hello,  
 
je dois configurer une petite gateway qui fera office de firewall et de traffic shaper. Derrière il y aura 3 ou 4 machines avec des ip publiques donc visibles directement sur le net.  
 
Je me demandais comment j'allais configurer la boiboite point de vue ip :  
 
eth0 qui donne vers internet aura une ip publique, mais qu'est ce que je dois donner comme ip a eth1 qui est connectée sur le switch des autres machines ?  (la meme ip qu'eth0 ?)
 
Je sais pas si c eminement clair si pas, dites le je reformulerai...

tu lui mets juste une IP qui sera valide sur ton reseau local
n'importe laquelle mais une qui correspond a ton reseau local
 
par exemple, dans mon cas j'ai :
 
Internet eth1 (ip publique) --- passerelle --- eth0 192.168.0.127 --- hub
 
et sur le hub des machines en 192.168.0.1, 192.168.0.2, etc...

wai mais les machines derière, elels ont aussi besoin d'une ip publique, c des serveurs web mail et sql...
 
donc il me faudrait un truc du style :  
Internet eth1 (ip publique) --- passerelle --- eth0 ip??? ---  
switch-
       \ip publique:machine2
       \ip publique:machine3
       \ip publique:machine4

oups, double post

ah non, pour les machines derriere c'est different...
 
tout ce qui est derriere ta passerelle sera par defaut invisible pour le monde exterieur. Il te faudra donner dire a ta passerelle que si elle recoit par exemple des demandes sur le port 80 (web), elle doit les renvoyer vers la machine web
 
Ca s'ppelle le NAT, sous linux c'est fait avec les IPTables
 
je te conseille de chercher ca dans le topic debutants ou sur www.lea-linux.org pour avoir de la documentation

 
Le monsieur dit que ses machines derrieres auront des IP publiques des son premier poste, je suppose donc qu'il _a_ ses adresses publiques.
 
A part ca en principe tu dois pouvoir mettre la meme IP sur les 2 cartes reseaux. La ou ca risque d'etre un peu chiant a gerer c'est pour les tables de routage des differentes machine si les adresses ne sont pas correctement disposees.

wi, j un bloc d'ip publiques, évidemment..  
 
le truc qui me chiffonnait c'était de mettre une ip publique sur eth0 et une autre sur eth1 alors que c'est la meme machine et que si ct un vrai routeur en dur il aurait la meme.
 
Par contre, c vrai que pour mes tables de routege, ça va glisser dans la colle...
 
Personne n'a une solution élégante au problème ?
 
edit: le premier qui me fille un lien vers le site cisco ou truc a 5000?, il prend la porte...

en gros ta table de routage doit donner sur la passerelle :
 
dans ta plage => reseau local
hors de ta plage => exterieur
 
et sur les machines derriere, bien configurer la passerelle. apres pour ce qui est de ce qui doit rester dans le reseau local, soit tu as de la chance avec tes IP qui sont contigues au bon endroit et tu le fais simplement avec un joli netmask en 255.255.255.252, soit tu te rentes tes IP a la main dans tes tables de routage.

oki, normalement, les ip sont contigues(on me les communique jeudi), sinon je m'arrangerai.
 
thx pour les infos, a mon avis, je reposterai pasque ça m'étonnerait que ça se passe sans problèmes ;-)

la contiguite ne suffit pas pour avoir la belle vie...
 
l'ideal serait que seuls les 2 dernier bits de l'adresse different en fait. Pour l'aide pas de pb (en fonction de la disponibilite)

ah ok j'avais lu trop vite

bon, après lecture de plusieurs docs et howtos, je crois que je vais faire un bridge / proxy arp transpatent, donc (si j'ai bien totu capté ) avec eth0 et eth1 avec comme ip 0.0.0.0
 
Question magique, est ce que je peux en casant une 3e carte reseau reliée au switch en aval faire tourner des serveurs sur la bête ?
(bon, ça devient un peu complexe, je redessine )
 

P'tain, on voit rien sur ton schéma! (forcément, ça rend moins bien en font qui n'est pas à taille fixe...)
Sinon, le bridge est bien adapté à ce que tu veux faire, à partir du moment où tu dispose d'un bloc d'IP publiques à attribuer à tes serveurs.
Mes 2 cents.

thx pourles deux cents  ;-)
 
pour le dessin, je suis pas doué en dessin ascii, pourtant, j'ai mis des balises code donc ça devrait pas trop bouger...

Y'a quand même quelque chose que je modifierai dans ton cas. Je pense que plutôt que d'utiliser un switch (non manageable), tu ferai mieux de mettre quelques cartes réseau sur ton bridge, ça serait plus sécure...
Sinon, y'a OpenBSD qui conviendrait nikel à ce que tu veux faire. Et puis, pf c'est bien plus facile qu'iptables...

bhen vi mais le nombre de machines risque d'augmenter a moyen terme donc autant passer par un switch.. puis ça me laisse la possibilité e juste remplacer le bridge par un uplink en cas de problème.
 
enfin, après moultes recompilations du noyeau, j'ai réussi a configurer le bridge, plus qu'a mettre les qdisc en place.
tant que j'y suis je mettrais bien un semblant de firewall..