Pbm de redirection NAT sur netasq u250
albator84
-
brupala Messages postés 112425 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112425 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
j'espère trouver une aide à mon problème sur ce forum, car je n'ai rien trouver sur le net qui puisse m'aider : je n'arrive pas à rediriger un flux HTTP vers un serveur interne grâce à la redirection NAT d'un boitier Netasq U250. En plus, l'aide sur ce genre de produit n'est pas facile à trouver.
Je précise que je n'ai pas de contrat de support, donc je dois me débrouiller, mais que par contre, j'ai bien tous les manuels de Netasq comme j'ai un compte client sur leur site.
Le U250 est à jour niveau firmware (8.1.0) et j'ai suivi le manuel pour toutes mes règles.
Donc j'ai bien créé des règles de "map" pour tout ce qui est interne vers l'externe, et vice versa. J'ai aussi autorisé dans mon filtrage tout ce qui est interne vers l'externe, mais pas l'inverse (normal). Toutes mes règle de filtrage fonctionnent (je les ai testé une à une) et je ne vais pas vous les remettres toutes ici, sauf celle qui concerne ma question :
On - tcp - any to LAN - port HTTP - Pass
Donc j'ai autorisé n'importe quelle source d'aller en HTTP sur le réseau LAN, cela fonctionne, si je la désactive, l'accès à un serveur web du LAN ne fonctionne plus.
En revanche, ma redirection NAT ne fonctionne pas. J'ai testé les différentes règles suivantes:
1 - On - Dialup - redirection - any (original) - IP-Publique (destination) - http - ServeurHTTP
2 - On - Dialup - redirection - IP-Publique (original) - any (destination) - http - ServeurHTTP
Rien ne fonctionne, et je ne vois même pas de traces de quoi que ce soit dans les logs, j'ai pourtant suivi le manuel comme c'est expliqué! comprends pas...
Ma conf. réseau est la suivante:
port 2 --> modem/routeur en mode transparent + dialup (ADSL)
(Cela m'a donc créé une nouvelle interface dialup quand je regarde la liste)
port 3 et 4 --> DMZ
port 5 et 6 --> LAN
Si quelqu'un a une idée, je suis preneur!
Merci d'avance.
j'espère trouver une aide à mon problème sur ce forum, car je n'ai rien trouver sur le net qui puisse m'aider : je n'arrive pas à rediriger un flux HTTP vers un serveur interne grâce à la redirection NAT d'un boitier Netasq U250. En plus, l'aide sur ce genre de produit n'est pas facile à trouver.
Je précise que je n'ai pas de contrat de support, donc je dois me débrouiller, mais que par contre, j'ai bien tous les manuels de Netasq comme j'ai un compte client sur leur site.
Le U250 est à jour niveau firmware (8.1.0) et j'ai suivi le manuel pour toutes mes règles.
Donc j'ai bien créé des règles de "map" pour tout ce qui est interne vers l'externe, et vice versa. J'ai aussi autorisé dans mon filtrage tout ce qui est interne vers l'externe, mais pas l'inverse (normal). Toutes mes règle de filtrage fonctionnent (je les ai testé une à une) et je ne vais pas vous les remettres toutes ici, sauf celle qui concerne ma question :
On - tcp - any to LAN - port HTTP - Pass
Donc j'ai autorisé n'importe quelle source d'aller en HTTP sur le réseau LAN, cela fonctionne, si je la désactive, l'accès à un serveur web du LAN ne fonctionne plus.
En revanche, ma redirection NAT ne fonctionne pas. J'ai testé les différentes règles suivantes:
1 - On - Dialup - redirection - any (original) - IP-Publique (destination) - http - ServeurHTTP
2 - On - Dialup - redirection - IP-Publique (original) - any (destination) - http - ServeurHTTP
Rien ne fonctionne, et je ne vois même pas de traces de quoi que ce soit dans les logs, j'ai pourtant suivi le manuel comme c'est expliqué! comprends pas...
Ma conf. réseau est la suivante:
port 2 --> modem/routeur en mode transparent + dialup (ADSL)
(Cela m'a donc créé une nouvelle interface dialup quand je regarde la liste)
port 3 et 4 --> DMZ
port 5 et 6 --> LAN
Si quelqu'un a une idée, je suis preneur!
Merci d'avance.
