Pbm de redirection NAT sur netasq u250 - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 14-09-2010 à 16:17:58
il faut autoriser au niveau du slot de filtrage l'accès http vers l'ip publique de ton interface dialup.
tcp any to firewall_dialup http pass
le nat est fait après le filtrage pour le port redirect.
Marsh Posté le 16-09-2010 à 13:23:34
merci pkc, je n'avais pas cette règle toute bête effectivement!
par contre, j'ai testé et cela ne marche tjs pas. J'ai même mis la règle :
tcp any to any http pass
et là encore, ça ne marche pas. :-(
je savais pas pour l'ordre filtrage puis nat, merci.
toujours rien dans les logs, c'est comme si la connexion "n'arrivait pas".
Marsh Posté le 16-09-2010 à 13:49:32
juste pour être sur, si tu fais une trace réseau sur l'interface physique du côté du dialup (tcpdump -i ethx port 80, ethx étant l'interface physique connectée au modem), tu as bien du http en entrée ?
Marsh Posté le 16-09-2010 à 14:36:29
j'ai fait une capture du port 80 comme tu m'as dit, et ce que les 2 ports, le dialup (ng0) et l'interface connecté au modem (eth1 dans mon cas) et résultat :
- rien sur l'interface eth1
- bcp de chose sur ng0, je vois bien l'IP publique de ma seconde connexion avec laquelle je teste mais j'ai un packet "en rouge" (wireshark) correspondant à la réponse de ma requête :
8 280.628434 IP-public cible IP-public-demandeur TCP http > 35712 [RST] Seq=1 Win=0 Len=0
donc j'ai le statut RESET
je sais pas trop à quoi ça correspond... help ? :-)
je vais essayer une capture sur l'interface vers laquelle je fais la redirection mais j'y crois pas.
merci pour l'aide!
Marsh Posté le 16-09-2010 à 15:14:48
bon alors, en écoutant sur l'interface eth4 qui correspond à celle ou je redirige mon flux HTTP, je vois bien passer ma requête, avec l'IP publique qui va bien... mais rien côté serveur! pas contre, aucun réponse du serveur vers l'IP publique dans l'autre sens.
quand je fais un tail -f par exemple de l'access_log d'apache, je vois bien passer d'autres requêtes (en interne), mais pas celle-là.
mama mia !
par contre, plus de traces sur l'interface ng0... o_o ?
Marsh Posté le 07-01-2012 à 19:41:39
Bon c'est un peu du remontage de vieux post, mais si ça peut servir à d'autres ...
Sur un Netasq U120 (identique au U250, c'est le nombre de ports qui change, et quelques limitations, les fonctionnalités et l'administration sont vraiment les mêmes)
Je souhaitais nater le port 80 vers un serveur web interne.
Une règle de filtrage:
on - tcp - any - Mon_serveur_web - http - passer
Un NAT:
on - redirection - aucun - any - Firewall_www ("machine" correspondant à mon ip externe) - http - Mon_serveur_web
Marsh Posté le 14-09-2010 à 13:42:16
Bonjour,
j'espère trouver une aide à mon problème sur ce forum, car je n'ai rien trouver sur le net qui puisse m'aider : je n'arrive pas à rediriger un flux HTTP vers un serveur interne grâce à la redirection NAT d'un boitier Netasq U250. En plus, l'aide sur ce genre de produit n'est pas facile à trouver.
Je précise que je n'ai pas de contrat de support, donc je dois me débrouiller, mais que par contre, j'ai bien tous les manuels de Netasq comme j'ai un compte client sur leur site. Le U250 est à jour niveau firmware (8.1.0) et j'ai suivi le manuel pour toutes mes règles.
Donc j'ai bien créé des règles de "map" pour tout ce qui est interne vers l'externe, et vice versa. (je "sors" bien, aucun pbm de ce côté) J'ai aussi autorisé dans mon filtrage tout ce qui est interne vers l'externe, mais pas l'inverse (normal). Toutes mes règle de filtrage fonctionnent (je les ai testé une à une) et je ne vais pas vous les remettre toutes ici, sauf celle qui concerne ma question :
On - tcp - any to LAN - port HTTP - Pass
Donc j'ai autorisé le fait qu'à partir de n'importe quelle source (WAN, DMZ, ...) on peut aller en HTTP sur le réseau LAN, cela fonctionne, si je la désactive, l'accès à un serveur web du LAN ne fonctionne plus (PS: j'affinerais la règle plus tard, je veux être sûr que ça marche déjà).
En revanche, ma redirection NAT ne fonctionne pas. J'ai testé les différentes règles suivantes:
1 - On - Dialup - redirection - any (original) - IP-Publique (destination) - http - ServeurHTTP
2 - On - Dialup - redirection - IP-Publique (original) - any (destination) - http - ServeurHTTP
Rien ne fonctionne, et je ne vois même pas de traces de quoi que ce soit dans les logs, j'ai pourtant suivi le manuel comme c'est expliqué! comprends pas...
Ma conf. réseau est la suivante (j'ai cassé la config de base et fait du NAT, plus de sécu je trouve) :
port 2 --> modem/routeur en mode transparent + dialup (ADSL)
(Cela m'a donc créé une nouvelle interface dialup quand je regarde la liste)
port 3 et 4 --> DMZ
port 5 et 6 --> LAN
Si quelqu'un a une idée, je suis preneur!
Merci d'avance.