Bonjour,
Je vous demande conseil pour résoudre un problème de NAT sur une passerelle avec squid3.
Les postes clients du réseau interne on bien accès à internet, mais malheureusement leur IP privé est visible depuis internet, hors je voudrait que ce soit que l'IP du serveur qui soit visible.
J'ai configuré iptables avec cette commande, eth0 est l'interface coté externe.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Sa fait plusieurs jour que je cherche sur le web, mais j'ai rien trouvé comme solution.
Je vous remercie par avance de votre aide.
# manque quelques infos
Posté par nono14 (site web personnel) . Évalué à 2.
La structure du réseau: (comment c'est fait, addresse ip, réseau, passerelle )
- clients squid
- serveur proxy
- routeur
- ???
Routage ip activé ?
Quelle est la route par défault des clients ?
Système - Réseau - Sécurité Open Source
[^] # Re: manque quelques infos
Posté par tony45 . Évalué à 0.
Bonjour nono14,
La configuration du proxy:
-Interface externe eth0 IP 192.168.1.199
-Interface interne eth1 IP 193.168.1.10
J'ai configuré le routage comme ceci:
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Routage IP activé:
echo "1" > /proc/sys/net/ipv4/ip_forward
Les clients du réseau interne sont configuré pour utiliser la passerelle 192.168.1.10
J'ai fait une redirection du port 80 vers le port de squid3 et j'ai ouvert le port 3128 coté interne:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
Et voici le contenu de mon fichier squid.conf:
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 193.168.1.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
En espérant que cela t'aide a trouvé où est mon problème.
Merci de ton aide.
[^] # Re: manque quelques infos
Posté par nono14 (site web personnel) . Évalué à 2.
Déjà il y a un soucis ?!
Système - Réseau - Sécurité Open Source
[^] # Re: manque quelques infos
Posté par tony45 . Évalué à 0.
Tu peux développer ta réponse, car je voit pas pourquoi.
[^] # Re: manque quelques infos
Posté par nono14 (site web personnel) . Évalué à 3.
http://www.faqs.org/rfcs/rfc1918.html
Fais un schéma tu te mélanges les pinceaux
Que donne:
iptables -L -nv
iptables -L -nv -t nat
Système - Réseau - Sécurité Open Source
[^] # Re: manque quelques infos
Posté par NeoX . Évalué à 3.
parce que dans ton post initial tu dis que eth0 est ton interface EXTERNE
et que d'apres les IPs que tu nous donne ici ce serait exactement l'inverse.
192.168.1.0/24 etant une plage d'ip reservé à un usage privé (INTERNE)
alors que
193.168.1.10 est une adresse IP publique, appartenant d'ailleurs à l'Université du Luxembourg
du coup, je penses que ton masquerade n'est pas du bon coté du routeur.
tu dois masquer l'adressage interne quand tu vas sortir sur l'interface externe.
donc en se basant sur tes Interfaces et IPs ta ligne devrait etre :
de meme tes redirections 80 vers 3128 (proxy squid transparent) devrait etre inversées
ou alors tu fais parti de ces groupes qui utilisent des IPs PUBLIQUES en INTERNE
et qui creent ainsi une fausse penurie d'IPv4 ;)
[^] # Re: manque quelques infos
Posté par tony45 . Évalué à -1.
Justement l'un des intérêt du NAT, est de pouvoir caché l'IP des postes clients sur un réseau dont l'ip serai inconnu de l’extérieur.
Et ainsi utiliser l'adresse du serveur, donc peut importe l'ip du réseau interne puisqu'il ne sera jamais vu de l’extérieur.
Je me trompe?
[^] # Re: manque quelques infos
Posté par nono14 (site web personnel) . Évalué à 2.
Pourvu que l'ip publique soit routable...
Système - Réseau - Sécurité Open Source
[^] # Re: manque quelques infos
Posté par NeoX . Évalué à 2.
non tu as juste sur le but du NAT
laisser croire aux autres (ici le monde) que les connexions viennent d'une seule machine.
seulement ta connexion EXTERNE se fait sur un reseau utilisant une adresse 192.168.1.X/24
qui est par definition une adresse INTERNE
c'est souvent le cas derriere une box, et c'est peut-etre ton cas avec une installation reseau qui ressemble à :
(reseau universitaire : 193.168.1.X ) <-> [193.168.1.10 : proxy/parefeu/routeur : 192.168.1.99 ] <-> [192.168.1.1 : box du fournisseur : Vraie_IP_Internet] <-> (Internet)
[^] # Re: manque quelques infos
Posté par tony45 . Évalué à 0.
Oui NeoX, c'est exactement ce que j'essaie de faire, ton plan est bon.
Mais le NAT du proxy ne marche pas et donc de l'extérieur on voit les clients du réseau 193.168.1.X, réseau que je veux cacher derrière l'ip 192.168.1.199
[^] # Re: manque quelques infos
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 3.
Deja tu ne devrait pas utiliser le 193.168.x.y ce n'est pas un réseau privé.
Ensuite tu dit "Les postes clients du réseau interne on bien accès à internet",
peut tu préciser ?
1. ils pinguent n'importe quel ip ?
2. ils accedent a n'importe quelle page web ?
Si 1 est vrai alors ton NAT fonctionne
Si 2 est vrai alors ton proxy fonctionne, au vu de l'etat iptables si c'est le cas c'est surement grace a un reglage coté client.
"mais malheureusement leur IP privé est visible depuis internet"
ceci est tout simplement impossible, même si tu utilise des IP en 193 comme tu le dit, ces adresses ne t'appartiennent pas, donc si tu tente de les utiliser et qu'elles ne sont pas filtrées par ton FAI, les reponses a tes requetes reseaux ne te parviendront pas, donc tu n'aura pas acces a internet.
Par contre il est fort probable que ton proxy squid ajoute aux requetes un champ "X-Forwarded-For" qui contient l'ip du client qui a demandé la page, et certains sites peuvent afficher cette information.
# contenu iptables
Posté par tony45 . Évalué à 0.
Voilà.
iptables -L -nv
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
329 28308 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:21
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
13 960 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
240 39744 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:21
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
Et!
iptables -L -nv -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * eth0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[^] # Re: contenu iptables
Posté par nono14 (site web personnel) . Évalué à 2.
Trop récent ou les paquets n'arrivent pas à la passerelle
Système - Réseau - Sécurité Open Source
# FORWARD = ACCEPT, pas DROP !
Posté par Guillaume D. . Évalué à 0.
Sans FORWARD, ca va etre dur de faire du NAT ....
" Chain FORWARD (policy DROP 0 packets, 0 bytes)"
[^] # Re: FORWARD = ACCEPT, pas DROP !
Posté par nono14 (site web personnel) . Évalué à 2.
C'est tout à fait possible de le faire avec les règles ad-hoc.
Système - Réseau - Sécurité Open Source
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.