je suis en train de rechercher des solutions à un problème un peu particulier. Je travaille pour l’instant sur papier et je n’ai pas les moyens matériels de tester ce que j’envisage.
je souhaite faire du port forwarding entre mon LAN et mon WAN mais d’une manière un peu différente de d’habitude…
en fait, je veux rediriger certains flux en provenance de mon LAN vers des serveurs externes (non connectés directement à packet filter mais au-delà d’un WAN). Je suis susceptible de changer le raccordement de mon LAN pour le raccorder à un autre WAN avec d’autres serveurs assurant les mêmes fonctionnalités que les premiers mais avec des adresses différentes. (PF fait toujours la passerelle pour mon LAN vers le routeur qui accède au WAN en faisant en plus du NAT dynamique).
PF étant le point de passage obligé de tous mes flux, plutôt que de reconfigurer les machines de mon réseau, j’envisage d’utiliser le redirect de PF et d’avoir sous le coude plusieurs fichiers de configuration pf.conf avec un redirect différent selon la situation… (j’espère que c’est assez clair …)
finalement ma question c’est, le rediredt de pf modifie-t-il l’adresse IP destination de mon datagramme IP ou triche-t-il en effectuant juste une requête ARP sur l’adresse entrée dans le redirect pour renvoyer le datagramme IP vers un poste (serveur) connecté sur une des pattes du pare-feu ???
ça revient à savoir si mon redirect peux me permettre de cibler des machines lointaines où seulement celles branchées sur des LAN directement connectés à PF.
Je pense qu’Emouchet veut configurer en dur ses machines pour accéder à une IP ‹ fictive › et que ce soit PF qui fait l’éguilleur pour envoyer les paquets vers la « bonne » IP, selon la config. Cela me paraît pas très propre, mais c’est tout à fait réalisable.
Exemple, si $ip_fictive est l’IP fictive configurée sur les machines, et $ip_dest1 et $ip_dest2 l’ip réelle des serveurs, il faudrait une config du genre :
rdr on $if_lan proto tcp from any to $ip_fictive → $ip_dest1
J’ai testé sur mon routeur avec cet exemple :
rdr on $def_if proto tcp from any to 1.1.1.1 → 212.27.48.10
Quand je met http://1.1.1.1 dans mon navigateur, je tombe bien sur le site de Free.
voilà c’est tout à fait ça, je sais que ça ne fait pas très propre mais la situation est très particulière. en fait j’adresse mon serveur (proxy ou DNS par exemple) par défaut dans mes machines et je voulais profiter de la redirection pour viser par exemple un autre proxy dans un cas assez particulier. Ce qui fait que selon les cas, je charge une configuration différente dans mon PF sans changer la configuration des machines de mon réseau derrière.
Merci pour le test. Sinon j’avais eu une autre réponse en cherchant dans la doc de pf qui confirme le résultat de ton expérience, il change bien l’@IP de destination et ne triche pas en faisant juste une requête ARP pour atteindre une machine positionnée sur un LAN directement connecté.
