[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

pf : nat avant et après filtrage ?

From: "didbaba AT gmail POINT com" <didbaba AT gmail POINT com>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: pf : nat avant et après filtrage ?
Date: Tue, 31 Oct 2006 19:41:59 +0100

Bonjour,

je cherche en vain à essayer de faire avec pf, ceci, ça m'empeche
de rester sous openbsd pour le pare-feu  :-( 

iptables -t nat -A PREROUTING -d 10.42.1.1 -j DNAT --to 10.0.1.1
iptables -t nat -A PREROUTING -d 10.42.0.1 -j DNAT --to 10.0.0.1

 Ici le filtrage des paquets puis en sortie

iptables -t nat -A POSTROUTING -s 10.0.0.1 -j SNAT --to 10.42.0.1
iptables -t nat -A POSTROUTING -s 10.0.1.1 -j SNAT --to 10.42.1.1

Il semble que le NAT soit obligatoirement avant le filtrage avec pf.

Un peu d'explications :
Les réseaux sont 10.0.0.0/24, 10.0.1.0/24, les réseaux avec 42 sont
juste là pour l'astuce.

Ces règles permettent à un serveur
hébergeant des machines virtuelles (vservers) ayant pour IP
10.0.0.1 et 10.0.1.1 d'obligatoirement passer par le pare-feu pour
communiquer, évitant ainsi la table de routage locale de la machine,
et de passer outre le filtrage en les deux réseaux.

Sur le serveur hébergeant les deux serveurs virtuels :

iptables -t nat -A OUTPUT -d 10.0.0.1 -j DNAT --to 10.42.0.1
iptables -t nat -A OUTPUT -d 10.0.1.1 -j DNAT --to 10.42.1.1

Tout ce qui sort des processus locaux change de destination afin
de sortir de la machine et se retrouve sur la gateway qui filtre.

C'est très moyen au niveau sécurité, mais il manque des moyens pour
acheter des machines, alors virtualisons, c'est à la mode...

Si vous me confirmez que c'est impossible avec pf, je jette l'éponge.
-- Sébastien

Prev by Date: Re: [obsdfr-misc] Re: DualScreen (début)
Next by Date: [OpenBSD 4.0] Maj
Previous by thread: DualScreen (début)
Next by thread: [OpenBSD 4.0] Maj
Index(es):
- Date
- Thread