DNAT

De ClissXXI.

DNAT, dans iptables, permet de rediriger des ports ou même un adresses IP depuis une adresse IP publique vers une machine du réseau interne.

Il se peut que, dans le cas où l'on souhaite placer une machine publique derrière un pare-feu, le router conserve en mémoire l'association (table ARP) de la machine avec l'IP publique (que l'on souhaite réattribuer au pare-feu). Dans ce cas, arpspoof fournit un usage légitime qui permet de forcer la mise à jour du cache ARP du router:

arpspoof -i eth0 -t 291.92.93.254 291.92.93.235

va demander au routeur (291.92.93.254) d'attribuer 291.92.93.235 (l'IP publique) au pare-feu. Le pare-feu est dans ce cas sur une troisième IP (par exemple 291.92.93.252), mais ce n'est pas déterminant, car c'est l'adresse MAC du pare-feu qui est utilisée pour l'association.

Ceci est nécessaire dans le cas l'alias IP (plusieurs IPs sur la même carte réseau), car vraisemblablement le noyau Linux n'annonce pas (annonce ARP) les IP alias, il se contente d'annoncer l'IP principale de la carte autant de fois qu'il y a d'alias... À creuser.

Outils personnels