j'ai pas compris l'interet du nat source.
 
moi j'ai fait la regle de base, pour router les donner, entre la passerelle et le LAN :
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
 
mais je vois pas la differnce entre le masquerading et le source nat normal ?
du style :
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
dans quelle cas utilise-t-on ce genre de regles ?
 
 
Merci pour les infos  

  quoi, y-a personne qui voit de quoi je parle ...    
 
 
à moins que je me sois mal exprimer ?

cette règle n'a pas pour but que de router les données.
elle remplace ton ip interne par ton ip externe fournie par ton isp.
 
le SNAT te permettrait de remplacer ton ip interne par une ip quelonque que tu choisirais (spoofing...).
 
ça te t'ouvre une foule de possibilités sur un réseau un plus peu complexe.

 
 
je serais ravi si tu pouvais me donner un exemple concret    
parce que là, je vois pas ...

je te hack mais quand tu regardes les adresses IP, ce sont celles d'un autre et non celles de mon ordi.

 
 
ben je m'étais dit que c'était un truc comme ça , au début, mais je comprends pas comment les paquets de réponses (ceux qui vienne de chez moi vers ton PC, pour suivre ton exemple) font pour retrouver leur chemin, dans ce cas ?

dark, s'il te plait ?  

je ne connais pas les détails de l'IP sppofing
 
alors fais des recherches, google est ton ami

 
ben j'ai déjà pas franchement compris le howto de rusty ...
le chapitre 10 est un vrai charabia pour moi
et autant je capte de D-NAT, et le masquerading
mais le S-NAT, pas compris  

et google n'est pas mon amis, sur ce coup là
il me renvoie vers plusieurs site qui, soit affiche le howto que j'ai déjà lu
soit ils disent ce que ça fait (changement, dans le paquet, de l'ip source, mais ça j'avais bien compris), et pas comment ça peut fonctionner, et quelles en sont les applications

Alors c'est parti, on s'assoit et on écoute :
 
avec iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE, tous les paquets qui sortent pas eth1 vont avoir leur adresse SOURCE remplacée par celle de eth1. Ensuite, le paquet modifié ira se ballader sur le rezo. Lorsque le paquet retour se présente devant eth1, le nat se met en branle et consulte sa table de nat pour savoir si le paquet est destiné à la machine en local ou à une autre machine du rezo local par exemple, et ensuite, le paquet retour continue son chemin vers la bonne destination.
 
Avec iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4, tous paquets sortant par eth0 verra son adresse SOURCE remplacée par 1.2.3.4. Alors la, deux cas se présentent :

• si 1.2.3.4 est l'adresse publique associé à eth0, alors les paquets retour pourront revenir,
• par contre, si 1.2.3.4 n'est pas l'ip publique, alors les paquets retour seront renvoyés à 1.2.3.4 qui n'en voudra pas car elle se sera pas quoi en faire vu que ce n'est pas elle qui a établié la connexion. Mais de cette manière, on peut faire tomber un site. Exemple : je lance des rafales énormes de ping depuis plusieurs machines que je controle, et je modifie l'adresse source comme étant celle de www.microsoft.com. Que va-t-til se passer ? Ben le site que je pingue va recevoir toutes les requetes et va renvoyer les réponses à www.microsoft.com, et ils croiront que c'est microsoft qui est à l'origine du flood.

Ok, c'est shématisé, mais tu vois le principe ?

 
 
et bien MERCI !
ça m'éclaire beaucoup, même si j'aurais pu m'en douter un peu
en fait , ce qui me gène, pour que je comprenne tout-à-fait l'utilité du S-NAT (autre que le masquerading) c'est que je ne comprends pas à quoi ça sert : une application/utilité concrete.
En effet, j'imagine que cette fonction n'a pas été conçu pour hacker un PC, ou faire un ping flood ?!

C'es reparti, on reprends les mêmes places et on ré-écoute
 
Imagine que tu es 3 adresses IP publiques (A B C), un firewall (ip A), un serveur de mail, un serveur web. Pour des raisons de sécurité, le seul ordi a être relié au net et à avoir une IP publique est le firewall. Les serveurs web et mail ont une ip privée et son relié au firewall, que ce soit directement ou non, on s'en fout, il faut juste qu'ils puissent causé au firewall. Ensuite, dans tu configures le dns pour dire au gens que s'ils veulent venir sur ton site web, l'ip est B et que pour envoyer des mail, l'ip est C. Ca te permet de dire au gens, mais ça fait pas venir les paquets sur ton serveur web pour autant. Vient alors le SNAT. Tous paques voulant l'ip B arrive au firewall, qui a les regles pour l'envoyer au serveur web. Et quand le serveur web répond, son ip privée est transformée en ip B, comme ça, la communication peut se dérouler sans prob. DE meme pour le serveur de mail. Du coup, tu offres 3 services avec une seule machine reliée directement au net et 3 ip publiques.
 
