Désactiver le NAT en sortie d'une SME

Ne concerne que les SME configurées en mode server&gateway
Ne s'applique que dans certaines configurations bien spécifiques (SME derrière un autre routeur NAT en général) et demande d'adapter votre environnement (ajout de route à votre passerelle entre autre)

Dans certains cas, il peut être utile de désactiver le NAT en sortie d'une SME. Par exemple quand votre SME est derrière un autre routeur qui fait du NAT (je me sers souvent d'un pfsense en frontal). Désactiver le NAT en sortie permet de mieux contrôler et auditer le trafic (on peut voir par exemple quel poste du LAN accède à quelle ressources de la DMZ, au lieu de ne voir que l'IP externe de la SME).

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/
cat <<'EOF' > /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/40masqLAN 
# NAT is handled by pfsense
 
    /sbin/iptables --table nat --new-chain PostroutingOutbound
    /sbin/iptables --table nat --append PostroutingOutbound \
        --source $OUTERNET -j ACCEPT
    /sbin/iptables --append PostroutingOutbound -t nat -j MASQUERADE
#    if [ -n "$OUTERIF" ]; then
#        /sbin/iptables --append POSTROUTING -t nat \
#           --out-interface $OUTERIF -j PostroutingOutbound
#    fi
EOF
expand-template /etc/rc.d/init.d/masq
/etc/init.d/masq restart
Après avoir fait ça, votre routeur frontal verra les IP internes des clients, il faut donc ajouter les routes nécessaires pour que les réponses puissent être renvoyées
  • tuto/ipasserelle/divers/desactiver_le_nat.txt
  • Dernière modification: 22/04/2014 16:20
  • par dani