Configuration étape par étape de NAT avec iptables

Ce tutoriel montre comment configurer la traduction d’adresses réseau (NAT) sur un système Linux avec des règles iptables afin que le système puisse agir comme une passerelle et fournir un accès Internet à plusieurs hôtes sur un réseau local en utilisant une seule adresse IP publique. Cela est réalisé en réécrivant les adresses source et/ou destination des paquets IP lorsqu’ils passent par le système NAT.

Exigences :

CPU - PII ou plus
OS - Toute distribution Linux
Logiciel - Iptables
Cartes d’interface réseau : 2

Voici mes considérations :

Remplacez xx.xx.xx.xx par votre IP WAN

Remplacez yy.yy.yy.yy par votre IP LAN

(i.e. 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 comme suggéré par M. tzs)

WAN = eth0 avec IP publique xx.xx.xx.xx
LAN = eth1 avec IP privée yy.yy.yy.yy/ 255.255.0.0

Procédure étape par étape

Étape #1. Ajoutez 2 cartes réseau à la boîte Linux

Étape #2. Vérifiez les cartes réseau, si elles sont installées correctement ou non

ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l

( La sortie doit être “2”)

Étape #3. Configurez eth0 pour Internet avec une IP publique (IP réseau externe ou Internet)

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=none
BROADCAST=xx.xx.xx.255    # Entrée optionnelle
HWADDR=00:50:BA:88:72:D4    # Entrée optionnelle
IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.0    # Fournie par le FAI
NETWORK=xx.xx.xx.0       # Optionnel
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
IPV6INIT=no
PEERDNS=yes
GATEWAY=xx.xx.xx.1    # Fournie par le FAI

Étape #4. Configurez eth1 pour LAN avec une IP privée (réseau interne privé)

cat /etc/sysconfig/network-scripts/ifcfg-eth1

BOOTPROTO=none
PEERDNS=yes
HWADDR=00:50:8B:CF:9C:05    # Optionnel
TYPE=Ethernet
IPV6INIT=no
DEVICE=eth1
NETMASK=255.255.0.0        # À spécifier selon vos besoins
BROADCAST=””
IPADDR=192.168.2.1        # Passerelle du LAN
NETWORK=192.168.0.0        # Optionnel
USERCTL=no
ONBOOT=yes

Étape #5. Configuration de l’hôte (Optionnel)

cat /etc/hosts

127.0.0.1 nat localhost.localdomain localhost

Étape #6. Configuration de la passerelle

cat /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=nat
GATEWAY=xx.xx.xx.1 # Passerelle Internet, fournie par le FAI

Étape #7. Configuration DNS

cat /etc/resolv.conf

nameserver 203.145.184.13 # Serveur DNS principal fourni par le FAI
nameserver 202.56.250.5 # Serveur DNS secondaire fourni par le FAI

Étape #8. Configuration NAT avec IP Tables

iptables --flush            # Vider toutes les règles dans les tables filter et nat

iptables --table nat --flush

iptables --delete-chain

iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

service iptables restart

Étape #9. Test

ping 192.168.2.1

Essayez-le sur vos systèmes clients

ping google.com

Configuration des PC sur le réseau (Clients)

• Tous les PC du réseau privé de bureau doivent définir leur “passerelle” sur l’adresse IP du réseau privé local de l’ordinateur passerelle Linux.
• Le DNS doit être défini sur celui du FAI sur Internet.
Configuration Windows ‘95, 2000, XP :

•   Sélectionnez “Démarrer” + “Paramètres” + “Panneau de configuration”
•   Sélectionnez l’icône “Réseau”
•   Sélectionnez l’onglet “Configuration” et double-cliquez sur le composant “TCP/IP” pour la carte Ethernet. (PAS le TCP/IP -> Adaptateur de composition)
•   Sélectionnez les onglets :
o   ”Passerelle” : Utilisez l’adresse IP du réseau interne de la boîte Linux. (192.168.2.1)
o   ”Configuration DNS” : Utilisez les adresses IP des serveurs de noms de domaine du FAI. (Adresse IP réelle d’Internet)
o   ”Adresse IP” : L’adresse IP (192.168.XXX.XXX - statique) et le masque de sous-réseau (généralement 255.255.0.0 pour un petit réseau de bureau local) du PC peuvent également être définis ici.