La aussi j'ai fait l'impasse sur les prob que ça engendre, mais tu vois le principe maintenant ?

the_fireball a écrit a écrit : C'es reparti, on reprends les mêmes places et on ré-écoute   Imagine que tu es 3 adresses IP publiques (A B C), un firewall (ip A), un serveur de mail, un serveur web. Pour des raisons de sécurité, le seul ordi a être relié au net et à avoir une IP publique est le firewall. Les serveurs web et mail ont une ip privée et son relié au firewall, que ce soit directement ou non, on s'en fout, il faut juste qu'ils puissent causé au firewall. Ensuite, dans tu configures le dns pour dire au gens que s'ils veulent venir sur ton site web, l'ip est B et que pour envoyer des mail, l'ip est C. Ca te permet de dire au gens, mais ça fait pas venir les paquets sur ton serveur web pour autant. Vient alors le SNAT. Tous paques voulant l'ip B arrive au firewall, qui a les regles pour l'envoyer au serveur web. Et quand le serveur web répond, son ip privée est transformée en ip B, comme ça, la communication peut se dérouler sans prob. DE meme pour le serveur de mail. Du coup, tu offres 3 services avec une seule machine reliée directement au net et 3 ip publiques.   La aussi j'ai fait l'impasse sur les prob que ça engendre, mais tu vois le principe maintenant ?

 
 
je te remercie beaucoup pour ta patience    
et je sens que ça va pas durer avec toutes mes questions    
 
j'ai encore deux trucs qui me gène avec ce que tu me dis :
1- J'ai l'impression que tu me parles de D-NAT, mais c'est sans doute moi qui m'embrouille ?
2- Tu dis 3 ip public, mais quand t'es connecté au net, avec une seule adresse ip, tu peux pas en avoir 3    
 
Pour reprendre ton exemple, je pensais que la solution consistais à faire du port forwarding (chaque serveur obtient ainsi son ip privée, retrouvée par la passerelle sur la base du port indiquer en entete de paquet), ce qui est du D-NAT. Je me mélange qq'part ?

[jfdsdjhfuetppo]--Message édité par djoh--[/jfdsdjhfuetppo]

En fait, quand je dis 3 ip publiques, je parle du cas d'une entreprise qui possède une plage d'ip publique en contenant 3. Bien evidemment qu'on ne peut pas avoir 3 ip publiques avec une connexion.
 
Effectivement, on pourrait aussi faire du portforwarding, et ça aurait marché. Mais bon, imagine que plus tard, cette entreprise veuille mettre dans une dmz ses serveurs web et mail. Dans le cas présent, elle a déjà les ip, les règles du firewall sont déjà écrites, elle a juste a créer une dmz, à mettre la bonne ip à ses machines et le tour est joué ! Et aussi, toujours dans mon exemple, le firewall peut etre rendu invisible au net. Je m'explique : les gens utilisent l'ip B pour aller sur le serveur web de l'entreprise. Ils ne savent pas que c'est en fait une ip virtuelle, qu'un firewall va redirigé vers un serveur web. Pour eux, ils naviguent sur le site, c l'essentiel. Si tu écrit bien les règle de ton firewall, tu peux faire croire à la majorité du net que tu as deux machines connectées au net (mail et web) alors que tu n'a en fait, qu'un firewall, qui lui, est injoignable du net (si bien configuré).
 
C'est mieux comme ça ?

je te remercie encore une fois pour ta patience    
 
hmmmm, je vois a peu près, maintenant, merci, c'est plus clair    
 
mais vu que je ne m'y connais pas tellement, y-a des informations qui me manque.
 
par exemple, je viens de faire une recherche sous google, et je n'ai pas tres bien compris ce qu'est un DMZ, mais bon, pas la peine de t'embeter à me l'expliquer, j'apprendrais ça, quand j'en aurais besoin    
 
ce que j'en retiens, c'est que le masquerading est suffisant dans la plupart des cas (pour des utilisations non spécifiques), et que ça me suffit pour l'utilisation que j'en ferais chez moi
 
merci merci  

une DMZ (Demilitarized Zone ou zone délimilitarisée en french), c'est en fait un sous-rezo dans lequel on mets en général les serveurs à vocation publique (mail, web). Le scéhma classique est un firewall à 3 pattes : une relié au net, une à la dmz et une au rezo local. Tous les serveurs placés en DMZ sont considérés comme "perdu", cad qu'on ne peut pas leur faire confiance, car ils doivent accepter des connexions entrantes et qu'ils peuvent etre plus "facilement" hackés que le machines du rezo local, qui elles, n'acceptent pas de connexions entrantes en provenance du net (où regnent les méchant hackers )

A l'origine le SNAT c'est fait pour tout ce qui est load-balancing, cad une machine qui fait gateway et qui redistribue les requètes a plusieurs serveurs qui répondent a sa place, mais une seule machine est visible de l'exterieur...

c vrai, j'avais oublier le load balancing

Sinon je renvoie a la RFC de mon ex-collègue Kield Egevang, la 1631 et 3022
 
(le pire étant que sur un modem/routeur que j'ai récupéré, le NAT marche pas )

le S-NAT version hacker est essentiellement destiné au DoS par stauration d'envoi de requête. dans ce genre de cas tu t'en fous que l'on te réponde au bon endroit, tu veux juste le staturer car il doit traiter la demande

Dans ce cas la on préfère généralement forger directement les paquets au lieu de mettre en place un S-NAT.