[gull] question NAT

Leopoldo Ghielmetti Leopoldo.Ghielmetti at a3.epfl.ch
Fri Oct 1 16:22:02 CEST 2004


salut,

j'ai une question pour la mise en place d'un NAT.

J'aimerais installer une machine Linux avec un modem pour de la
maintenance clients.
Actuellement il y a deux clients chez qui se connecter, mais dans le
futur on pourrait en avoir plusieurs.
Le problème est le suivant, mon employeur à mis en place un réseaux
10.x.x.x, les deux clients aussi. Et certaines machines ont aussi la
même adresse.

Vu que je n'ai besoin d'accéder qu'a un nombre limité de machines je me
suis dit qu'on aurait pu NATter une plage d'adresses pour la maintenance
et donc rediriger uniquement les trois ou quatre machines auxquelles on
a accès.
Pour ce fair je me suis dit (exemple d'adresses):
réseaux interne              client1              client2
10.0.0.1 serveur1
10.0.0.2 serveur2
10.0.0.3 serveur3
10.200.200.1                 10.0.0.1 serveur1
10.200.200.2                 10.0.0.3 serveur2
10.200.200.3                 10.0.0.8 serveur3
10.200.200.9                                       10.0.0.2 serveur1
10.200.200.10                                      10.0.0.3 serveur2
10.200.200.11                                      10.0.0.9 serveur3

de cette façon on aurait accès aux serveurs internes 1, 2 et 3 ainsi
qu'aux serveurs des deux clients.
En plus on peut utiliser la plage 10.200.200.0/29 pour appeler le numéro
du client1 et la plage 10.200.200.8/29 pour appeler le numéro du client2
avec le modem.

Seulement que iptables fait le DNAT puis le routing et ensuite le SNAT
et il n'y a pas moyen de faire l'inverse. Et qui plus est il n'y a pas
de possibilité d'effectuer le routage en se basant sur l'adresse source
et non sur la destination.
Donc il m'est impossible de router avec l'adresse 10.200.200.x et
ensuite effectuer le NAT sur les adresses 10.x.x.x. Le iptable s'obstine
à translater les adresses d'abord et les router ensuite. Il m'est donc
impossible de configurer diald pour appeler le bon client car les
adresses 10.x.x.x sont ambigus.
En même temps je ne peux pas utiliser une deuxième machine qui ferait un
espèce de pré traduction des adresses de façon à forcer la deuxième
machine à router en se basant sur les adresses source et non sur les
adresses destination.

Vu que les deux solutions que j'ai imaginés ne sont pas possibles,
est-ce qu'il y a quelqu'un qui a une meilleure idée?

Je suis sur que ce n'est pas un problème nouveau et que quelqu'un doit
déjà avoir trouvé une solution.

merci à tous.

ciao, Leo

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20041001/805196ab/attachment.pgp>


More information about the gull mailing list