Je suppose que tu as une addresse publique principale vers laquelle tu a une classe kkonque d'addresse qui y est rout�e.
Donc expl: on a l'addresse publique de ton interface WAN 1.1.1.1 et tu as une classe C 2.2.2.0/24 qui est rout�e par la, ton r�seau interne �tant 192.168.0.0/24 Pour les entr�es 'static' nat, tu dois avoir 2 entr�es dans iptables: une SNAT et une DNAT, respectivement pour le traffic outbound et inbound. expl: iptables -A PREROUTING -d 2.2.2.10 -j DNAT --to 192.168.0.10 iptables -A POSTROUTING -s 192.168.0.10 -j SNAT --to 2.2.2.10 Tu ne sauras pas faire de pool d'addresses pour tes clients comme tu fait sur un router cisco et tu n'en n'a pas besoin: le cisco ne supporte que certains protocoles avec une seule addresse (le masquerading) et a donc besoin d'une pool d'addresse pour ces protocoles sp�ciaux. Linux iptables supporte n'a, a ma connaissance pas de limitation quand au protocole / masquerading, donc une seule addresse suffit, cependant, netfilter ne supporte pas autant de protocoles que cisco IOS. Finalement, si tes addresse ne sont pas rout�es vers toi via un lien point a point ou une route directe, (genre via un lien ethernet et ou ARP joue), tu dois assigner ces addresses publique a la loopback par exemple de ton router pour qu'il puisse r�pondre aux requetes arp de ces addresses. Hope that help, JeF PS: http://www.netfilter.org/documentation/HOWTO//NAT-HOWTO-6.html#ss6.1 On Fri, Oct 18, 2002 at 03:57:01PM +0200, Pascal Bleser wrote: > >Le cisco nous permet d'avoir un ensemble d'adresses publiques sur une > >seule interface. > > Tu veux dire plusieurs IP publiques sur une seule interface ? > = IP aliasing > > Si eth0 est ton interface publique, cr�e des alias IP: > > p.ex.: > > eth0 = 1.2.3.4 > eth0:0 = 1.2.3.5 > eth0:1 = 1.2.3.6 > eth0:2 = 1.2.3.7 > > etc... > > <question aux sp�cialistes> > > Enfin, �a je suis pas tout-�-fait sur mais il faut bien qu'il y ait des > interfaces attach�es � ces IP pour qu'il r�ceptionne les paquets non ? > Sinon il les rejette ? > > </question aux sp�cialistes> > > >Une dizaine de ces adresses sont directement "redirig�es" vers des > >serveurs webs, mails (qui se trouvent dans un r�seau d'adresses > >priv�es). Par exemple, l'adresse publique 193.190.x.y est allou�e au > >serveur web a.b.c.d tandis que l'adresse 193.190.x.z est allou�e au > >serveur web a.b.c.e > > Oui, �a c'est du DNAT (Destination Network Address Translation): l'adresse > IP de destination est r��crite par le routage/firewall (c'est via iptables > en fait) et redirig� sur la machine correspondante (= l' "inverse" du > masquerading = SNAT (Source Network Address Translation)). > > Les machines serveurs sont dans une DMZ ? > > >Le reste du pool d'adresses publiques sert � faire du maquerading pour > >les machines du personnel. > > Masquerading (SNAT)... avec un pool d'adresses ? pas une seule ? > Et la d�cision se fait comment ? > Une adresse par subnet de machines du LAN, du round-robin, ... ? > > >Comment puis-je configurer mon routeur linux pour qu'il fasse > >sensiblement la m�me chose ? > > ========> Pour le DNAT, tu dois ajouter les r�gles suivantes dans iptables: > > PUBLIC_IP_WEB_TRUC=193.190.1.1 # IP publique pour WEB_TRUC > PUBLIC_IP_WEB_BIDULE=193.190.1.4 # IP publique pour WEB_BIDULE > PUBLIC_IP_MAIL=193.190.1.2 # IP publique pour MAIL > > DMZ_IP_WEB_TRUC=10.10.1.1 # IP interne (DMZ/LAN) de WEB_TRUC > DMZ_IP_WEB_BIDULE=10.10.1.2 # IP interne (DMZ/LAN) de WEB_MACHIN > DMZ_IP_WEB_MAIL=10.10.1.3 # IP interne (DMZ/LAN) de MAIL > > http=80 # port HTTP > smtp=25 # port SMTP > > # DNAT WEB_TRUC (PUBLIC_IP_WEB_TRUC -> DMZ_IP_WEB_TRUC) > iptables -t nat --append PREROUTING \ > -p tcp --dst $PUBLIC_IP_WEB_TRUC --dport $http \ > -j DNAT --to-destination $DMZ_IP_WEB_TRUC > > # DNAT WEB_MACHIN (PUBLIC_IP_WEB_MACHIN -> DMZ_IP_WEB_MACHIN) > iptables -t nat --append PREROUTING \ > -p tcp --dst $PUBLIC_IP_WEB_MACHIN --dport $http \ > -j DNAT --to-destination $DMZ_IP_WEB_MACHIN > > # DNAT MAIL (PUBLIC_IP_MAIL -> DMZ_IP_MAIL) > iptables -t nat --append PREROUTING \ > -p tcp --dst $PUBLIC_IP_MAIL --dport $smtp \ > -j DNAT --to-destination $DMZ_IP_MAIL > > ========> Pour le SNAT avec un pool d'adresses... (round robin) > > IF_EXTERNAL=eth0 # interface publique (internet) > NET_LAN=192.168.1.0/24 # addresse du r�seau LAN (workstations) > > # Liste des adresses disponibles pour le masquerading: > MASQ_IP_POOL="193.190.1.10-193.190.1.18" > > # SNAT (Round Robin) pour NET_LAN --> IF_EXTERNAL: > iptables -t nat --append POSTROUTING --source $NET_LAN -o $IF_EXTERNAL \ > -j SNAT --to-source $MASQ_IP_POOL > > > Note que le round robin pour le SNAT, c'est avec 1.2.7a, pas sur que ce > soit disponible avec les versions ant�rieures (je suis sur une SuSE 8.1). > > -- > -o) Pascal Bleser ATOS Origin/Aachen(DE) | > /\\ <[EMAIL PROTECTED]> | > _\_v <[EMAIL PROTECTED]> | > ---------------------------------------------| > Jesus saves,Buddha makes incremental backups : > ---------------------------------------------' > > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/linux@;lists.unixtech.be > IRC: efnet.skynet.be:6667 - #unixtech -- -> Jean-Francois Dive --> [EMAIL PROTECTED] There is no such thing as randomness. Only order of infinite complexity. - _The Holographic Universe_, Michael Talbot _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@;lists.unixtech.be IRC: efnet.skynet.be:6667 - #unixtech