A voir également:
- Pbm de redirection NAT sur netasq u250
- Avertissement de redirection - Forum Virus
- Type nat echec ps4 ✓ - Forum SFR / NeufBox / Numéricable
- Redirection de mail - Guide
- Infinityward nat - Forum Jeux vidéo
- Erreur de type nat ✓ - Forum Logiciels
5 réponses
Salut,
je ne comprends pas:
Donc j'ai autorisé n'importe quelle source d'aller en HTTP sur le réseau LAN, cela fonctionne, si je la désactive, l'accès à un serveur web du LAN ne fonctionne plus.
ton lan a une page ip publique ?
je ne comprends pas:
Donc j'ai autorisé n'importe quelle source d'aller en HTTP sur le réseau LAN, cela fonctionne, si je la désactive, l'accès à un serveur web du LAN ne fonctionne plus.
ton lan a une page ip publique ?
déjà, merci de me répondre! :-)
je vois pas trop ce que tu veux dire par ta question, mais je vais essayer de répondre :
en fait ma règle fait que à partir de n'importe où (WAN, DMZ, etc... tout), cela autorise d'aller en HTTP (uniquement) sur le serveur en question.
Je voulais à la base juste faire un test de redirection d'un port, en l'occurrence sur un serveur web en interne, donc juste le HTTP.
C'est pour ensuie mettre à dispo le HTTPS pour un webmail.
je vois pas trop ce que tu veux dire par ta question, mais je vais essayer de répondre :
en fait ma règle fait que à partir de n'importe où (WAN, DMZ, etc... tout), cela autorise d'aller en HTTP (uniquement) sur le serveur en question.
Je voulais à la base juste faire un test de redirection d'un port, en l'occurrence sur un serveur web en interne, donc juste le HTTP.
C'est pour ensuie mettre à dispo le HTTPS pour un webmail.
au sens RFC, le LAN est bien dans un réseau privé je te confirme.
sur le netasq, j'ai :
LAN en 172.16.1.X /24
DMZ en 172.16.11.X / 24
c'est pour ça que je fois faire du NAT entre mes réseaux.
sur le netasq, j'ai :
LAN en 172.16.1.X /24
DMZ en 172.16.11.X / 24
c'est pour ça que je fois faire du NAT entre mes réseaux.
disons que c'est nécessaire dans mon cas tout simplement. le masque en /24 impose du NAT puisque ce sont 2 réseaux séparés.
d'ailleurs, si j'enlève la règle de NAT je n'atteins plus mon LAN depuis la DMZ.
non non, je ne veux pas établir une connexion depuis dmz vers lan (enfin si, j'en fais d'ailleurs, mais je filtre ce qui m'intéresse), je veux faire ça :
Website (HTTP) -> @IP publique (portée par la dialup) -> redirection du port HTTP de ma dialup vers un serveur interne (LAN)
je ne vois pas pourquoi une connexion DMZ--> LAN ne se fait pas, il vaut mieux faire ça d'ailleurs que WAN --> LAN (ce que je veux faire dans un 1er temps). c'est bcp plus sécure.
merci quand même.
d'ailleurs, si j'enlève la règle de NAT je n'atteins plus mon LAN depuis la DMZ.
non non, je ne veux pas établir une connexion depuis dmz vers lan (enfin si, j'en fais d'ailleurs, mais je filtre ce qui m'intéresse), je veux faire ça :
Website (HTTP) -> @IP publique (portée par la dialup) -> redirection du port HTTP de ma dialup vers un serveur interne (LAN)
je ne vois pas pourquoi une connexion DMZ--> LAN ne se fait pas, il vaut mieux faire ça d'ailleurs que WAN --> LAN (ce que je veux faire dans un 1er temps). c'est bcp plus sécure.
merci quand même.
On peut faire du routage entre deux réseau sans passer par du nat, heureusement, merci.
Si les connexions DMZ>>LAN sont autorisées,
la dmz ne sert à rien.
elle est là pour éviter qu'en cas de piratage d'un serveur public, on puisse s'en servir pour attaquer le réseau local, tu comprends ?
donc PUBLIC>>DMZ normal
LOCAL>>DMZ normal
DMZ>>LOCAL exception
PUBLIC>>LOCAL interdit ou exceptions via vpn par exemple.
un firewall tel que netasq ne fait pas forcément du nat, ni du routage non plus.
Si les connexions DMZ>>LAN sont autorisées,
la dmz ne sert à rien.
elle est là pour éviter qu'en cas de piratage d'un serveur public, on puisse s'en servir pour attaquer le réseau local, tu comprends ?
donc PUBLIC>>DMZ normal
LOCAL>>DMZ normal
DMZ>>LOCAL exception
PUBLIC>>LOCAL interdit ou exceptions via vpn par exemple.
un firewall tel que netasq ne fait pas forcément du nat, ni du routage non plus.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci pour ce cours de réseau et ces grands principes!
