Re: routeur multipattes, serveur web et réseau interne

トップ ページ

このメッセージに返信
著者: Olivier_Allard-Jacquin
日付:  
To: guilde
古いトピック: routeur multipattes, serveur web et réseau in terne
題目: Re: routeur multipattes, serveur web et réseau interne
Re-bonjour

> Bon/soir/jour,
>
> Soit un routeur Linux multipattes:
> - - une connectée à Internet 82.x.x.x
> - - une connectée à une pseudo DMZ en 192.168.1.x
> - - une connectée à mon LAN en 192.168.0.x
>
> (192.168.0.x et 192.168.3.x ne peuvent pas se parler, c'est voulu)
>
> J'ai un serveur web publique en 192.168.1.2 (port forwarding) et
> plusieurs noms de domaines pointent sur l'IP 82.x.x.x
>
> Je souhaite accéder depuis mon LAN en 192.168.0.x à ce serveur web via
> les noms de domaine, /sans toucher la config des clients/
>
> Je manque d'inspiration sur cette question, j'ai envisagé plusieurs
> solutions de contournement, mais aucune ne me satisfait les méninges.
> Elles sont soit trop lourdes, soit pas propres...
>
> Si vous avez une idée ?


        Dans la "Solution 1" que j'ai proposé ce matin, j'ai oublié un 
truc : Dans le serveur DNS que tu contrôles, tu n'es pas obligé d'indiqué 
la vrai adresse IP de ton serveur web situé dans la DMZ. Tu peux 
configurer le DNS pour qu'il donne une fausse adresse IP, privée bien 
entendue. Le PC local va donc toujours envoyé le paquet au routeur Linux. 
Mais sur celui-ci, tu crées un règle de PREROUTING qui, lorsqu'il voit 
passer un paquet à destination de cette "fausse" adresse IP (et du port 
80), change l'adresse IP de destination grâce à un coup de "-j DNAT 
192.168.1.2:80".


        L'avantage de cette technique est double :
- les utilisateurs du réseau interne ne connaissent pas l'adresse IP du 
serveur web situé dans la DMZ. Par contre, un simple script PHP sur le 
serveur web peut faire découvrir le pot aux roses.
- si ils tentent de s'y connecter sur autre chose que du HTTP (ssh par 
exemple), le routeur Linux leur renverra un "hôte inaccessible".


                                                        Olivier