Auteur: NicoTy (195.101.193.---)
Date: 18-09-01 15:32
Bonjour à tous,
J'utilise depuis quelques jours un firewall Netfilter 1.2 sous Linux 2.4.4 afin de protéger un serveur Apache. J'ai utilisé une redirection du port 80 du firewall vers le port 80 de mon serveur web via la ligne suivante :
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport www -j DNAT -d ${IP_ETH1} --to ${IP_WEB_SERVER}:80
(IP_ETH1=Adresse IP externe de mon firewall)
Celà fonctionne parfaitement à ceci près que le serveur Apache logue l'adresse IP de l'interface interne de mon firewall au lieu de loguer les adresses IP des visiteurs. Ceci fausse donc nos analyses de la fréquentation du site et déboussole nos analyseurs de logs...
Je n'ai pourtant jamais utilisé utilisé de lignes de configuration de style SNAT avec iptables... L'adresse source de mes paquets IP ne devraient donc pas être modifiée par mon firewall !
Partant de ce constat, j'ai analysé le traffic généré sur le serveur Web par des requêtes Html provenant de l'extérieur du réseau, et observé le résultat produit par un Tcpdump. Verdict : les requêtes Html provenant de l'extérieur et venant "frapper" le serveur web sur le port 80 sont reconnues avec les bonnes adresses IP externes (et non pas celle du firewall comme on pourrait s'y attendre) !
Il faut également noter que j'utilisais auparavant Ipchains avec ce serveur Apache sans aucun problème de logs.
Exemple de logs Apache avce IPchains (les @ IP externes sont correctes):
62.161.78.xxx - - [28/Nov/2000:23:33:09 +0100] "GET /icons/flags/fr.png HTTP/1.1" 200 191 "http://www.monserveur.com/cgi-bin/awstats/awstats.pl" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
62.161.78.xxx - - [28/Nov/2000:23:33:10 +0100] "GET /icons/flags/nl.png HTTP/1.1" 200 214 "http://www.monserveur.com/cgi-bin/awstats/awstats.pl" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)"
Exemple de logs Apache avec Netfilter (les @ IP sont celles de l'interface du firewall) :
10.0.0.254 - - [18/Sep/2001:15:29:09 +0200] "GET /images/expert.gif HTTP/1.1" 200 2895 "http://www.monserveur.com/groupe/menu_presentation.htm" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
10.0.0.254 - - [18/Sep/2001:15:29:09 +0200] "GET /images/mains.gif HTTP/1.1" 200 2270 "http://www.monserveur.com/groupe/menu_presentation.htm" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
Ne sachant trop que faire face à ce problème, je fais appelle à vos lumières en espérant que vous pourrez me dépanner... Quelqu'un a-t'il déjà rencontré ce problème ? Avez-vous une solution à me proposer ?
Merci d'avance et à très bientôt,
NicoTy
|
|