Récupération gestion NAT



  • Bonjour a tous,

    je suis actuellement à la recherche d'une solution pour gérer le NAT de notre société qui est actuellement gérer sur le routeur de notre ISP sauf qu'il sont entrain de changer leur contrat et veulent nous faire payer la gestion du nat donc je cherches une solution pour le faire nous même :)

    Voici grosso-modo notre fonctionenemtn actuel:
    le routeur actuel gére le nat de 3 pools d'adresse ip qui reprensente environ 1 classe C (c'est pas une classe C complete) et au niveau du routeur il y a la patte WAN et la patte LAN qui a une ip privé (10.5.1.1)

    Sur notre LAN nous avons tous les pc qui ont cette IP (10.5.1.1) en passerelle et tout fonctionne nickel (ils sont visibles sur l'internet et ont aussi accés en sortie).

    Maintenant d'aprés les infos que j'ai notre ISP va nous router les 3 classes C publiques sur un serveur qui va faire tourner pfsense et à nous de gérer le routage nat de tout ca.

    Sauf que la j'ai ne sais pas trop comment gérer dans pfsense ces classes C pour le nat.
    L'idéal c'est comme actuellement le cas, avoir du 1 pour 1 en nat static c'est trés simple et ca marche nickel.

    Au niveau des regles de firewall, pour certaines ip on a besoin d'ouvrir tous les ports pour d'autre seulement 1 ou 2.

    Est ce que vous pourriez me dire comment faire pour gérer la situation ?

    Merci d'avance.



  • Bonsoir a tous,

    A priori je pense avoir trouvé une solution en lisant tous les forums (ca m'a pris pas mal de temps)

    Donc la solution a mon problème serait de faire du proxy ARP sur mes ips publics puis ensuite du nat 1:1 pour celles qui doivent être visible sur le net.

    Donc au niveau de pfsense, si j'ai bien sur tout compris, il me faut déclarer mes blocs d'ip public en tant qu'adresse virtuelle relié sur ma patte WAN
    Puis une fois déclarée, j'active le nat 1:1 en faisant une regle pour chaque mappage ip public <-> ip privée.

    Par contre il y a un truc que j'ai pas tout a fait saisit, faut-il en plus que je rajoute une regle au niveau du firewall pour laisser passer le traffic sur TOUS les ports ou par defaut en faisant du nat 1:1 le firewall laissera le traffic passer sur TOUS les ports des ip qui sont dans le nat ?

    Et enfin dans le cas, ou je dois faire une règle dans le firewall si la encore j'ai tout compris je dois appliquer ma règle sur l'ip privée et non sur l'ip public (déclaré comme virtuelle)?

    j'espere être assez claire dans mes questions ;)

    Si par contre je me plante ou s'il y a uen solution plsu simple merci de me l'indiquer ;)



  • personne ne peut m'aider sur mes petites questions de firewall avec du nat 1:1 ?????



  • Cela devrait en effet fonctionner.  ;D

    Le moteur de NAT intervient avant le filtrage donc les actions s'effectuent dans cet ordre :
      - configuration du NAT (1:1 dans votre cas)
      - création d'une règle de filtrage pour autoriser le traffic (selon vos besoins), sur la carte ou se présente le paquet (donc WAN pour vous) en direction de la machine cible (le NAT étant déjà effectué, la destination est donc une IP privée).


Log in to reply