[HS] Mode routeur vs. Mode bridge sur une freebox

Salut,

François TOURDE a écrit :

Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.

Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le routeur/firewall
qui consomme, prend de la place et fait du bruit. Mais d'après ce que tu
as écris plus bas, ce n'est pas ton cas.

Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:

Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.

En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse* de
eth0. Et c'est tout-à-fait naturel : le fait d'affecter telle adresse à
telle interface relève plus de la facilité que d'une réelle obligation.
La machine a des interfaces réseau d'une part et des adresses IP d'autre
part, et en réalité on peut utiliser n'importe quelle adresse IP locale
avec n'importe quelle interface à l'exception de la plage 127.0.0.0/8
qui est réservée à l'interface de loopback. En dehors de cette
restriction, ton serveur se moque de savoir par quelle interface les
paquets passent, sauf si tu as mis en place des règles iptables de filtrage.

Quand la Freebox passe en routeur, la grosse différence est que
l'adresse publique appartient à la Freebox et plus au serveur.

Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.

C'est pourtant une bonne solution. De toute façon si ton serveur DNS est
accessible de l'extérieur pour gérer une ou plusieurs zones (sinon je ne
vois pas pourquoi tu parlerais de vues) tu as déjà défini des vues
interne et externe distinctes, non ? Tu utilises Bind ?

Une autre solution plus simple, si les autres postes restent derrière le
serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.

J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.

Le problème de la redirection NAT du LAN vers le LAN est un grand
classique. Pour que ça marche, il faut que le dispositif qui fait le NAT
remplisse plusieurs conditions supplémentaires par rapport au NAT
classique entre WAN et LAN :
- le NAT destination (redirection de port) doit être opérationnel sur
les paquets qui entrent par l'interface LAN ;
- le routage des paquets entrant et ressortant par l'interface LAN doit
être opérationnel ;
- le NAT source (masquerading) doit être actif sur les paquets qui
entrent et ressortent par l'interface WAN.

Les deux premières conditions sont évidentes. La troisième sert à faire
en sorte que les paquets de réponse du serveur reviennent vers le
routeur qui peut remettre l'adresse publique originale. Autrement le
serveur enverrait la réponse avec son adresse privée directement au
client qui attend une réponse de l'adresse publique.

Si une de ces conditions manque, ça ne peut pas marcher. Par contre je
suis bien incapable de te dire si le mode routeur de la Freebox remplit
ces conditions.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

François TOURDE a écrit :

Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.

Peut-on savoir pourquoi, par curiosité ?

- Je pourrais facilement faire du multivision sans inclure des modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)

Quel est le problème en mode normal ? Et en quoi ce problème sera-t-il
résolu par le passage de la Freebox en mode routeur si les postes
restent derrière le serveur/firewall ?

- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)

Même question que pour ci-dessus.

- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu

Ça laisse entendre que tu deplacerais les postes de derrière le serveur
à derrière la Freebox ?

[Définir des "vues" DNS interne et externe]

C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà défini des
vues interne et externe distinctes, non ? Tu utilises Bind ?

Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de
vues, et j'avoue que cette solution, qui va "dupliquer" certaines
infos de DNS, ne me branche pas des masses.

Certes, mais ce n'est pas bien méchant si le nombre et la taille des
zones est modeste. Je mis en place deux vues interne et externe sur mon
serveur DNS pour une raison de sécurité, qui n'a rien à voir avec la
fourniture de réponses différentes selon la provenance des requêtes :
même si on désactive la récursion pour les requêtes externes, les
données mises en cache par les requêtes internes sont accessible de
l'extérieur. Ceci peut constituer une fuite d'information, qui a
notamment été exploitée par le chercheur en sécurité informatique Dan
Kaminsky pour évaluer le nombre de réseaux contenant au moins une
machine sur laquelle était installé le fameux rootkit de Sony
(http://http://www.doxpara.com/?q=sony). Au moins avec les vues, chaque
vue a son propre cache.

Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.

Très juste. J'avoue que ça serait plus simple. Une simple règle de
DNAT et le tour est joué pour moi.

Mais ça ne marchera pas pour les postes qui sont directement derrière la
Freebox.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

François TOURDE a écrit :

Non, justement, les postes seront directement sur la Fbx

- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)

Il va quand même devoir configurer des redirections de ports dans la
Freebox, non ?

[...]

du coup je vais être obligé de mettre des vues dans mon DNS.

Ce n'est pas très compliqué. Je n'ai jamais utilisé les vues pour créer
des versions différentes d'une même zone mais pour donner accès à des
zones différentes (la vue interne a des zones privées supplémentaires et
autorise les requêtes récursives), mais j'envisagerais l'emploi d'une
directive $INCLUDE dans les fichiers de zone pour la partie commune aux
deux versions de la zone.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact