Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
823 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  NAT statique Linux IPTABLES et traçage de connexion

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

NAT statique Linux IPTABLES et traçage de connexion

n°387823
julbarbier
Posté le 01-11-2008 à 15:31:11  profilanswer
 

Bonjour à tous,
 
Je sollicite votre aide pour une simple question à propos du NAT IPTABLES sous Linux (dans mon cas, il s'agit d'une Debian Etch Stable) :  
 
Est-il possible que lorsque l'on émette, depuis une machine cliente, un paquet "ICMP Request" en entrée de l'équipement de routage effectuant le NAT (dans mon cas, un routeur linux avec Quagga mais NAT directement via IPTABLES), ce dernier ne restitue la réponse "ICMP Reply" que s'il y a une certaine (laquelle ?) correspondance avec la requête (une sorte de mode connected, de cache des requêtes, ou de traçage de connexion...) ?
 
Mon architecture de routage (simplifiée) :
 
 
stationA[@privéeA]------------[@privéeA+1]ROUTEUR_QUAGGA[@publiqueA][@TunnelIP]-------------------vers WAN
                 <--------------------                                                   ---------------------->                
                       NAT inside                                                              NAT outside            
                           
                     
                     
stationB[@privéeB]------------[@privéeB+1]ROUTEUR_CISCO[@publiqueB][@TunnelIP]--------------------vers WAN
                                 <--------------------                               ---------------------->      
                                     NAT inside                                              NAT outside  
 
 
Ma configuration NAT IPTABLES est de type :  
 
 - iptables -t nat  -A POSTROUTING -s @sous-réseau-privé -o s3gre -j SNAT --to-source @publique         --> pour NATer en @publique tout ce qui sort du réseau privé
 - iptables -t nat -A PREROUTING -d @publique -i s3gre -j DNAT --to-destination @privéeA         --> pour NATer en @privée de l'unique station connectée tout ce qui touche l'adresse publique
 
Mais peut-être que la seconde ligne est inutile justement à cause de ce possible mécanisme de traçage des connexions...
 
 
Tout cela car je suis confronté au cas suivant : pour deux paquets ICMP Reply IDENTIQUES (à part les numéros de séquences et checksum, bien entendu), l'un passe au travers du routeur, l'autre non.
La seule différence constatée se situe au niveau des requêtes ICMP correspondantes à ces réponses, qui ne ciblent pas les mêmes addresses (l'une cible une adresse distante privée, l'autre une adresse distante publique) ; les paquet "request" sont donc différents.
 
Petite précision : j'ai deux réponses ICMP identiques pour deux requêtes différentes, car le routeur distant NATe aussi les adresses (inside et outside).
 
Merci beaucoup à tout ceux qui pourront m'apporter quelques éléments de réponse !
 
Jul


Message édité par julbarbier le 02-11-2008 à 12:32:48
mood
Publicité
Posté le 01-11-2008 à 15:31:11  profilanswer
 

n°387824
julbarbier
Posté le 01-11-2008 à 15:33:34  profilanswer
 

Excusez-moi pour le formatage du texte au niveau du schéma, il est mal passé. Il faut juste savoir que les deux WAN sont reliés entre eux.
Merci encore


Message édité par julbarbier le 02-11-2008 à 12:33:30

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  NAT statique Linux IPTABLES et traçage de connexion

 

Sujets relatifs
Routeur Netgear DG834v2 et NATQuelle type de connexion sur ligne FT inactive [help!] ?
Information sur connexion wi-fi.Problème connexion wifi free
connexion qui bloqueConnexion au reseau local mais internet marche pas
Question sur vitesse de connexion réseauProblèmes avec ma connexion.
Problème connexion wifiProblème de connexion WifI avec Windows Vista Intégrale (64 bits)
Plus de sujets relatifs à : NAT statique Linux IPTABLES et traçage de connexion


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR