Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2633 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  iptables - snat - conntrack : possible ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

iptables - snat - conntrack : possible ?

n°1305701
gug42
Posté le 27-02-2012 à 17:45:57  profilanswer
 

Bonjour à tous,
 
Sauriez vous s'il est possible d'activer du contrack avec SNAT sur iptables ?
 
Dans le détail : je cherche comment faire du LVS (ipvs) avec des fermes de serveurs s'appelant entre-elle sur un même réseau. D'où l'obligation du SNAT pour les paquets sources (pour éviter la triangulation). Par contre comme j'arrive pas à mettre du conntrack sur snat, bah au retour le firewall ne sait pas quoi faire du paquet ....
 
 
 
J'ai essayé avec une Fedora16, kernel 3.6.2, iptables 1.4.12 car je l'avais sous la main ;)
 
Merci d'avance !

mood
Publicité
Posté le 27-02-2012 à 17:45:57  profilanswer
 

n°1305704
o'gure
Modérateur
Multi grognon de B_L
Posté le 27-02-2012 à 18:33:54  profilanswer
 

gug42 a écrit :

Bonjour à tous,

 

Sauriez vous s'il est possible d'activer du contrack avec SNAT sur iptables ?

 

Dans le détail : je cherche comment faire du LVS (ipvs) avec des fermes de serveurs s'appelant entre-elle sur un même réseau. D'où l'obligation du SNAT pour les paquets sources (pour éviter la triangulation). Par contre comme j'arrive pas à mettre du conntrack sur snat, bah au retour le firewall ne sait pas quoi faire du paquet ....


par conntrack, tu parles du match conntrack ou simplement de suivi de connexion pour gérer le trafic retour ?
Dans les deux cas, c'est possible oui. Tu peux poster tes règles ?

 

Et décrit plus précisément ton environnement réseau. ( ça me semble une usine à gaz... rajouter du SNAT sur une usine à gaz, c'est une jouer avec une allumette)


Message édité par o'gure le 27-02-2012 à 18:46:50
n°1305709
gug42
Posté le 27-02-2012 à 19:53:07  profilanswer
 

Actuellement c'est du labo ;) C'est pour tester la possibilité de reproduire le fonctionnement PIP des Alteons.

 

Merci pour le retour. Oui je parlais bien pour le trafic retour. Je suis curieux de voir comment faire se suivi de connexion car je n'ai pas trouvé l'info ...

 

J'ai trouvé par la suite (j'avais mal lu) concernant le LVS/ipvs : il faut utiliser les nouvelles fonctionnalités de iptables concernant "ipvs" (cf le man).  Mon choix de fedora16 était justifié car du code a été introduit dans le kernel > 3 et iptables > 1.4.10 ...

 

Je pourrais poster une règle d'exemple sur demande.

 

=> Bref c'est très jeune, ca camoufle l'IP source vue par les serveurs, et ca fait une archi  complexe. Du tout bon en somme :)


Message édité par gug42 le 27-02-2012 à 19:58:20

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  iptables - snat - conntrack : possible ?

 

Sujets relatifs
Iptables, ouvrir acces[IPTABLES] redirection d'IP
[IPTABLES] Plus d'accès au réseau local une fois le POSTROUTING enlevécpu-freq avec Athlon 64 X2 en AM2, c'est possible ?
Debian - Xen server - Iptables - Nat - Webserveranalyser les logs iptables via interface web
syslog-ng et iptables[Iptables] Routage de l'IP Wan vers une autre IP Internet
linux sur EVEM+ 1.1 et processeur C3 : possible?Thunderbird : est-il possible de ....
Plus de sujets relatifs à : iptables - snat - conntrack : possible ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR