J'ai une centaine de machine avec une passerelle définie en config IP sur chacune.
Bien sûr, la machine en passerelle refuse les paserelles sauf pour certaines en IP/MAC.
Tout fonctionne.
Cependant, mes machines possèdent l'antivirus AVAST. Les mises à jours sont impossibles car le proxy demande une authentification.
J'aimerrai alors mettre en place un PREROUTING pour bifurquer les demandes de mises à jours du port 3128 directement en FORWARD sur les machines d'AVAST.
C'est une sorte de proxy transparent, mais à l'envers.
J'arrive à faire bifurquer les mises à jour sur un serveur web internet à mon entreprise sans passer par le proxy.
Cependant, bifurquer vers l'extérieur, je n'arrive pas à le faire en DNAT. A croire que le DNAT est interne au réseau intranet.
Je dois donc arriver à bifurquer vers l'extérieur, ou faire un mirroir AVAST dans mon réseau.
Pour bifurquer vers l'extérieur :
J'ai besoin pour celà de 2 règles iptables. Comme AVAST possède plusieurs mirror, je doit faire une boucle pour toutes les définirs. De plus, en DNAT, je ne peut pas mettre d'adresse pleinement qualifié mais uniquement des IP.
for num in `seq 1 999`
do
ip=`nslookup download$num.avast.com | grep 'Address:' | tail -1 | cut -d' ' -f2'`
iptables -t nat -I PREROUTING -d download$num.avast.com -j DNAT --to-destination $ip
iptables -I FORWARD -d download$num.avast.com -j ACCEPT
done
Si une personne pouvais m'aider à réaliser une translation d'adresse vers Internet.
Merci d'avance.
# Masquerading ?
Posté par Obsidian . Évalué à 2.
Une connexion TCP est à double send. Si les machines de ton réseau utilisent des adresses internes, il faut bien que ta passerelle sache vers quelle machine renvoyer les paquets en retour ...
# iptables DNAT vers Internet
Posté par Lionel Cottin . Évalué à 1.
1/ NAT sur chacun des clients AntiVirus; ce qui me semble un peu trop "intrusif", surtout si il y a une centaine de clients.
2/ Table de routage dédiée avec une default pointant vers une machine faisant du MASQUERADING et servant de relai pour atteindre les serveurs de MaJ. Cette solution utiliserait la table mangle par exemple pour marquer les paquets destinés aux serveurs de MaJ; mais la encore ca suppose des modifications sur l'ensemble des clients AV
3/ Une zone DNS interne pour leurrer les clients AV; qui iront tout le temps chercher les MaJ vers une machine specifique. Cette machine ferait alors du double NAT (source et destination):dNAT afin de faire "rebondir" les demandes de MaJ vers les bons serveurs (cette machine serait exclue de la vue DNS interne) et sNAT pour assurer que le retour reviens toujours sur la meme machine afin de profiter du double NAT stateful
4/ Modif de la conf proxy afin d'eviter l'authentification pour les requetes en provenance des clients AV a destination des serveurs de MaJ
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.