Bonjour,  
 
Apres avoir consulté les differentes docs et autres How to , j aimerais avoir l avis de personnes plus calées que moi sur ce le sujet.  
J aimerais savoir , si pour la mise en oeuvre d un firewall classique (redh hat 7.3/ip chains / 2 cartes reseaux) l installation de l ip masquerading est indispensable afin que la communication entre les 2 cartes reseaux se fasse ? .  
 
Autres question , comment savoir si l ip masquerading est en place sur une machine . Est ce un process particulier ? existe t il une commande qui me permette d obtenir cette info ?  
 
Voila merci de me lire et merci d avance pour vos reponses.  
Salutations
 
miga  
 

 
pk t'utilise pas iptables avec ta rh ? c'est bien un kernel 2.4 ?
a priori, ip_masquerading est indispensable et est installé si t'as pas recompilé toi même ton noyau
c'est pas un demon, c'est un module et pour le lancé, c'est modprobe

le ip_masquerade est un module qui est charge si tu utilises la regle MASQUERADE.
 
Elle n'est absolument pas indispensable pour un firewall ni pour un proxy.
 
Par contre si tu veux faire du routage nat, tu en auras besoin.

 
si il veut que les PC derrieres puisse être connecté au net, il faut bien, non ?

Si c'est LES pc oui.  Mais si c'est juste un firewall pour UN pc alors non. ( Ca peut etre un seul firewall pour DES pc si il a une ligne avec plusieur ip ou un truc comme ca )

Merci pour vos reponses ,  
 
 
J y vois un peu plus clair .  
 
Mais comment faire pour router mes 2 cartes ethernet sur le firewall. J ai eth0 ip 1.1.1.1 (pour l exemple bien sur)  et eth1 2.2.2.2 en interne.  Est ce que j ai une regle nat a ecrire qquepart (ds mon iptable) ?  qqchose a faire au niveau de la table arp ? .  
 
Comment faire pr lister les modules en activité ? notamment pour savoir si l ipmasquerading  est en fonction .  
 
Merci

localhost a écrit a écrit :

 
je réitère mon  

GMIGA a écrit a écrit : Merci pour vos reponses ,       J y vois un peu plus clair .     Mais comment faire pour router mes 2 cartes ethernet sur le firewall. J ai eth0 ip 1.1.1.1 (pour l exemple bien sur)  et eth1 2.2.2.2 en interne.  Est ce que j ai une regle nat a ecrire qquepart (ds mon iptable) ?  qqchose a faire au niveau de la table arp ? .     Comment faire pr lister les modules en activité ? notamment pour savoir si l ipmasquerading  est en fonction .     Merci

 
faut que tu fasses une route et tu tappe :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
si c'est eth0 qui détient ton interface net (ou ton interface à masquer)

T'es pas obliqe de faire du nat pour aller sur le net. Tu peux aussi utiliser un proxy !

 
à priori il utilises IPchains

 
ah oui zut, j'avais oublier ça
d'ailleurs j'ai deja demandé au monsieurs pk, ce serait bien que le monsieur reponde !      
 
PS : pk utiliserait-il un proxy alors qu'il suffit de rajouter 2 lignes pour natter sa connexion  

djoh a écrit a écrit :     ah oui zut, j'avais oublier ça d'ailleurs j'ai deja demandé au monsieurs pk, ce serait bien que le monsieur reponde !         PS : pk utiliserait-il un proxy alors qu'il suffit de rajouter 2 lignes pour natter sa connexion

 
Il me semble que IPchains est installé par défaut sur les Red Hat 7.x même avec un kernel 2.4.x, il veut peut-être pas s'embêter à installer iptables...

 
ah ...
je connais pas la redhat
bizarre qui mette ipchain et pas iptables sur un 2.4  

djoh a écrit a écrit :     ah ... je connais pas la redhat bizarre qui mette ipchain et pas iptables sur un 2.4

 
je suis bien d'accord avec toi  

Re,  
 
Pour clarifier les choses :  
 
J utilise iptables , je voulais au depart utiliser ipchains car le firewall dont j ai herité est en ipchains.. . Iptables semble plus recent , de plus l association av netfitler semble interessante (a tester en environnement de production).  
 
La chose qui m etonne j ai inspecté les rules en place sur le firewall et je n ai aucune trace de masquerade . J ai bien ds mon script une fonction NAT . La fonction NAT serait donc suffisante ?.
 
Ps : (Firewall compose de  2 cartes reseaux , 1 carte coté net et   l autre coté interne : comment les faire communiquer?)
 
Merci de me lire.  
 
gmiga

modprobe ipt_MASQUERADE
modprobe iptable_nat
 
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Merci pour votre aide.  
 
Neanmoins j insiste mes rules actuelles sur mon firewall a 2 cartes ethernet ne font pas appel a MASQUERADE juste a NAT .  
Je sais il y a une nuance mais qd meme .  
 
En tout cas merci a vous . Si qqun d entre vous a un firewall a 2 cartes ethernet et qui fait un NAT sans utiliser de masquerading ca m interesse .  
 
Merci de m avoir consacré un peu de votre temps.  
 
Salutations
gmiga  

GMIGA a écrit a écrit : Merci pour votre aide.     Neanmoins j insiste mes rules actuelles sur mon firewall a 2 cartes ethernet ne font pas appel a MASQUERADE juste a NAT .   Je sais il y a une nuance mais qd meme .     En tout cas merci a vous . Si qqun d entre vous a un firewall a 2 cartes ethernet et qui fait un NAT sans utiliser de masquerading ca m interesse .     Merci de m avoir consacré un peu de votre temps.     Salutations gmiga

 
mets nous tes lignes : si ça se trouve, il fait du nat source. La différence, c'est que pour le nat source tu dois avoir des ip fixe (pour le net notamment), sinon, je vois pas comment ça marcherait. Mais le masquage marche tres bien aussi
 
PS : je comprends plus là, tu as un nat en état de fonctionner là ?

Je vais peut-être écrire une bêtise mais allons-y.
 
 
Le masquering commme sont nom l'indique permet de masquer une ou des ip. Ainsi la machine faisant du masquering émettra en son nom (ip) les paquets en provenance des machines lui demandant de faire du nat (si celle-ci y sont autorisé cf config de ladite machine). C'est du "one to many" NAT (comme dans certains firewall et routeur commerciaux ) contrairement à un proxy qui fait du one to one NAT (comme les proxy)
 
La plus grosse utilité du masquering c'est de pouvoir accéder au net avec des machines ne possédant pas d'adresse ip public.
Ainsi  si l'on a une machine faisant office de passerelle entre notre réseaux privée et le net. Si elle fait du masquering elle permet aux machines de notre réseaux privée d'accéder au net leur ip privée étant "masqué" par l'ip public de la passerelle.
 
Si l'on a qu'une seule machine le masquering est donc inutile.
 
Attention bien configurer le masquering pour que seul les machines du réseaux local puisse y avoir droit.
 
 
Bon c'est rapidement écrit. J'espère avoir été clair.

Re,  
 
Oui j ai un firewall en production. C est un red hat 6.1 (zoot) , le soucis c est qu a cet epoque la y avait un bleme avec ipchain et cie . Donc je me retrouve av un firewall smoothwall ... mais bon les rules restent sensiblement identiques .  
 
Par contre oui ip fixe .  
 
Voila ,) enfin je devrais m y retrouver , par contre je pensais que sous Red hat 7.3 iptables etait la par defaut . Enfin bon je vais continuer mes investigations .  
 
Thks