1

Configurer un simple petit routeur NAT sous Debian Jessie

Cet article est un petit mémo sur comment créer simplement un petit routeur sous Debian, qui sera configuré pour interconnecter deux réseaux avec du NAT(Network Address Translation).

Configurer un simple petit routeur sous Debian Jessie

Dans la cas pratique de cet article, le but est d’interconnecter deux réseaux assez rapidement et simplement via du NAT. Les nœuds derrière le NAT, leur seul besoin est de pouvoir accéder vers l’autre réseau (internet ou intranet) et sont paramétrés en IP statique. Les serveurs Proxy et DNS sont sur le réseau derrière le routeur. La passerelle qui permet d’interconnecter physiquement les deux réseaux est un routeur configurer dans le mode bridge. Le serveur NAT doit posséder deux interfaces réseaux.

Les paramétrages réseaux :

  • IP privée routeur/passerelle : 10.10.8.1/21
  • IP Proxy et DNS : 10.10.8.20/21
  • Ip serveur Debian : eth0 10.10.8.21/21 et eth1 192.168.0.254/24
  • IP passerelle NAT : 192.168.0.254/24
  • Réseau IP client : 192.168.0.0/24

Schéma de principe :
Debian8-routeurNAT

Configuration du serveur Debian en routeur NAT

La base de mon serveur routeur est une Debian Jessie. Toutes les commandes décrites dans le tutoriel sont exécutées en tant que root.

  • Activer le routage des paquets IP :
  • nano /etc/sysctl.conf

    Dé-commenter la ligne 28 :

    # Uncomment the next line to enable packet forwarding for IPv4
    net.ipv4.ip_forward=1
    

    Prise en compte de la configuration :

    sysctl -p
  • Configuration de la régle d’iptables pour permettre le NAT sur l’interface réseau connecté au routeur physique:
  • iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  • Sauvegarde de la régle d’Iptables :
  • iptables-save > /etc/iptables_rules.save
  • Édition du fichier de configuration réseau :
  • nano /etc/network/interfaces
    auto eth0
    iface eth0 inet static
    address 10.10.8.21
    netmask 255.255.248.0
    gateway 10.10.8.1 ##Ip privée du routeur physique
    post-up iptables-restore < /etc/iptables_rules.save## c'est ici qui est restauré la règle d'Iptables pour le NAT
    
    auto eth1
    iface eth1 inet static
    address 192.168.0.254
    netmask 255.255.255.0
    
  • Relancer le service networking pour la prise en compte des nouveaux paramétrages réseau :
  • systemctl restart networking

Configuration des postes client

exemple de configuration d’un PC sous debian :
NAT-www

Vérification des routes et la table ARP sur le serveur NAT

Sur le serveur NAT, avec l’aide de la commande ip vérifier :

  • les routes :
  • ip route
    default via 10.10.8.1 dev eth0 
    10.10.8.0/21 dev eth0  proto kernel  scope link  src 10.10.8.21 
    192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.254
    
  • la table ARP :
  • ip neigh
    10.10.8.1 dev eth0 lladdr b8:af:67:07:b5:01 STALE
    192.168.0.20 dev eth1 lladdr aa:ec:d1:fa:9c:ae STALE
    10.10.8.20 dev eth0 lladdr 62:74:2b:b1:58:40 STALE
    

Vérification des routes et la table ARP sur un client du réseau derrière le NAT

debian-client-nat

Partager l'article :





fred

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à cacher, c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous prétexte qu'on a rien à dire." Edward Snowden

One Comment

  1. salut. merci pour ce tuto clair et precis. suis tout a fait d’accord sur le punk and rock nroll. meme ecole.. cependant j’ai un probleme a te soumettre…
    voici mes sortie de terminal:
    root@anima:/home/al# ip route
    default via 192.168.1.254 dev eth0
    192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.46
    192.168.10.0/24 dev firewire0 proto kernel scope link src 192.168.10.10
    root@anima:/home/al# ip neigh
    192.168.1.254 dev eth0 lladdr 00:1b:bf:1c:bb:ea REACHABLE
    192.168.10.9 dev firewire0 lladdr 00:1e:c2:ff:fe:f7:8a:96:0b:02:00:01:00:00:00:00 REACHABLE
    192.168.1.19 dev eth0 lladdr 00:1e:c2:0f:78:a5 REACHABLE
    je n’ai qu’une ethernet sur mon serveur, par contre fw est configure et je peux ssh entre le Imac et le debian.
    l’idee serait de relayer le traffic internnet via le fw0 vers le mac. rester derriere le debian en routeur et firewall, n’utiliser le bbox bouygues seulement en passerelle. et pouvoir disposer de mon ethernet Imac pour d’autres choses voire m’en passer. suis a un stade de la config debian ou il me faut faire un choix..on ne peut bridger eth0 et fw0 brctl veut rien savoir… toutes mes configs sont statiques et dhcp ne me parait pas une bonne solution. en te remerciant par avance

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *