Discussion :

[stef_13]

Bonjour,

Je cherche à réaliser un Masquerade avec la commande IPTABLES sur plusieurs Interfaces de sortie.

La commande utilisée pour l'interface de sortie eth1 est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A POSTROUTING -p all -s $IP_LAN -o eth1 -j MASQUERADE

Mais pour que le MASQUERADE se fasse sur eth1 et eth2, comment faire ? Faut-il saisir la même ligne de commande avec "-o eth2" et avoir deux lignes identiques dans la table POSTROUTING ?

Merci d'avance pour votre aide.

[Invité]

Salut,

a priori, oui, ça devrait marcher.

Mais comment est organisé le routage des paquets avant d'entrer dans la chaîne POSTROUTING ?

Si ta machine Linux possède une default route, tous les paquets en direction d'Internet utiliseront toujours la même interface. A moins que ta table de routage possède des entrées spécifiques pour certains réseaux/hosts sur Internet pour forcer une partie du traffic à passer par la 2ème interface.

Une autre technique consisterait à créer 2 tables de routages et différencier différents flux avec la cible MARK pour rediriger du traffic...

Steph

[stef_13]

Pour le routage de paquets, tout se fait par IP ROUTE 2 et en effet, pour le routage par flux avec des Mark dans la table MANGLE.

Pour la double entrées dans la table NAT avec la target MASQUERADE, je vais tester ça d'ici peu mais je ne trouve pas la solution très jolie ....

Si quelqu'un à une autre idée ?

[Invité]

Pour la double entrées dans la table NAT avec la target MASQUERADE, je vais tester ça d'ici peu mais je ne trouve pas la solution très jolie ....

Les filles veulent toujours des trucs jolis

Blague à part, je ne vois pas d'autre solution...

A moins d'en savoir plus sur le design de ton réseau.

Pourquoi veux-tu NATter au travers de 2 interfaces ? Quels sont tes contraintes ? Quel est le problème que tu veux résoudre ?

Steph

[stef_13]

Il y a tellement peu de filles dans le réseau et le monde de Linux, autant y apporter une touche féminine en faisant une "jolie config"

Mon besoin vient d'un programme que j'ai conçu pour gérer des fonctionnalités de DualWan sur un système Linux en mode Routeur (FailOver, LoadBalancing Dynamique ou LoadBalncing Statique (routage par type de flux ou par sous-réseaux) ). En gros, en utilisant IP ROUTE 2, le programme gère le routage des paquets et détecte quand un lien est Down pour router comme il faut le trafic.

C'est pour cela que j'ai besoin de NATer les paquets sur les deux interfaces de sortie. Linux a l'air d'accepter les deux règles de MASQUERADE identiques sur deux interfaces différentes, je vais donc tester cette solution, et tant pis pour la touche féminine !

[Invité]

Il y a tellement peu de filles dans le réseau et le monde de Linux, autant y apporter une touche féminine en faisant une "jolie config"

A y réfléchir, je crois que c'est pour cette raison que certains constructeurs proposent de choisir la couleur de leurs équipements

les deux règles de MASQUERADE identiques sur deux interfaces différentes

Les 2 règles ne sont donc pas identiques
Le NAT est une configuration locale aux interfaces.

En gros, en utilisant IP ROUTE 2, le programme gère le routage des paquets et détecte quand un lien est Down pour router comme il faut le trafic.

OK. Juste par curiosité, comment ton programme détecte le "lien Down" ? C'est un test du status de l'interface physique ? Parce qu'il y a aussi les cas où l'interface peut être up mais le next hop ne répond plus aux ARP Requests ou aux ICMP Echoes. Là, c'est parfois gênant.

Je sais d'autre part qu'il traîne encore des problèmes dans iproute2 + NAT. J'avais vu il y a quelques temps deux ou trois bugs qui concernaient un problème de rafraîchissement de caches lors de bascules d'états, du style iproute2 redirige un flux vers une interface mais les sessions NAT ne sont pas flushées correctement.

Steph