Discussion :

[tuxout]

Bonjour a tous,
J'ai un petit probleme de routage avance, enfin il me semble qu'il est avance
Je vous presente la topologie de mon reseau

un firewall en entree sur lequel je recupere ma connexion internet qui possede deux interface :
- eth0 connectee au net
- eth1 connectee au local, IP: 192.168.2.1

derriere j'ai un serveur sur lequel j'ai plusieur machines virtualisees (via xen), qui possede lui aussi deux interfaces
- eth0 connectee au FW, IP: 192.168.2.7
- dummy0 interface virtuelle que je connecte a ma DMZ virtuelle, IP:10.0.0.1
il est a note qu'ici, une machine (dom0) fait office de routeur, c'est elle qui possede les deux IP ci dessus

avec xen, mon interface eth0 supporte un bridge xenbr0 qui me permet de creer un reseau virtuel sur eth0, pouvant ainsi donner acces a toutes les machines virtualisees au reseau et au net.

la regle d'iptables ici est simple
iptables -A FORWARD -i xenbr0 -o xenbr0 -j ACCEPT
j'accepte ainsi toutes les transactions


Maintenant j'aimerai faire la meme chose, ou presque avec mon interface dummy0, j'arrive a creer le bridge xenbr1, ce qui permet d'avoir des connexions entre les serveurs virtuels de ma DMZ, mais aucun acces de/vers l'exterieur n'est possible.

comment faire pour router les paquets de la DMZ ?

[tuxout]

Voila les derniers resultats de mes test

sur la machine 10.0.0.9

ping www.google.fr
IN=xenbr1 OUT=xenbr1 SRC=10.0.0.9 DST=85.68.0.7
IN=dummy0 OUT=eth0 SRC=10.0.0.9 DST=85.68.0.7
IN=xenbr0 OUT=xenbr0 SRC=10.0.0.9 DST=85.68.0.7

avec les lignes ajoutees

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
iptables -A FORWARD -i dummy0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o dummy0 -j ACCEPT

on obtient

ping www.google.fr
IN=xenbr1 OUT=xenbr1 SRC=10.0.0.9 DST=85.68.0.7
IN= OUT=eth0 SRC=192.168.2.7 DST=85.68.0.7
IN=xenbr0 OUT=xenbr0 SRC=192.168.2.7 DST=85.68.0.7
IN=xenbr0 OUT=xenbr0 SRC=85.68.0.7 DST=192.168.2.7
IN=eth0 OUT= SRC=85.68.0.7 DST=192.168.2.7

Y'a de l'avancee, le probleme c'est que cela s'arrete la ! 10.0.0.9 ne recoit rien :S

[tretsois]

Bonsoir Tuxout,
As tu essayé de mettre en place une passerelle sur l'ordinateur déclaré en DMZ et de rediriger tes paquets vers cette dernière.
Que disent les tables de routages des machines?

[tuxout]

Merci pour ta réponse Trestois,

La solution est trés proche de ce que tu m'as présenté, en effet le dom0 de ma solution de virtualisation ne route pas. D'ailleur il ne prend pas non plus en compte l'ip_conntrack, alors que le noyau a tout ce qu'il faut pour.
J'ai donc du créer un routeur virtuel afin de palier ce manque.

Je vais communiquer les quelques documentations que j'ai pu trouver sur le sujet et qui pourront peut être aider quelqun qui tombe dessus

Tout d'abord le site howtoforge, qui rassemble beaucoup de documentation autour de la mise en place de solution virtualisée sur base de Debian ou Unbuntu.

Un article sur la mise en place d'une solution virtualisée avec DMZ virtuelle Xen3_yet_another_Virtual_Network_Concept,
merci à l'auteur de cet article qui est franchement sympa

Le site de opensuse rassemble lui aussi quelques articles trés intéressant sur le sujet