[Résolu] Iptable renvoyer sur la meme interface

Support Debian
#1

Bonjour,

J’ai un utilisateur qui possède un iphone. Celui ci est configurer pour rechercher ses mails vers notre serveur avec l’IP public de notre routeur (debian). les ports sont router de manière cortrecte, tout fonctionne correctement.

Maintenant, cet utilisateur veut se connecter un WIFI au sein de l’entreprise. La relève des ses mails ne marche plus …

J’aimerais donc mettre en place une règle qui me permettrais de faire en sorte que tout ce qui vient du reseau local à destination d’une IP (l’IP public du routeur debian) soit renvoyer sur la même interface a destination du serveur mail.

J’ai essayer avec :
$iptables -t NAT -A PREROUTING -i $LAN -d $IP_PUB -j DNAT --to-destination $IP_MAIL
$IMAIL est sur l’interface $LAN …

je pense que le soucis vient de là, mais je ne sais plus comment faire.

Avez-vous une idée ? Merci d’avance.

#2

Tu as essayé ta règle ? Parceque ça devrait marcher comme ça si le port mail n’est pas verrouillé quelquepart ailleurs dans ton pare feu.

Si tu as un dns interne et que tu peux déclarer un nom dans l’iphone, il y a plus simple: tu utilises un nom qui est associé à l’adresse externe de ton routeur pour tous les dns externes (un dyndns si tu n’as pas déjà un domaine) et que tu associes à l’adresse de ton serveur mail dans ton dns interne. Ca évite que les paquets fassent un hop par ton routeur.

#3

Non, la règle DNAT seule ne suffit pas. C’est un problème archi-connu. Il faut aussi une règle SNAT ou MASQUERADE pour remplacer l’adresse source privée du client par l’adresse du routeur (privée ou publique, peu importe). Sinon le serveur répond directement au client et ce dernier reçoit les paquets de réponse avec l’adresse source privée du serveur au lieu de l’adresse publique du routeur et la connexion échoue.

Une règle de ce genre devrait faire l’affaire :

Et bien sûr, il faut que les paquets soient autorisés à passer de $LAN vers $LAN. Dans le cas contraire, ajouter la règle suivante au bon endroit :

#4

[quote=“PascalHambourg”]Non, la règle DNAT seule ne suffit pas. C’est un problème archi-connu. Il faut aussi une règle SNAT ou MASQUERADE pour remplacer l’adresse source privée du client par l’adresse du routeur (privée ou publique, peu importe). Sinon le serveur répond directement au client et ce dernier reçoit les paquets de réponse avec l’adresse source privée du serveur au lieu de l’adresse publique du routeur et la connexion échoue.
(…)[/quote]
Ben oui, le retour. J’aurais pu penser au retour tt de même.
Enfin AMA, c’est aussi simple de règler ça par dns.

#5

Merci beaucoup !

C’est en effet la solution. Les régles proposées sont en effet logique.
Merci encore.

Renaud