Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes |
informatique:reseau:routage-internet-multi-liens [2018/03/20 15:46] – [Peupler les tables de routages complémentaires] bn8 | informatique:reseau:routage-internet-multi-liens [2018/03/20 15:54] – [Router le trafic] bn8 |
---|
| |
====== En cas de PRE-ROUTING ====== | ====== En cas de PRE-ROUTING ====== |
Dans le cas particulier où vous faites du PRE-ROUTING, c'est à dire que vous redirigez le trafic arrivant sur la machine gateway vers une autre derrière elle, il faut s'assurer que les réponses emprunteront exactement le circuit inverse et ressortiront par la même interface que les demandes. Pour cela, il faut utiliser la fonctionnalité de conn-mark d'iptables (de Netfilter en réalité) pour suivre les connexions, les marquer avec le module de marquage et ensuite ajouter une règle pour faire en sorte que ces trames marquées soient routées en utilisant la table de routage de l'interface de sortie. | Dans le cas particulier où vous faites du PRE-ROUTING, c’est-à-dire que vous redirigez le trafic arrivant sur la machine gateway vers une autre derrière elle, il faut s'assurer que les réponses emprunteront exactement le circuit inverse et ressortiront par la même interface que les demandes. Pour cela, il faut utiliser la fonctionnalité de //conn-mark// d'//iptables// (de Netfilter en réalité) pour suivre les connexions, les marquer avec le module de marquage et ensuite ajouter une règle pour faire en sorte que ces trames marquées soient routées en utilisant la table de routage de l'interface de sortie. |
===== Marquer le trafic ===== | ===== Marquer le trafic ===== |
iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW -i eth0 -j CONNMARK --set-mark [MARK1] | iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW -i eth0 -j CONNMARK --set-mark [MARK1] |
ip rule add fwmark [MARK1] table cnx1 | ip rule add fwmark [MARK1] table cnx1 |
ip rule add fwmark [MARK2] table cnx2 | ip rule add fwmark [MARK2] table cnx2 |
| |
| ===== Ajouter les règles de routages ===== |
| |
| Il est nécessaire que les réseaux vers lesquels le //PREROUTING// est fait, soient connue de la table de routage de l'interface d'entrée. Si vous faite le routage vers un poste d'un LAN dans notre exemple, ce réseau ayant déjà été ajouté dans les tables de routages, cela devrait fonctionner sans autre modification. Si en outre, vous disposer d'autres réseaux (une DMZ par exemple), il est nécessaire qu'ils soient connus de vos tables de routages si vous souhaitez faire du //PREROUTING// vers ces réseaux : |
| |
| ip route add [DMZ] dev [INTERFACE DMZ] table cnx1 |
| ip route add [DMZ] dev [INTERFACE DMZ] table cnx2 |
| |
| **Avec :** |
| * **[DMZ] :** l'IP du réseau DMZ |
| * **[INTERFACE DMZ] :** l'interface de la gateway connectée au réseau DMZ (//eth3// par exemple) |
| |