[Debian/Routage] Problème avec la translation de port

Problème avec la translation de port [Debian/Routage] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-06-2007 à 12:27:02    

Bonjour à tous !
 
     Merci de lire mon message ! J'ai un problème; je dispose d'une passerelle Debian et je voudrais savoir si il y a une méthode pour que les ports utilisés par les clients soient translatés automatiquement sur la passerelle (de telle sorte que je ne doive pas définir chaque port (smtp, pop, msn etc...) dans iptables) ?
 
Merci d'avance !
RedVivi

Reply

Marsh Posté le 09-06-2007 à 12:27:02   

Reply

Marsh Posté le 09-06-2007 à 18:45:53    

dans quel sens ? local-privé -> public externe ou dans l'autre sens ?
Si c'est le premier, il suffit de ne pas spécifier de port [:spamafote]
Par exemple :
iptables -t nat -A POSTROUTING -o interfacedesortie -j MASQUERADE

Reply

Marsh Posté le 10-06-2007 à 12:08:33    

C'est dans le sens exterieur -> local

Reply

Marsh Posté le 10-06-2007 à 16:07:39    

Up !

Reply

Marsh Posté le 10-06-2007 à 18:00:50    

Si c'est dans ce sens la, alors il faut le faire à la main.
 
EDIT: sauf si t'as qu'une machine derrière, mais alors je ne vois pas l'interet d'avoir une passerelle :D


Message édité par e_esprit le 10-06-2007 à 18:01:33

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 10-06-2007 à 19:12:55    

il n'y a aucun moyen de permettre un "routage dynamique" des ports ?

Reply

Marsh Posté le 10-06-2007 à 19:20:21    

ben si ton client est sur ton LAN, tu auras une translation dans le sens LAN -> internet fait pas la règle précédente. La translation pour les paquets inverses sera automatique.
Par contre si tu as plusieurs serveurs SMTP par exemple dans ton LAN et qu'une seule adresse publique, tu ne pourras faire qu'une seule redirection @publique/port 25 vers @privée/port 25. Donc qu'un seul équipement pourra recevoir le port 25 translaté. Sinon il faut soit d'autre adresse IP publique, soit utilisé des ports non standardisé. Et pour le SMTP c'est pas glop...

Reply

Marsh Posté le 10-06-2007 à 19:22:41    

Mais comment celà fonctionne - til pour MSN par exemple, qui utilise les mêmes ports sur chaque PC ? Comment se fait t il que tout le monde puisse se connecter dans ce cas ?

Reply

Marsh Posté le 10-06-2007 à 20:07:08    

lis quelques docs sur les réseaux TCP IP et tu auras la réponse.

 

Pour faire simple, dans une session TCP, que ce soit msn web ou autre, tu as deux ports.
- 1 source, la plupart du temps supérieur a 1024, et aléatoire.
- 1 destination, fixe, standardisé.

 

Sans NAT:
Par exemple pour le web, le port destination est le 80. Donc ton client va construire ses paquets TCP avec port source quelconque et un port destination égal à 80. Le routeur, quand il va répondre, il va répondre avec le port source égal à 80 et à destination du port source du paquet provenant du client.

 

Avec NAT
Si on insère un NAT, le routeur va changer l'adresse IP locale source en une adresse IP publique, et va se rappeler que tel port source provenant d'un client est associée à tel adresse locale. Comme ca lorsqu'il va recevoir les réponses du serveur WEB, il pourra nater dans le sens inverse.

 

Dans certains cas NAT change le port source, pour le trafic émis par le client. Cela évite le probleme ou deux clients utilisent maladroitement le même port source.

 


LIS un minimun de doc avant de t'amuser avec des firewalls. C'est expliqué dans tous les sens sur internet (par exemple http://christian.caleca.free.fr/)
Prends un crayon papier et une feuille blanche et fais un schéma pour visualiser mieux le chemin d'un paquet TCP...


Message édité par l0ky le 10-06-2007 à 20:11:54
Reply

Marsh Posté le 10-06-2007 à 20:15:56    

Merci de vos réponses, je tâcherais cependant de travailler sur les firewalls au lieu de m'y amuser :-) !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed