CI.Box et loopback

Dumboton · Posté le: Ven 17 Mar 2006 pm 13:30 Sujet du message: CI.Box et loopback

Certains ont posé le problème de la fonction "NAT loopback" avec la CI.BOX.
Cela signifie pouvoir utiliser une règle NAT configurée pour un accès externe à un serveur derrière le routeur depuis un poste situé lui aussi derrière le routeur. Cette fonction est rarement utilisée car elle comporte de gros risques de créer des "boucles de routage" et donc plantage de la fonction routeur.

A la lecture de différents sites et sachant que la fonction iptables est implantée, il doit être possible de faire des modifications...sans garantie de fonctionnement... ni garantie de sauvegarde des modifications en cas de reboot.

Ici une explication qui me semble claire du problème :
http://dg834.grandou.net/index.php?page=LoopbackSupport

Chain PREROUTING (policy ACCEPT)
target prot in out destination
REAIM_PRE all * * 0.0.0.0/0
DROP all ppp0 * !A.B.C.D
DNAT tcp ppp0 * 0.0.0.0/0 tcp dpt:80 to:192.168.1.3:80
... ^-- Here's the problem
la règle ne prend en compte que les requêtes sur l'interface wan (ppp0)
et on voudrait que ce soit effectif sur toutes les interfaces.
target prot in out destination
DNAT tcp * * A.B.C.D tcp dpt:80 to:192.168.1.3:80

la FAQ de netfilter
http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-10.html
contient peut-être la réponse.

SGDA
_________________

CI c'était des hommes, un service et de la qualité

hammett · Posté le: Ven 17 Mar 2006 pm 13:40 Sujet du message:

Dumbo,

Je n ai pas la CIBOX, mais franchement, bravo pour ton travail. Wink

_________________
Orange Open
"Le monde se divise en deux catégories : ceux qui ont un pistolet chargé, et ceux qui creusent. Toi, tu creuses !" Blondin/C.Eastwood -
Le Bon, la Brute le Truand - S.Léone 1966
"Par ailleurs, le cinéma est un art" André Malraux

Dumboton · Posté le: Ven 17 Mar 2006 pm 13:57 Sujet du message:

Attendons que cela soit validé car le problème ne semble pas simple pour bluffer le routage
. The dsl-g604t does not implement NAT loopback.

From the LAN (on the private side of the router), access a server using its local IP address.

From the WAN (on the public side of the router), access the a server using the public IP address of the router.

2. There is also a DNS problem: any machine on the internal network (LAN) when doing a DNS lookup will be given the public IP address by your ISP's DNS server.

The DNS problem is fairly readily resolved, either by adding entries to the hosts file, or by running your own DNS server and create zone files for your internal LAN. Configure the router's DHCP server to issue the IP address of your DNS server rather than your ISP's. Google on 'split horizon dns server'.

The NAT loopback problem can, I believe, be solved using an iptables POSTROUTING rule issued from the command line. For example, if the server has local IP address 192.168.1.100, then I *think* the rule is:

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -d 192.168.1.100 -p tcp --dport 80 -j SNAT 192.168.1.1

The normal portforwarding config should set up the other routing rules for external traffic and replies.

However, I have no pretence to being a Linux or iptables routing guru.

Hope this helps - anyone else?
_________________

CI c'était des hommes, un service et de la qualité