Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1456 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Nattage iptables et adresses MAC

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Nattage iptables et adresses MAC

n°55250
Merome
Chef des blorks
Posté le 24-06-2009 à 14:57:31  profilanswer
 

Je vais essayer d'être clair et précis, mais c'est pas évident :
 
Nous avons une machine qui fait office de proxy (squid) et de firewall (iptables / fwbuilder), sous linux.
La machine étant assez sensible, nous avons un spare qui est son jumeau exact. En cas de panne, on débranche celui qui marche plus, on rebranche l'autre et ça repart.
 
Sauf que ça repart pas tout à fait comme prévu. Tout fonctionne sauf les règles iptables de nat. Le nat mappe une dizaine d'adresses publiques vers des adresses privées de la DMZ (plusieurs serveurs web, smtp, ...).
Après des heures et des heures de recherches, on a fini par se rendre compte que les adresses MAC étaient en cause, et plus exactement l'adresse MAC de l'interface publique de la machine. Et pour résoudre le problème, il a "suffit" de modifier l'adresse MAC de cette interface pour lui donner l'adresse de l'ancienne machine.
 
Là où ça devient incompréhensible, c'est que nulle part nous n'opérons de filtrage par adresse MAC. Et par ailleurs, l'interface en question fonctionne parfaitement (avec sa vraie adresse MAC) en-dehors de ces règles de nat : elle répond au ping et voit le réseau. Un tcpdump nous montre que les requêtes arrivent bien sur la machine mais le nattage ne fonctionne tout simplement pas.
 
On a également essayé de virer toutes les règles et de retaper à la main une seule règle iptables de nat sans plus de succès.
En revanche, dès que l'adresse MAC est spoofée avec l'ancienne adresse (celle de la machine "originale" ), tout fonctionne à merveille.
 
Si vous avez des idées pour diagnostiquer la panne, je suis preneur.


---------------
Ceci n'est pas une démocratie
mood
Publicité
Posté le 24-06-2009 à 14:57:31  profilanswer
 

n°55258
twins_
La Trans y a que ça de vrai !
Posté le 24-06-2009 à 17:08:04  profilanswer
 

hummmm... ton serveur coté publique il est connecté à quoi ?

n°55259
Merome
Chef des blorks
Posté le 24-06-2009 à 17:18:54  profilanswer
 

À l'internet, via un routeur de chez Free. J'ai contacté la supervision free pour leur demander s'ils avaient pas de l'anti-spoofing ou autre truc qui filtre sur l'adresse MAC, mais ils m'ont répondu que non, et que si l'interface était pingable et voyait le réseau, c'est que chez eux tout était ok. Ce qui est le cas : je vois bien arriver les requêtes de l'extérieur sur la machine. Mais elles sont redirigées nulle part, tant que l'adresse MAC n'est pas bonne.


---------------
Ceci n'est pas une démocratie

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Nattage iptables et adresses MAC

 

Sujets relatifs
iptables Etat du connection TCPGérer des Mac sur un réseau Windows/AD
console anti-virus pour réseau hétérogène Mac/windowsBoitier DHCP avec filtrage MAC
QCM adressage IP, MACDDoS/Iptables
Bloquer des adresses MAC avec 2003 server 
Plus de sujets relatifs à : Nattage iptables et adresses MAC


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR