Re-bonjour
> Bon/soir/jour,
>
> Soit un routeur Linux multipattes:
> - - une connectée à Internet 82.x.x.x
> - - une connectée à une pseudo DMZ en 192.168.1.x
> - - une connectée à mon LAN en 192.168.0.x
>
> (192.168.0.x et 192.168.3.x ne peuvent pas se parler, c'est voulu)
>
> J'ai un serveur web publique en 192.168.1.2 (port forwarding) et
> plusieurs noms de domaines pointent sur l'IP 82.x.x.x
>
> Je souhaite accéder depuis mon LAN en 192.168.0.x à ce serveur web via
> les noms de domaine, /sans toucher la config des clients/
>
> Je manque d'inspiration sur cette question, j'ai envisagé plusieurs
> solutions de contournement, mais aucune ne me satisfait les méninges.
> Elles sont soit trop lourdes, soit pas propres...
>
> Si vous avez une idée ?
Dans la "Solution 1" que j'ai proposé ce matin, j'ai oublié un
truc : Dans le serveur DNS que tu contrôles, tu n'es pas obligé d'indiqué
la vrai adresse IP de ton serveur web situé dans la DMZ. Tu peux
configurer le DNS pour qu'il donne une fausse adresse IP, privée bien
entendue. Le PC local va donc toujours envoyé le paquet au routeur Linux.
Mais sur celui-ci, tu crées un règle de PREROUTING qui, lorsqu'il voit
passer un paquet à destination de cette "fausse" adresse IP (et du port
80), change l'adresse IP de destination grâce à un coup de "-j DNAT
192.168.1.2:80".
L'avantage de cette technique est double :
- les utilisateurs du réseau interne ne connaissent pas l'adresse IP du
serveur web situé dans la DMZ. Par contre, un simple script PHP sur le
serveur web peut faire découvrir le pot aux roses.
- si ils tentent de s'y connecter sur autre chose que du HTTP (ssh par
exemple), le routeur Linux leur renverra un "hôte inaccessible".
Olivier