Je ne me prends pas pour une star du réseau, mais étant admin système et réseau que depuis 5 ans, c'est vrai que je sais tout juste me servir d'un switch!
je configure du netasq mais à part ça je sais pas ce que sais qu'une DMZ et comment s'en servir. Pourquoi crois-tu que j'ai mis cet adressage IP ?
le /24 sert bien à étanchéifier le LAN et la DMZ et j'ai respecter à la lettre tous tes beaux exemples de règles... mais j'ai eu un coup de chance c'est sûr.
Sinon, j'aimerais bien savoir comment tu fais pour router un ping par exemple d'une machine de la DMZ vers le LAN sans NAT, vu que les 2 réseaux ne se voient pas... essaye tu verras bien si le ping revient!
je cherche quelqu'un qui a déjà config du netasq et qui me dise pourqoi ma règle de redirection ne fonctionne pas, alors que si je prends le manuel netasq, c'est exactement comme ça qu'il faut faire!
en plus c'est pas dur, y'a 3 champs à remplir pour une redirection alors... je vois pas.
Comme j'ai déjà dit, toutes mes règle de ROUTAGE et de FILTRAGE fonctionnent à merveille comme je le veux. le HTTP passe bien, mais la redirection du flux HTTP l'@IP publique vers mon serveur WEB non.
Je ne me prends pas pour une star du réseau, mais étant admin système et réseau que depuis 5 ans, c'est vrai que je sais tout juste me servir d'un switch!
je configure du netasq mais à part ça je sais pas ce que sais qu'une DMZ et comment s'en servir. Pourquoi crois-tu que j'ai mis cet adressage IP ?
le /24 sert bien à étanchéifier le LAN et la DMZ et j'ai respecter à la lettre tous tes beaux exemples de règles... mais j'ai eu un coup de chance c'est sûr.
Sinon, j'aimerais bien savoir comment tu fais pour router un ping par exemple d'une machine de la DMZ vers le LAN sans NAT, vu que les 2 réseaux ne se voient pas... essaye tu verras bien si le ping revient!
je cherche quelqu'un qui a déjà config du netasq et qui me dise pourqoi ma règle de redirection ne fonctionne pas, alors que si je prends le manuel netasq, c'est exactement comme ça qu'il faut faire!
en plus c'est pas dur, y'a 3 champs à remplir pour une redirection alors... je vois pas.
Comme j'ai déjà dit, toutes mes règle de ROUTAGE et de FILTRAGE fonctionnent à merveille comme je le veux. le HTTP passe bien, mais la redirection du flux HTTP l'@IP publique vers mon serveur WEB non.
Si tu ne l'as pas encore compris ce forum a un but pédagogique pour expliquer les principes à ceux que ça intérèsse, ce n'est pas là pour emplacer l'assistance netasq.
Tu confonds nat et routage, ce qui n'a rien à voir, de plus on peut faire du nat sans router, mais c'est plus simple comme ça effectivement.
De plus les sous réseaux n' étanchéifient rien du tout à partir du moment où ils sont reliés par un routeur
Tu configures du netasq, mais visiblement, tu n'as fait que de l'autoformation, il se peut que tu soies passé à côté de quelques bases, ces produits nécéssitent une vraie formation, la preuve.
j'ai un peu fréquenté les netasq série F et je n'ai pas aimé la philosophie du système: trop de bétonnage de licences obscures et d'outils propriétaires.
j'espère pour eux que ça c'est amélioré avec les séries U mais je ne fréquente plus.
Je te souhaite de trouver quelqu'un qui a déjà dominé ton problème, mais je suppose qu'ils sont rares sur ce forum très généraliste.
Sinon,
je pense que cette règle est la bonne:
1 - On - Dialup - redirection - any (original) - IP-Publique (destination) - http - ServeurHTTP
vérifie toutefois que serveurhttp est bien autorisé à sortir.
Tu confonds nat et routage, ce qui n'a rien à voir, de plus on peut faire du nat sans router, mais c'est plus simple comme ça effectivement.
De plus les sous réseaux n' étanchéifient rien du tout à partir du moment où ils sont reliés par un routeur
Tu configures du netasq, mais visiblement, tu n'as fait que de l'autoformation, il se peut que tu soies passé à côté de quelques bases, ces produits nécéssitent une vraie formation, la preuve.
j'ai un peu fréquenté les netasq série F et je n'ai pas aimé la philosophie du système: trop de bétonnage de licences obscures et d'outils propriétaires.
j'espère pour eux que ça c'est amélioré avec les séries U mais je ne fréquente plus.
Je te souhaite de trouver quelqu'un qui a déjà dominé ton problème, mais je suppose qu'ils sont rares sur ce forum très généraliste.
Sinon,
je pense que cette règle est la bonne:
1 - On - Dialup - redirection - any (original) - IP-Publique (destination) - http - ServeurHTTP
vérifie toutefois que serveurhttp est bien autorisé à sortir.
