.190.1.2 # IP publique pour MAIL
DMZ_IP_WEB_TRUC=10.10.1.1 # IP interne (DMZ/LAN) de WEB_TRUC
DMZ_IP_WEB_BIDULE=10.10.1.2 # IP interne (DMZ/LAN) de WEB_MACHIN
DMZ_IP_WEB_MAIL=10.10.1.3 # IP interne (DMZ/LAN) de MAIL
http=80 # port HTTP
smtp=25 # port SMTP
# DNAT WEB_TRUC (PUBLIC_IP_WEB_TRUC -> DMZ_IP_WEB_TRUC)
iptables -t nat --append PREROUTING \
-p tcp --dst $PUBLIC_IP_WEB_TRUC --dport $http \
-j DNAT --to-destination $DMZ_IP_WEB_TRUC
# DNAT WEB_MACHIN (PUBLIC_IP_WEB_MACHIN -> DMZ_IP_WEB_MACHIN)
iptables -t nat --append PREROUTING \
-p tcp --dst $PUBLIC_IP_WEB_MACHIN --dport $http \
-j DNAT --to-destination $DMZ_IP_WEB_MACHIN
# DNAT MAIL (PUBLIC_IP_MAIL -> DMZ_IP_MAIL)
iptables -t nat --append PREROUTING \
-p tcp --dst $PUBLIC_IP_MAIL --dport $smtp \
-j DNAT --to-destination $DMZ_IP_MAIL
========> Pour le SNAT avec un pool d'adresses... (round robin)
IF_EXTERNAL=eth0 # interface publique (internet)
NET_LAN=192.168.1.0/24 # addresse du r�seau LAN (workstations)
# Liste des adresses disponibles pour le masquerading:
MASQ_IP_POOL="193.190.1.10-193.190.1.18"
# SNAT (Round Robin) pour NET_LAN --> IF_EXTERNAL:
iptables -t nat --append POSTROUTING --source $NET_LAN -o $IF_EXTERNAL \
-j SNAT --to-source $MASQ_IP_POOL
Note que le round robin pour le SNAT, c'est avec 1.2.7a, pas sur que ce soit disponible avec les versions ant�rieures (je suis sur une SuSE 8.1).
--
-o) Pascal Bleser ATOS Origin/Aachen(DE) |
/\\ <[EMAIL PROTECTED]> |
_\_v <[EMAIL PROTECTED]> |
---------------------------------------------|
Jesus saves,Buddha makes incremental backups :
---------------------------------------------'
_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/linux@;lists.unixtech.be
IRC: efnet.skynet.be:6667 - #unixtech
