Bonjour à tous, je voudrais vous soumettre une reflexion que j'entretien seul, et je peine un peu à voir si ce que je veux faire est possible.
 
J'espère que l'énnoncé de mon problème sera clair    
 
 
J'ai un accès Internet SDSL par routeur SDSL Oléane. J'ai aussi un accès sur des sites distants par ligne privé numéris.
 
Schéma      

 
Pour que mes postes clients du LAN puissent surfer, pas de probleme le proxy SQUID + iptables fais son boulot sur 192.168.1.1. Pas besoin d'indiquer de passerelle dans la configuration  IP du client.
Si le client souhaite utiliser sa messagerie internet par POP/SMTP, il faut alors lui indiquer comme passerelle le routeur oleane 192.168.1.2.
Mais voila si ce client doit aussi se servir de son logiciel de prise en main à distance qui utilise le routeur cisco, il faut lui mettre en passerelle 192.168.1.3
 
Et comme un client ne peut se servir de 2 passerelles en meme temps ça pose problème.
 
J'en vient à ce que je veux faire, mais je ne matrise pas iptables suffisament.
 
Est-il possible de ne mettre en passerelle que l'adresse du serveur proxy qui utilise SQUID, et de rajouter des regles iptables de redirection d'adresses.
 
Exemple : Si le client doit aller sur le reseau distant 192.168.3.0, lui indiquer de passer par la passerelle 192.168.1.3. Faire du routage quoi
 
Pour résumer : 2 passerelles en 1  
 
 
Suis je un doux reveur à coté de la plaque ? ou est ce possible ? que mettre en oeuvre pour le rendre réalisable?  
 
En vous remerciant.
 ++    

en fait je verrais un routeur qui ferait la jonction entre ton LAN, ton proxy et le cisco. Ce routeur ferait du policy routing en fonction des services.

Salut, merci de ta réponse.
 
Mais malheureusement cela réclame du matériel réseau supplémentaire. Amoins que cela soit possible avec iproute2 ?    
 
J'aimerais schematiquement, arriver à ça :
 

ça doit être faisable avec iptables. Tu fais fonctionner la machine qui héberge le proxy avec des règles iptables pour faire rediriger le traffic d'un côté ou de l'autre et tu l'indique comme passerelle par défaut pour test machines.
 
Par contre, il faut que tu change les adresses privées des routeurs cisco et oleane :
 

Il faut donc 3 cartes réseau sur le proxy.
 
Et avec iptables, y a plus bien grand chose à faire. Si tu fais la prise en main depuis le site distant, alors tu as juste à associer un port de ton proxy à une machine bien définie sur le réseau et à faire de la redirection port/adresse IP. Si la prise en main est faite depuis ton LAN,il n'y a pas de problème.

Salut Dumbledore,
 
J'ai pensé à cette solution, mais pas encore testé. Cause trop souvent en prod .
J'aimerais être sur que iptables peut le faire, et comme je n'ai q'une connaissance de base sur iptables ...    
Je ne fais pas de prise en main depuis le site distant, uniquement prise en main du lan vers le site distant.
 
En tout cas je trouve ton idée pertinante
 
Si quelqun aurait d'autres idées, je reste récepetif    
En ce moemnt je lis ça http://christian.caleca.free.fr/de [...] ons___.htm
 
 
merci.

pourquoi ne veux tu pas que tout le trafic à destinationde "SITES DISTANTS" passe par 192.168.3.1 ?

en fait ce qui est bête, c'est d'avoir 2 routeurs (ou 2 routeurs qui ne communiquement pas du tout). C'est au routeur de prendre ce genre de décision, par à de l'applicatif.

 
si si je veux cela !

 
Oui mais c'est un routeur numeris et un routeur sdsl, et il faut faire avec

bah alors sur ton machin avec squid, tu mets 2 routes : une passerelle par défaut, et la route vers le subnet du numéris.