*Box et règles de filtrage arbitraires

Le
Tanguy Ortolo
Bonjour,

Toujours dans ma recherche d'un FAI pouvant me convenir… Sauriez-vous
quelles *Box permettent d'insérer des règles de filtrage et de NAT
arbitraires ?

Typiquement, je voudais pouvoir DNATer un certain trafic entrant
(disons le TCP 22, pour fixer les idées) vers une machine locale.
C'est extrèmement classique, et toutes les *Box le permettent, sauf
que : pour reconnaître ce trafic, elle altèrent uniquement ce qui
leur arrive par l'ADSL ppp0,
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22
-j DNAT --to-destination 192.168.0.12

Or, justement, ça ne me suffit pas, puisque je voudrais que le trafic
venant de mon réseau (donc arrivant sur une interface ethX de la *Box)
soit altéré de la même façon, ce que je ferais plutôt ainsi :
iptables -t nat -A PREROUTING -d $MON_IP_PUBLIQUE -p tcp --dport 22
-j DNAT --to-destination 192.168.0.12

Bref, une belle règle personnelle, non prévue par le FAI. Est-ce que
certaines *Box permettent ce genre de manipulation, sans les effacer au
prochain redémarrage ? Ou est-ce que mon seul espoir consiste à
remplacer ou compléter la *Box par un routeur NAT perso ?

--
Tanguy

Au fait, si quelqu'un connaît un moyen de préciser « l'adresse IP de
l'interface ppp0 » comme règle de filtrage iptables, ça m'intéresse,
parce que ce serait plus robuste que de préciser l'adresse directement.
:-)
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #17964521
Salut,

Tanguy Ortolo a écrit :

Typiquement, je voudais pouvoir DNATer un certain trafic entrant
(disons le TCP 22, pour fixer les idées) vers une machine locale.
C'est extrèmement classique, et toutes les *Box le permettent, sauf
que : pour reconnaître ce trafic, elle altèrent uniquement ce qui
leur arrive par l'ADSL ppp0,
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22
-j DNAT --to-destination 192.168.0.12

Or, justement, ça ne me suffit pas, puisque je voudrais que le trafic
venant de mon réseau (donc arrivant sur une interface ethX de la *Box)
soit altéré de la même façon, ce que je ferais plutôt ainsi :
iptables -t nat -A PREROUTING -d $MON_IP_PUBLIQUE -p tcp --dport 22
-j DNAT --to-destination 192.168.0.12



Il me semble que certaines Freebox au moins le font (je ne dis pas que
du mal de la Freebox). Mais attention, d'après certains témoignages le
SSH n'est pas fameux partout en non dégroupé aux heures de pointe.

Au fait, si quelqu'un connaît un moyen de préciser « l'adresse IP de
l'interface ppp0 » comme règle de filtrage iptables, ça m'intéresse,
parce que ce serait plus robuste que de préciser l'adresse directement.



Directement, pas que je sache. En revanche indirectement il y a des
moyens. J'utilise un script dans /etc/ppp/ip-up.d/ pour créer les règles
iptables dépendant du nom de l'interface PPP ou de l'adresse IP négociée
à la connexion (et un script symétrique dans /etc/ppp/ip-down.d/ pour
effacer ces règles à la déconnexion). Exemple :

iptables -A <chaine> -i $PPP_IFACE -d $PPP_LOCAL [...]

On doit pouvoir aussi utiliser ipset et la correspondance 'set', mais je
n'ai jamais fait.

PS : évite de placer un PS après la signature, ça apparaît comme faisant
partie de la signature que les lecteurs de news bien élevés ne citent
pas, ce qui m'a obligé à recopier à la main.
Jil S
Le #17965091
Tanguy Ortolo a écrit :
Bonjour,

Toujours dans ma recherche d'un FAI pouvant me convenir… Sauriez-vous
quelles *Box permettent d'insérer des règles de filtrage et de NAT
arbitraires ?

Typiquement, je voudais pouvoir DNATer un certain trafic entrant
(disons le TCP 22, pour fixer les idées) vers une machine locale.
C'est extrèmement classique, et toutes les *Box le permettent, sauf
que : pour reconnaître ce trafic, elle altèrent uniquement ce qui
leur arrive par l'ADSL ppp0,
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 22
-j DNAT --to-destination 192.168.0.12

Or, justement, ça ne me suffit pas, puisque je voudrais que le trafic
venant de mon réseau (donc arrivant sur une interface ethX de la *Box)
soit altéré de la même façon, ce que je ferais plutôt ainsi :
iptables -t nat -A PREROUTING -d $MON_IP_PUBLIQUE -p tcp --dport 22
-j DNAT --to-destination 192.168.0.12

Bref, une belle règle personnelle, non prévue par le FAI. Est-ce que
certaines *Box permettent ce genre de manipulation, sans les effacer au
prochain redémarrage ? Ou est-ce que mon seul espoir consiste à
remplacer ou compléter la *Box par un routeur NAT perso ?



crosspost avec fr.comp.reseaux.ip
Yannick Palanque
Le #17969341
Tanguy Ortolo écrivit :
Toujours dans ma recherche d'un FAI pouvant me convenir… Sauriez-vous
quelles *Box



Maintenant FAI implique *Box ? Triste époque !

Pourquoi pas du vrai Internet 1.0 ?

--
« Quand je serai grand, je ferai des bug reports sur la LKML »
-- Octane in fcolm * NNTP vaincra ! *
Un bon site web se visite agréablement sans mise en forme et
sans images. Sauvez un site web, mangez un webdesigner.
Tanguy Ortolo
Le #17971571
Le Wed, 26 Nov 2008 19:29:25 +0100, Yannick Palanque a écrit :
Tanguy Ortolo écrivit :
Toujours dans ma recherche d'un FAI pouvant me convenir… Sauriez-vous
quelles *Box



Maintenant FAI implique *Box ? Triste époque !



Oh, non, mais de toute façon, il me faut un modem ADSL, un client PPP et
un routeur NAT, et il se trouve que les *Box font plutôt bien l'affaire.
Notez que j'inclus les modems-routeurs perso dans les *Box.

Pourquoi pas du vrai Internet 1.0 ?



Pourquoi pas, ceci dit je préfèrerais de la fibre, question de débit
montant (le débit descendant, je m'en moque, il est toujours largement
suffisant, mais le débit montant des ADSL est pitoyable). IPv6 ?
Publicité
Poster une réponse
Anonyme