config iptables d'un routeur à base iptables derrière une livebox

Le
Thierry B
Bonjour,

Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.

Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.

En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.

Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.

J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.

Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.

Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.

Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.

Donc j'aurai un double nat.

Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP

# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable


Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?

Merci :-)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
on4hu
Le #9376741
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnera is 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL



Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Bonjour,

Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.

Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.

En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.

Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.

J'ai décidé de donner par exemple à la LB une ip du style: 192.168. 0.1.

Je relie la LB au port wan du routeur à qui je donne une ip en 192.168. 0.x.

Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.

Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.

Donc j'aurai un double nat.

Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETU RN
# iptables -A syn-flood -j DROP

# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable


Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?

Merci :-)



--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Thierry B
Le #9376731
on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem



Je ne connais pas trop la livebox, c''est pour le commere de mon père,
mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
impossible, de n'utiliser que la partie modem de la livebox.

On est obligé de l'utilser en modem-routeur...

2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs



Une config avec pare-feu sous iptables est tjs recommandé quand on a un
routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
ports pour voir quels sont les ports que tu as natté sur ton
routeur...alors que par exemple qque chose du genre:

# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT

fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
essaie de scanner avec un nmap.

4) utiliser le WiFi du WRT54GL



Merci.




Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Bonjour,

Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.

Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.

En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.

Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.

J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.

Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.

Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.

Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.

Donc j'aurai un double nat.

Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP

# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable


Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?

Merci :-)







--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
on4hu
Le #9376681
pour ta live box cela m'étonnerais car ce n'est jamais souhaitable de met tre
un routeur derriere un autre... alors 3... ! mais je ne connais pas la live
box
pour moi non un routeur hardware est plus interessant que d'utiliser iptabl e
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement c e
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux
un partie de ton occupation CPU est exigée autrement pas!
ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000
connexions/jour et une demi-douzaine de serveurs

Le Jeudi 21 Septembre 2006 12:42, Thierry B a écrit :
on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????
> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem

Je ne connais pas trop la livebox, c''est pour le commere de mon père,
mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
impossible, de n'utiliser que la partie modem de la livebox.

On est obligé de l'utilser en modem-routeur...

> 2) utilise ton routeur WRT54GL
> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs

Une config avec pare-feu sous iptables est tjs recommandé quand on a un
routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
ports pour voir quels sont les ports que tu as natté sur ton
routeur...alors que par exemple qque chose du genre:

# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT

fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
essaie de scanner avec un nmap.

> 4) utiliser le WiFi du WRT54GL

Merci.

> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>> Bonjour,
>>
>> Même si ca n'utilise pas explicitement une debian, je pense que l'on
>> peut me répondre sur la liste.
>>
>> Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
>> un firmware à base linux: openwrt et qui donc peut utiliser iptables.
>>
>> En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
>> + dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
>>
>> Je voulais avoir votre avis sur la config que je vais utiliser + sur
>> certains petits points dans iptables.
>>
>> J'ai décidé de donner par exemple à la LB une ip du style: 192.1 68.0.1.
>>
>> Je relie la LB au port wan du routeur à qui je donne une ip en
>> 192.168.0.x.
>>
>> Après je fais une dmz, pour rediriger tout ce qui vient sur la LB ve rs
>> l'ip wan du routeur.
>>
>> Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
>> ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
>> 192.168.1.qque chose.
>>
>> Donc j'aurai un double nat.
>>
>> Au niveau de la config iptables, j'ai certaines règles que j'hésit e à
>> mettre car je ne suis pas sure de leur utilités:
>>
>> # Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
>>
>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
>>
>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP
>>
>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>
>> Je me dis que ces règles de securité peuvent pour un simple nat
>> classique mais pour une double nat, peut-etre que la livebox, filtrera
>> ces paquets parasites non?
>>
>> Merci :-)



--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Pascal Hambourg
Le #9376651
Salut,

on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te donnerais 3
routeurs l' un derrière l'autre ????



Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.

1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem



Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.

2) utilise ton routeur WRT54GL



C'est bien ce que ThierryB a annoncé avoir l'intention de faire.

3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs



Ben voyons...

4) utiliser le WiFi du WRT54GL



C'est bien ce que ThierryB a annoncé avoir l'intention de faire.

Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :

Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.





Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)

Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter





Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.

# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects





Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.

# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP





4 TCP SYN par seconde me paraît très faible.

# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?





Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9376621
on4hu a écrit :
ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...



Ça alors ! Et pourtant :

$ traceroute www.debian.org
traceroute to www.debian.org (194.109.137.218)
1 lo1-lns102-tip-voltaire.nerim.net (62.4.16.251)
2 gi0-3-2-svenny.nerim.net (62.4.16.6)
3 gi0-1-thevenin.nerim.net (194.79.130.21)
4 po2-0-giaco.nerim.net (194.79.130.46)
5 ams-ix.tc2.xs4all.net (195.69.144.166)
6 0.so-7-0-0.xr2.3d12.xs4all.net (194.109.5.13)
7 0.so-2-0-0.cr1.3d12.xs4all.net (194.109.5.74)
8 klecker.debian.org (194.109.137.218)

Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)

pour moi non un routeur hardware est plus interessant que d'utiliser iptable
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement ce
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux
un partie de ton occupation CPU est exigée autrement pas!



Pour une connexion ADSL, la charge induite par le routage et le filtrage
par iptables est négligeable.

ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000
connexions/jour et une demi-douzaine de serveurs



1000 connexions par jour, c'est vraiment très peu. En P2P, ça peut être
10000 connexions simultanées.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
on4hu
Le #9376611
1 = LB
2 = Linksys
3 = iptable de cette machine Linux



Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :
Salut,

on4hu a écrit :
> perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> donnerais 3 routeurs l' un derrière l'autre ????

Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.

> 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> modem

Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.

> 2) utilise ton routeur WRT54GL

C'est bien ce que ThierryB a annoncé avoir l'intention de faire.

> 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> d'ailleurs

Ben voyons...

> 4) utiliser le WiFi du WRT54GL

C'est bien ce que ThierryB a annoncé avoir l'intention de faire.

> Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
>>Même si ca n'utilise pas explicitement une debian, je pense que l'on
>>peut me répondre sur la liste.

Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)

>>Au niveau de la config iptables, j'ai certaines règles que j'hésite à
>>mettre car je ne suis pas sure de leur utilités:
>>
>># Refuser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.

>> # Journaliser les adresses sources falsifiées ou non routables
>> # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
>>
>> # Ignorer les messages de diffusion ICMP
>> # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> # Ne pas envoyer de messages redirigés
>> # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.

>> # Anti Flood
>> # iptables -N syn-flood
>> # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
>> # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
>> RETURN # iptables -A syn-flood -j DROP

4 TCP SYN par seconde me paraît très faible.

>> # Rejets
>> # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
>> # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
>>
>>Je me dis que ces règles de securité peuvent pour un simple nat
>>classique mais pour une double nat, peut-etre que la livebox, filtrera
>>ces paquets parasites non?

Peut-être, peut-être pas. Mais ça ne mange pas de pain de considé rer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !



--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
on4hu
Le #9376581
oui ça marche mais pourquoi faire simple quand on peut faire compliqué. ..
fait une trace et regarde le temps perdu....

Le Jeudi 21 Septembre 2006 16:54, Pascal Hambourg a écrit :


on4hu a écrit :
> ce n'est jamais souhaitable de mettre
> un routeur derriere un autre... alors 3...

Ça alors ! Et pourtant :

$ traceroute www.debian.org
traceroute to www.debian.org (194.109.137.218)
1 lo1-lns102-tip-voltaire.nerim.net (62.4.16.251)
2 gi0-3-2-svenny.nerim.net (62.4.16.6)
3 gi0-1-thevenin.nerim.net (194.79.130.21)
4 po2-0-giaco.nerim.net (194.79.130.46)
5 ams-ix.tc2.xs4all.net (195.69.144.166)
6 0.so-7-0-0.xr2.3d12.xs4all.net (194.109.5.13)
7 0.so-2-0-0.cr1.3d12.xs4all.net (194.109.5.74)
8 klecker.debian.org (194.109.137.218)

Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)

> pour moi non un routeur hardware est plus interessant que d'utiliser
> iptable même avec un serveur et sauf si tu utilise un PC sous linux c omme
> routeur je maintient que le WRT54GL est plus interessant et peut faire
> exactement ce que tu veux faire avec un PC supplémentaire sans compter
> que même sous Linux un partie de ton occupation CPU est exigée autr ement
> pas!

Pour une connexion ADSL, la charge induite par le routage et le filtrage
par iptables est négligeable.

> ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >10 00
> connexions/jour et une demi-douzaine de serveurs

1000 connexions par jour, c'est vraiment très peu. En P2P, ça peut être
10000 connexions simultanées.



--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Pascal Hambourg
Le #9376541
on4hu a écrit :
1 = LB
2 = Linksys
3 = iptable de cette machine Linux



2 = 3 (firmware Linux avec iptables)
Ou alors je n'ai rien compris au message initial.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9376531
on4hu a écrit :

ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3...



Ça alors ! Et pourtant :

$ traceroute www.debian.org




[...]
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)



oui ça marche mais pourquoi faire simple quand on peut faire compliqué...
fait une trace et regarde le temps perdu....



C'est tout vu. La latence totale de 40 ms provient essentiellement de ma
connexion ADSL entre moi et mon FAI (30 ms sur le hop n° 1) et du lien
Paris-Amsterdam (+10 ms entre les hops 3 et 4). Le reste, c'est négligeable.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Thierry B
Le #9376521
on4hu a écrit :
1 = LB
2 = Linksys
3 = iptable de cette machine Linux



Désolé, c'est peut-etre moi qui me suis mal exprimé mais justement
iptables je l'utilise avec le linksys (c'est pas pour rien, que je l'ai
flashé avec openwrt qui est un formware linux) enfin apparemment, Pascal
avait compris :-)



Le Jeudi 21 Septembre 2006 16:44, Pascal Hambourg a écrit :
Salut,

on4hu a écrit :
perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
donnerais 3 routeurs l' un derrière l'autre ????


Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.

1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
modem


Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.

2) utilise ton routeur WRT54GL


C'est bien ce que ThierryB a annoncé avoir l'intention de faire.

3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs


Ben voyons...

4) utiliser le WiFi du WRT54GL


C'est bien ce que ThierryB a annoncé avoir l'intention de faire.

Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.




Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)

Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:

# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter




Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/<interface>/.
D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.

# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects




Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.

# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
RETURN # iptables -A syn-flood -j DROP




4 TCP SYN par seconde me paraît très faible.

# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable

Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?




Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !







--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme