Forum Linux.général iptables DNAT vers Internet

Posté par  .
Étiquettes : aucune
0
20
déc.
2007
J'ai une centaine de machine avec une passerelle définie en config IP sur chacune.

Bien sûr, la machine en passerelle refuse les paserelles sauf pour certaines en IP/MAC.

Tout fonctionne.

Cependant, mes machines possèdent l'antivirus AVAST. Les mises à jours sont impossibles car le proxy demande une authentification.

J'aimerrai alors mettre en place un PREROUTING pour bifurquer les demandes de mises à jours du port 3128 directement en FORWARD sur les machines d'AVAST.

C'est une sorte de proxy transparent, mais à l'envers.

J'arrive à faire bifurquer les mises à jour sur un serveur web internet à mon entreprise sans passer par le proxy.

Cependant, bifurquer vers l'extérieur, je n'arrive pas à le faire en DNAT. A croire que le DNAT est interne au réseau intranet.

Je dois donc arriver à bifurquer vers l'extérieur, ou faire un mirroir AVAST dans mon réseau.

Pour bifurquer vers l'extérieur :

J'ai besoin pour celà de 2 règles iptables. Comme AVAST possède plusieurs mirror, je doit faire une boucle pour toutes les définirs. De plus, en DNAT, je ne peut pas mettre d'adresse pleinement qualifié mais uniquement des IP.

for num in `seq 1 999`
do
ip=`nslookup download$num.avast.com | grep 'Address:' | tail -1 | cut -d' ' -f2'`
iptables -t nat -I PREROUTING -d download$num.avast.com -j DNAT --to-destination $ip
iptables -I FORWARD -d download$num.avast.com -j ACCEPT
done

Si une personne pouvais m'aider à réaliser une translation d'adresse vers Internet.

Merci d'avance.
  • # Masquerading ?

    Posté par  . Évalué à 2.

    Je ne suis pas sûr d'avoir tout saisi mais il me semble que c'est surtout du masquerading qu'il faut faire.

    Une connexion TCP est à double send. Si les machines de ton réseau utilisent des adresses internes, il faut bien que ta passerelle sache vers quelle machine renvoyer les paquets en retour ...
  • # iptables DNAT vers Internet

    Posté par  . Évalué à 1.

    Si j'ai bien saisi le probleme (acces aux serveurs de MaJ sans passer par le proxy) je vois au moins 4 solutions:
    1/ NAT sur chacun des clients AntiVirus; ce qui me semble un peu trop "intrusif", surtout si il y a une centaine de clients.
    2/ Table de routage dédiée avec une default pointant vers une machine faisant du MASQUERADING et servant de relai pour atteindre les serveurs de MaJ. Cette solution utiliserait la table mangle par exemple pour marquer les paquets destinés aux serveurs de MaJ; mais la encore ca suppose des modifications sur l'ensemble des clients AV
    3/ Une zone DNS interne pour leurrer les clients AV; qui iront tout le temps chercher les MaJ vers une machine specifique. Cette machine ferait alors du double NAT (source et destination):dNAT afin de faire "rebondir" les demandes de MaJ vers les bons serveurs (cette machine serait exclue de la vue DNS interne) et sNAT pour assurer que le retour reviens toujours sur la meme machine afin de profiter du double NAT stateful
    4/ Modif de la conf proxy afin d'eviter l'authentification pour les requetes en provenance des clients AV a destination des serveurs de MaJ

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.