NAT de opt1 vers Lan
-
Bonjour,
Je souhaite accéder à un serveur ftp (21) d'un client spécifique sur le réseau de l'interface opt1 vers le serveur sur l'interface Lan.
Opt : 192.168.1.0/24
Lan: 192.168.2.0/24
J'ai donc créé une règle nat sur l'interface opt de la source 192.168.1.1 avec la destination du serveur 192.168.2.1
le routeur a automatiquement créé la règle de parefeu correspondante.
Mon problème est que la connexion est accepté mais elle ne se fait pas.
J'ai compris que le trafic venant du Lan était renvoyé sur le Wan (qui est ma passerelle actuellement), donc la connection Lan -> opt ne peut pas se faire.
Faut il modifier outbound NAT mode en hybride et créer une règle de mapping?
Merci -
Il y a pas mal d'incompréhension ou méconnaissance !
Les réseaux internes sont routés : ici LAN et OPT utilisent un adressage privé (RFC1918), il n'y a pas lieu de créer une règle NAT, ni penser que le trafic passe via WAN ! Une règle de NAT ne s'utilise que dans le sens inverse d'une interface interne vers une interface 'WAN' où s'exécute une translation d'adresse (=NAT Outbound) : typiquement, le flux de LAN vers WAN est 'natté", donc un flux inverse, avec un serveur dans le LAN, nécessite une règle NAT.
Un serveur FTP utilise le protocole FTP (ah bon ?), lequel nécessite une 'truc' au niveau du firewall car ce protocole peut utiliser tous les ports, et à ce titre il est fortement déconseillé par la team pfSense. De base, même avec la règle 'any to any', le flux FTP ne réussit pas à traverser un firewall pfSense : essayez avec un ftp public genre ftp.fr.debian.org/debian/ . Il est indispensable d'ajouter un package en supplément pour que FTP fonctionne correctement.
Vous devriez songer à mettre en oeuvre un autre type de serveur, car FTP est véritablement obsolète, par exemple, un serveur SFTP (à ne pas confondre avec FTPS).
-
@jdh said in NAT de opt1 vers Lan:
routés : i
Merci pour votre réponse, effectivement il s'agit d'une incompréhension liée à un manque de connaissance.
Pour faire simple je reprends un serveur ftp déja en place, le but étant effectivement de le faire evoluer en sftp. Seulement étant en production il faut que la version actuelle fonctionne.
j'ai trouvé le seul package ftp -> ftp-client-proxy mais malheureusement il semble que celui-ci soit destiné pour les clients locaux et serveurs distants. -
@jdh Si il n'y a pas besoin de NAT entre OPT et LAN comment rediriger une requete (par exemple sftp) d'un client défini du réseau OPT vers un serveur du réseau LAN?
-
Routage !
-
Entre 2 machines, il peut y avoir échange de paquets entre les 2 adresses ip de chaque machine. Si ces machines sont dans le même réseau, la communication est directe entre elles, sinon chaque machine envoient leurs paquets à leurs passerelles qui va 'router' le trafic.
Mais, si une machine est dans un réseau privé, par exemple chez un particulier ou dans une entreprise, et l'autre sur Internet, il y aura un NAT = Network Address Translation, car l'adresse privée est interdite, il faut donc 'translater' l'adresse c'est à dire remplacer l'adresse privée par l'adresse ip publique du routeur/firewall.
Le routage est le fait de changer de réseau.
Le NAT est, lors du routage, le fait de remplacer une adresse privée par l'adresse ip publique du site.Je recommande la lecture des docs de base de l'IP et en particulier celle de Christian CALECA.
-
@jdh merci pour cette explication limpide
-
@ccnet Merci pour votre réponse, dans mon cas le routeur fait automatiquement la route ou ais je besoin de la créer?
-
@tibo-0
Pfsense créé automatiquement toutes les routes nécessaires pour les interfaces et réseaux qui lui sont connectés directement. D'un autre côté c'est dans la doc .... -
Bonjour,
Le NAT est utile quand tu ne connais pas le réseau privé distant.
Dans ton cas les passerelles de tes réseaux sont sur ton pfsense.si tu fais un traceroute tu verras que ton réseau est routé.
-
Dans une 'stack ip', le fait d'activer une interface (adresse ip + masque) met à jour la table de routage de façon automatique : la machine sait qu'elle peut accéder à ce réseau via cette interface.
-
@ elliryc
"Le NAT est utile quand tu ne connais pas le réseau privé distant."Le concept m'échappe.