Routage avance iptables [Résolu]

tuxout · 14/02/2007, 16h43

Bonjour a tous,
J'ai un petit probleme de routage avance, enfin il me semble qu'il est avance

Je vous presente la topologie de mon reseau

un firewall en entree sur lequel je recupere ma connexion internet qui possede deux interface :
- eth0 connectee au net
- eth1 connectee au local, IP: 192.168.2.1

derriere j'ai un serveur sur lequel j'ai plusieur machines virtualisees (via xen), qui possede lui aussi deux interfaces
- eth0 connectee au FW, IP: 192.168.2.7
- dummy0 interface virtuelle que je connecte a ma DMZ virtuelle, IP:10.0.0.1
il est a note qu'ici, une machine (dom0) fait office de routeur, c'est elle qui possede les deux IP ci dessus

avec xen, mon interface eth0 supporte un bridge xenbr0 qui me permet de creer un reseau virtuel sur eth0, pouvant ainsi donner acces a toutes les machines virtualisees au reseau et au net.

la regle d'iptables ici est simple
iptables -A FORWARD -i xenbr0 -o xenbr0 -j ACCEPT
j'accepte ainsi toutes les transactions

Maintenant j'aimerai faire la meme chose, ou presque avec mon interface dummy0, j'arrive a creer le bridge xenbr1, ce qui permet d'avoir des connexions entre les serveurs virtuels de ma DMZ, mais aucun acces de/vers l'exterieur n'est possible.

comment faire pour router les paquets de la DMZ ?

tuxout · 14/02/2007, 20h33

Voila les derniers resultats de mes test

sur la machine 10.0.0.9

Citation:

ping www.google.fr
IN=xenbr1 OUT=xenbr1 SRC=10.0.0.9 DST=85.68.0.7
IN=dummy0 OUT=eth0 SRC=10.0.0.9 DST=85.68.0.7
IN=xenbr0 OUT=xenbr0 SRC=10.0.0.9 DST=85.68.0.7

avec les lignes ajoutees

Citation:

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
iptables -A FORWARD -i dummy0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o dummy0 -j ACCEPT

on obtient

Citation:

ping www.google.fr
IN=xenbr1 OUT=xenbr1 SRC=10.0.0.9 DST=85.68.0.7
IN= OUT=eth0 SRC=192.168.2.7 DST=85.68.0.7
IN=xenbr0 OUT=xenbr0 SRC=192.168.2.7 DST=85.68.0.7
IN=xenbr0 OUT=xenbr0 SRC=85.68.0.7 DST=192.168.2.7
IN=eth0 OUT= SRC=85.68.0.7 DST=192.168.2.7

Y'a de l'avancee, le probleme c'est que cela s'arrete la ! 10.0.0.9 ne recoit rien :S

tretsois · 19/02/2007, 20h48

Bonsoir Tuxout,
As tu essayé de mettre en place une passerelle sur l'ordinateur déclaré en DMZ et de rediriger tes paquets vers cette dernière.
Que disent les tables de routages des machines?

tuxout · 20/02/2007, 23h30

Merci pour ta réponse Trestois,

La solution est trés proche de ce que tu m'as présenté, en effet le dom0 de ma solution de virtualisation ne route pas. D'ailleur il ne prend pas non plus en compte l'ip_conntrack, alors que le noyau a tout ce qu'il faut pour.
J'ai donc du créer un routeur virtuel afin de palier ce manque.

Je vais communiquer les quelques documentations que j'ai pu trouver sur le sujet et qui pourront peut être aider quelqun qui tombe dessus

Tout d'abord le site howtoforge, qui rassemble beaucoup de documentation autour de la mise en place de solution virtualisée sur base de Debian ou Unbuntu.

Un article sur la mise en place d'une solution virtualisée avec DMZ virtuelle Xen3_yet_another_Virtual_Network_Concept,
merci à l'auteur de cet article qui est franchement sympa

Le site de opensuse rassemble lui aussi quelques articles trés intéressant sur le sujet

14/02/2007, 16h43	#1
tuxout Membre régulier Inscription : avril 2004 Messages : 144 Détails du profil Informations forums : Inscription : avril 2004 Messages : 144 Points : 90 Points : 90	Routage avance iptables Bonjour a tous, J'ai un petit probleme de routage avance, enfin il me semble qu'il est avance Je vous presente la topologie de mon reseau un firewall en entree sur lequel je recupere ma connexion internet qui possede deux interface : - eth0 connectee au net - eth1 connectee au local, IP: 192.168.2.1 derriere j'ai un serveur sur lequel j'ai plusieur machines virtualisees (via xen), qui possede lui aussi deux interfaces - eth0 connectee au FW, IP: 192.168.2.7 - dummy0 interface virtuelle que je connecte a ma DMZ virtuelle, IP:10.0.0.1 il est a note qu'ici, une machine (dom0) fait office de routeur, c'est elle qui possede les deux IP ci dessus avec xen, mon interface eth0 supporte un bridge xenbr0 qui me permet de creer un reseau virtuel sur eth0, pouvant ainsi donner acces a toutes les machines virtualisees au reseau et au net. la regle d'iptables ici est simple iptables -A FORWARD -i xenbr0 -o xenbr0 -j ACCEPT j'accepte ainsi toutes les transactions Maintenant j'aimerai faire la meme chose, ou presque avec mon interface dummy0, j'arrive a creer le bridge xenbr1, ce qui permet d'avoir des connexions entre les serveurs virtuels de ma DMZ, mais aucun acces de/vers l'exterieur n'est possible. comment faire pour router les paquets de la DMZ ? __________________ "Il n'y a ni gagnant ni perdant, juste des joueurs ..." Pensez, si vous le pouvez encore, au tag RESOLU Nb: Note à moi même, ne l'oublis pas sinon tu vas te faire traiter
	00

19/02/2007, 20h48	#3
tretsois Membre actif Inscription : avril 2004 Messages : 181 Détails du profil Informations forums : Inscription : avril 2004 Messages : 181 Points : 176 Points : 176	Bonsoir Tuxout, As tu essayé de mettre en place une passerelle sur l'ordinateur déclaré en DMZ et de rediriger tes paquets vers cette dernière. Que disent les tables de routages des machines? __________________ la vie est belle
	00

20/02/2007, 23h30	#4
tuxout Membre régulier Inscription : avril 2004 Messages : 144 Détails du profil Informations forums : Inscription : avril 2004 Messages : 144 Points : 90 Points : 90	Merci pour ta réponse Trestois, La solution est trés proche de ce que tu m'as présenté, en effet le dom0 de ma solution de virtualisation ne route pas. D'ailleur il ne prend pas non plus en compte l'ip_conntrack, alors que le noyau a tout ce qu'il faut pour. J'ai donc du créer un routeur virtuel afin de palier ce manque. Je vais communiquer les quelques documentations que j'ai pu trouver sur le sujet et qui pourront peut être aider quelqun qui tombe dessus Tout d'abord le site howtoforge, qui rassemble beaucoup de documentation autour de la mise en place de solution virtualisée sur base de Debian ou Unbuntu. Un article sur la mise en place d'une solution virtualisée avec DMZ virtuelle Xen3_yet_another_Virtual_Network_Concept, merci à l'auteur de cet article qui est franchement sympa Le site de opensuse rassemble lui aussi quelques articles trés intéressant sur le sujet __________________ "Il n'y a ni gagnant ni perdant, juste des joueurs ..." Pensez, si vous le pouvez encore, au tag RESOLU Nb: Note à moi même, ne l'oublis pas sinon tu vas te faire traiter
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email