Discussion :

[everest31]

Bonsoir a tous,

Je suis entrain de migré un serveur sous debian vers un FreeBSD et jusqu'ici tout se passait bien sauf que je butes sur une règle au niveau firewall.

J'ai cette règle sous debian avec iptables:
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE

Et la en FreeBSD avec ipfw j'arrive pas a reproduire le même comportement.

Comme si le nat ne fonctionnait pas.

Vous auriez une idée sur la règle équivalente avec ipfw?

Merci d'avance.


PS:
au niveau du sytème j'ai bien activé le
Gateway_enable="YES" dans rc.conf
pour avoir el port forwarding mais la quand je tape la règle:
route add -net 10.10.0.0/24 @ip_de_mon_serveur

la règle est prise en compte mais elle ne fait rien pas de nat

[becket]

tu dois utiliser natd sous bsd pour faire du nat

[everest31]

Bonjour,

j'ai testé natd mais impossible d'arriver au même résultat ou alors j'ai mal compris le fonctionnement de natd.

Au final j'ai réussi en faisant ainsi:

1°) recompiler le noyau avec la prise en charge PF et ALTQ

# Firewall
device pf
device pflog
device pfsync

# altq
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build

Puis ensuite j'ai activé dans le rc.conf:

pf_enable="YES" # Enable PF (load module if required)
pf_rules="/etc/pf.conf" # rules definition file for pf

Et enfin mon fichier de règle pf:

wan_if0 = "ale0"
vpn_net0 = '"10.10.0.0/24"'

nat on $wan_if0 from $vpn_net0 to any -> $wan_if0

pass in quick on $wan_if0 proto udp from any to $wan_if0 port 1194 keep state rtable 0

Au final je suis passé avec pf au lieu d'ipfw, je maitrise mal pf mais vu le reste de mes règles j'ai pu tout migré sur pf.

Par contre je comprends toujours pas pourquoi ipfw + natd je n'ai pas réussi à arriver au même résultat alors que c'est assez trivial comme règle.

je pense que j'ai du me planter sur l'utilisation de natd mais bon vu que j'y arrive par la je vais pas trop chercher je pense.