Bonjour,
 
J'ai 2 liens (adsl1 et adsl2) derrière un FW Netasq. Ma route par défaut est sur adsl1 mais dans  la partie filtrage, je redirige certains flux en sortie sur adsl2; Cela fonctionne sauf pour la navigation web qui continue à sortir sur ma route par défaut. J'ai l'impression que ma règle de filtrage n'est pas prise en compte et qu'elle est bypassé par le proxy http intégré. Comment faire sortir mon trafic http sur adsl2 sans modifier ma route par défaut ?
 
Merci d'avance
 

je connait pas l'equipement alors je suis aller faire un tour sur le net:
http://www.gtrgrenoble.fr/projets/ [...] trage.html
de ce que g compris si on supose que toi tu as comme sources/destinations: ADSL1-ADSL2-IN (t'as pas de dmz?!)
alors pour http tu aurais 2 regle (ds cette fenetre "edition des regles de filtrage a savoir:
statu-prot-sourc-desti  -servi -action:
ON   - tcp-  IN   -ADSL2-http -passer
 
une route statique sera toujours theoriquement prioritaire sur une route par defaut.
 
mais peu etre que quelque precisions seraient bien:
quel matos exactement?
quel archi (un ptit dessins)?
où est qui?

Un schéma vraiment simplifié :
ADSL1---                    
            |----FW---LAN              
ADSL2---
 
(en vrai il y a plusieurs lan mais ça ne change pas le problème)
FW : netasq U250 avec OS 8.1.1
 
La régle de filtrage que tu donnes fonctionne si le proxy http du Netasq est désactivé. Lorsqu'il est activé, cette règle est outrepassée et je sors par adsl1.

Je confirme, c’est bien le proxy qui bypass le filtrage.
 
De mémoire il faut binder le proxy sur l’adresse ip de ton IN, car sinon il travaille en loopback c’est la raison pour laquelle bypass il y a (trames avec ipsrc=127.0.0.1 ou autre réjouissance du genre). Ce qui ne pose pas trop de prb en temps normal, mais bcp plus avec du policy routing.
 
Pour ce faire, dans le fichier config du proxy http (/usr/Firewall/ConfigFiles/HTTPProxy/00) rajoute l'adresse ip de ton interface IN dans le champ BindAddr=
Redémarrer le proxy et voir si les règles sont maintenant matchées.

Merci pour ton aide. Par contre avant de tout casser, tu me confirme que je mets l'adresse IP du netasq coté Lan ? ça m'aurait paru plus logique de mettre l'ip de la patte adsl2.

Il s’agit de la modification du champ IP « source » des trames qui passent par le proxy et non « destination ». Mets l’adresse de l’interface IN ou BRIDGE du fw pour voir déjà si ça fonctionne en l’état, tu devrais constater la modification explicitement dans le Monitor. Il sera peut-être alors possible de peaufiner par la suite.
 
Par contre avant il est fortement recommandé de faire une sauvegarde complète (cad en mode fichier) + système (cad sur la partition de backup) afin d’avoir doublement l’esprit tranquille. Active également l’accès SSH histoire de pouvoir reprendre la main facilement.

utilise le bindaddr pour fixer l'ip source des paquets émis par le proxy.
cette ip doit etre un ip appartenant au netasq.
Les paquets émis par le proxy doivent ensuite matcher une règle de filtrage utilisant du routage (PBR) pour que ca fonctionne

consulte la kb netasq dispo depuis ton espace client