Configuration PAT/NAT sur firewall PIX

[invite8f1ef0ad]

Bonjour,

Je rencontre actuellement le problème suivant:
J'ai 2 interfaces sur un firewall (PIX 520, OS 6.3.3)
- outside avec IP_PUBLIC
- inside avec IP_PRIVATE

j'ai activé le NAT, et j'ai défini quelques PAT avec la commande static :

voici un exemple:

static (inside,outside) tcp interface www IP_PRIVATE_WEB www netmask 255.255.255.255 0 0

Cette commande fonctionne très bien si je me trouve à l'extérieur, et que j'attaque le firewall directement par l'interface "outside".

Par contre, j'ai la contrainte suivante: depuis mon LAN, je dois pouvoir accéder au serveur web en utilisant le même DNS, qui pointe vers l'adresse IP_PUBLIC. Et c'est la que ça coince.

Il faudrait que le firewall NAT IP_PRIVATE_CLIENT -> IP_PUBLIC -> IP_PRIVATE_WEB.
Et la ça coince. Est-ce quelqu'un a une idée de la configuration qui me manque pour que cela puisse fonctionner ?

Je ne sais pas si il y a cette compétence sur le forum, mais a tout hasard j'essaye
-----

[invite4ad25ccf]

Ca doit être possible, mais AHMA c'est inmaintenable. Je pense que tu prends le problème à l'envers.
En effet, pourquoi ton DNS pointe sur @ publique lorsque tu es en privé ? Tu n'as pas moyen de faire des vues pour corriger cela ?

Un extrait de mon named.conf

Code:

view "internal" {
        match-clients { local; };
        recursion yes;
        zone "mydomain.com" IN {
                type master;
                file "/etc/bind/mydomain.local";
                allow-query { local; };
        };
};

view "external" {
        match-clients { any; };
        recursion no;

        zone "mydomain.com" IN {
                type master;
                file "/etc/bind/mydomain.any";
                allow-transfer { dns_secondary; };
                allow-query { any; };
                notify yes;
        };
};

Ainsi je suis capable de donner @ publique ou privée de mon serveur www suivant qui interroge le DNS. C'est beaucoup plus propre, maintenable et évolutif je pense.

[invite8f1ef0ad]

Je suis tout a fait d'accord avec toi, c'est ce que j'ai proposé, mais même si cela se fait, il faut dans un premier temps que la nouvelle config du firewall soit 100% compatible avec celui que l'on a maintenant (un Zyxel ZyWall 35 grand public). Celui-ci permettait de contacter les serveurs internes depuis l'intérieur en utilisant le port forwarding sur l'IP public...

Et puis tout le monde n'a pas la chance d'avoir bind9 =)

Je pense sincèrement que cette configuration est largement possible sur le cisco, mais je seche pour la trouver.

[invite8f1ef0ad]

Je me réponds tout seul,
en effet, après avoir passer un bon morceau de journée a chercher, il semble que ce n'est pas possible. Il y a un moyen de contourner le probleme en utilisant le "DNS doctoring" mais ce n'est pas applicable dans mon cas.

Je vais me retourner sur ma config DNS

[A voir en vidéo sur Futura]