Bonjour à tous!
Je bloque sur un problème intéressant de routage entre plusieurs ip publique… Âmes sensible s’abstenir
Voici la topo du réseau:
em2 195.x.x.x —| HOTE | vpont_pub 192.168.254.250 ----- 192.168.254.254 |VM1| ---- 192.168.1.0/24
p2p1 109.y.y.y —|_____/
- La passerelle par défault de l’hote est p2p1
- la passerelle par défault de VM1 est vpont_pub
- VM1 sers de passerelle pour 192.168.1.0/24
- Si on ignore em2 tout marche parfaitement (routage de 192.168.1.0/24, sortie sur internet, accès avec des redirections depuis internet sur p2p1 vers des serveurs situé sur 192.168.1.0/24, dans ce cas le traffic entrant sur p2p1 est redirigé par l’hote vers 192.168.254.254 puis par la VM1 vers le serveur sur 192.168.1.0/24)
Les problèmes commences quand on souhaite ouvrir un accès internet à certains serveur sur 192.168.1.0/24 à partir de em2: En se connectant à em2 on doit avoir accès à certain ports de l’HOTE de la VM1 et de certaine machine sur 192.168.1.0/24
Qui dit 2eme interface publique dit nécessairement 2ème table de routage dédié avec règles pour indiquer quel type de connections doivent-ête routé. Ma deuxième table se nomme access_externe
# ip route show table access_externe
default via 195.x.x.117 dev em2 src 195.x.x.118
192.168.254.0/24 dev vpont_pub scope link src 192.168.254.250
195.x.x.116/30 dev em2 proto kernel scope link src 195.x.x.118
# ip rule show table access_externe
32762: from all to 195.x.x.118 lookup access_externe
32763: from 195.x.x.118 lookup access_externe
32764: from all oif em2 lookup access_externe
32765: from all iif em2 lookup access_externe
Avec ceci j’accède à l’hote depuis em2
Par contre si j’essaye de rediriger du traffic de em2 vers VM1 avec:
iptables -t nat -A PREROUTING -i em2 -s Z.Z.Z.Z -d 195.x.x.118 -p tcp --dport 222 -j DNAT --to-destination 192.168.254.254:22
iptables -A FORWARD -i em2 -o vpont_pub -d 192.168.254.254 -p tcp --dport 22 -j ACCEPT
Le noyau rejette d’office mes paquets:
hote_vm kernel: IPv4: martian source 192.168.254.254 from Z.Z.Z.Z, on dev em2
hote_vm kernel: ll header: 00000000: 50 9a xx xx xx c5 e8 b7 yy yy 64 42 08 00 P.L.s…H&dB…
Z.Z.Z.Z est l’ip à partir de laquelle je teste l’accès…
50 9a xx xx xx c5 est la mac de em2
e8 b7 yy yy 64 42 n’est pas sur le serveur
ah priori le problème est donc lié à mes tables de routages qui engendre des paquets à la con, plutôt qu’au parefeu qui n’intervient que dans un deuxième temps… (après le rejet des paquets par le noyau)
Je penche évidement pour un problème lié au fait que em2 n’est pas la passerelle par défaut de l’hote, puisque la même config pour rediriger les paquet depuis p2p1 n’engendre aucun blocage noyau
Si quelqu’un a une idée je suis preneur… ça fait plusieurs jours que je butte…