Différences

Ci-dessous, les différences entre deux révisions de la page.

@@ Ligne 1: / Ligne 1: @@
+====== Désactiver le NAT en sortie d'une SME ======
+<note>Ne concerne que les SME configurées en mode server&gateway</note>
+<note>Ne s'applique que dans certaines configurations bien spécifiques (SME derrière un autre routeur NAT en général) et demande d'adapter votre environnement (ajout de route à votre passerelle entre autre)</note>
+Dans certains cas, il peut être utile de désactiver le NAT en sortie d'une SME. Par exemple quand votre SME est derrière un autre routeur qui fait du NAT (je me sers souvent d'un pfsense en frontal). Désactiver le NAT en sortie permet de mieux contrôler et auditer le trafic (on peut voir par exemple quel poste du LAN accède à quelle ressources de la DMZ, au lieu de ne voir que l'IP externe de la SME).
+<code bash>
+mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/
+cat <<'EOF' > /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/40masqLAN
+# NAT is handled by pfsense
+    /sbin/iptables --table nat --new-chain PostroutingOutbound
+    /sbin/iptables --table nat --append PostroutingOutbound \
+        --source $OUTERNET -j ACCEPT
+    /sbin/iptables --append PostroutingOutbound -t nat -j MASQUERADE
+#    if [ -n "$OUTERIF" ]; then
+#        /sbin/iptables --append POSTROUTING -t nat \
+#           --out-interface $OUTERIF -j PostroutingOutbound
+#    fi
+EOF
+expand-template /etc/rc.d/init.d/masq
+/etc/init.d/masq restart
+</code>
+<note important>Après avoir fait ça, votre routeur frontal verra les IP internes des clients, il faut donc ajouter les routes nécessaires pour que les réponses puissent être renvoyées</note>