[HS] Mode routeur vs. Mode bridge sur une freebox

Le
fra-duf-no-spam
Salut.

Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.

Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:

Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.

Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.

J'ai besoin d'un coup de main pour comprendre d'où viens réelleme=
nt le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.

En espérant avoir été assez clair, ce dont je doute :)

--
Le cerveau est un merveilleux organe. Il démarre au moment où vous
vous levez et ne s'arrête qu'au moment où vous arrivez au bureau.
-+- Robert Lee Frost (1874-1963) -+-
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #9409261
Salut,

François TOURDE a écrit :

Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.



Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le routeur/firewall
qui consomme, prend de la place et fait du bruit. Mais d'après ce que tu
as écris plus bas, ce n'est pas ton cas.

Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:

Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.



En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse* de
eth0. Et c'est tout-à-fait naturel : le fait d'affecter telle adresse à
telle interface relève plus de la facilité que d'une réelle obligation.
La machine a des interfaces réseau d'une part et des adresses IP d'autre
part, et en réalité on peut utiliser n'importe quelle adresse IP locale
avec n'importe quelle interface à l'exception de la plage 127.0.0.0/8
qui est réservée à l'interface de loopback. En dehors de cette
restriction, ton serveur se moque de savoir par quelle interface les
paquets passent, sauf si tu as mis en place des règles iptables de filtrage.

Quand la Freebox passe en routeur, la grosse différence est que
l'adresse publique appartient à la Freebox et plus au serveur.

Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.



C'est pourtant une bonne solution. De toute façon si ton serveur DNS est
accessible de l'extérieur pour gérer une ou plusieurs zones (sinon je ne
vois pas pourquoi tu parlerais de vues) tu as déjà défini des vues
interne et externe distinctes, non ? Tu utilises Bind ?

Une autre solution plus simple, si les autres postes restent derrière le
serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.

J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.



Le problème de la redirection NAT du LAN vers le LAN est un grand
classique. Pour que ça marche, il faut que le dispositif qui fait le NAT
remplisse plusieurs conditions supplémentaires par rapport au NAT
classique entre WAN et LAN :
- le NAT destination (redirection de port) doit être opérationnel sur
les paquets qui entrent par l'interface LAN ;
- le routage des paquets entrant et ressortant par l'interface LAN doit
être opérationnel ;
- le NAT source (masquerading) doit être actif sur les paquets qui
entrent et ressortent par l'interface WAN.

Les deux premières conditions sont évidentes. La troisième sert à faire
en sorte que les paquets de réponse du serveur reviennent vers le
routeur qui peut remettre l'adresse publique originale. Autrement le
serveur enverrait la réponse avec son adresse privée directement au
client qui attend une réponse de l'adresse publique.

Si une de ces conditions manque, ça ne peut pas marcher. Par contre je
suis bien incapable de te dire si le mode routeur de la Freebox remplit
ces conditions.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9409111
Le 13428ième jour après Epoch,
Pascal Hambourg écrivait:

Salut,

François TOURDE a écrit :
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.



Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le
routeur/firewall qui consomme, prend de la place et fait du
bruit. Mais d'après ce que tu as écris plus bas, ce n'est pas t on
cas.



Effectivement, la machine est à la cave, tourne 24h/24, et ne me gà ªne
pas du tout pour le bruit ni pour la consommation électrique (pour le
moment).

Les raisons sont multiples:

- Je pourrais facilement faire du multivision sans inclure des modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)

- Mon fils n'étant pas encore assez formé pour gérer iptable s, il
pourra gérer son [Low|High]ID sur la mule lui-même :)

- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu

- etc.

En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse*
de eth0. Et c'est tout-à-fait naturel : le fait d'affecter telle
adresse à telle interface relève plus de la facilité que d 'une réelle
obligation. La machine a des interfaces réseau d'une part et des
adresses IP d'autre part, et en réalité on peut utiliser n'impo rte
quelle adresse IP locale avec n'importe quelle interface à l'excepti on
de la plage 127.0.0.0/8 qui est réservée à l'interface de loopback. En
dehors de cette restriction, ton serveur se moque de savoir par quelle
interface les paquets passent, sauf si tu as mis en place des règles
iptables de filtrage.



Oui oui, j'ai conscience de tout ça, mais je ne savais pas comment
l'expliquer simplement. Ce que je voulais dire c'est que là où mon
serveur pouvait répondre à mon besoin, la FreeBOX elle doit en pl us
faire du DNAT pour résoudre cette situation. Ce qu'elle ne semble pas
faire.

C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà dà ©fini des
vues interne et externe distinctes, non ? Tu utilises Bind ?



Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de
vues, et j'avoue que cette solution, qui va "dupliquer" certaines
infos de DNS, ne me branche pas des masses.

Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.



Très juste. J'avoue que ça serait plus simple. Une simple rè gle de
DNAT et le tour est joué pour moi.

Je vais y songer.

En tout cas, merci pour la réponse, et l'idée du DNAT.
Pascal Hambourg
Le #9409061
François TOURDE a écrit :

Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.



Peut-on savoir pourquoi, par curiosité ?



- Je pourrais facilement faire du multivision sans inclure des modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)



Quel est le problème en mode normal ? Et en quoi ce problème sera-t-il
résolu par le passage de la Freebox en mode routeur si les postes
restent derrière le serveur/firewall ?

- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)



Même question que pour ci-dessus.

- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu



Ça laisse entendre que tu deplacerais les postes de derrière le serveur
à derrière la Freebox ?

[Définir des "vues" DNS interne et externe]
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà défini des
vues interne et externe distinctes, non ? Tu utilises Bind ?



Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de
vues, et j'avoue que cette solution, qui va "dupliquer" certaines
infos de DNS, ne me branche pas des masses.



Certes, mais ce n'est pas bien méchant si le nombre et la taille des
zones est modeste. Je mis en place deux vues interne et externe sur mon
serveur DNS pour une raison de sécurité, qui n'a rien à voir avec la
fourniture de réponses différentes selon la provenance des requêtes :
même si on désactive la récursion pour les requêtes externes, les
données mises en cache par les requêtes internes sont accessible de
l'extérieur. Ceci peut constituer une fuite d'information, qui a
notamment été exploitée par le chercheur en sécurité informatique Dan
Kaminsky pour évaluer le nombre de réseaux contenant au moins une
machine sur laquelle était installé le fameux rootkit de Sony
(http://http://www.doxpara.com/?q=sony). Au moins avec les vues, chaque
vue a son propre cache.

Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.



Très juste. J'avoue que ça serait plus simple. Une simple règle de
DNAT et le tour est joué pour moi.



Mais ça ne marchera pas pour les postes qui sont directement derrière la
Freebox.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9408781
Le 13429ième jour après Epoch,
Pascal Hambourg écrivait:

François TOURDE a écrit :


[...]
- Je pourrais facilement faire du multivision sans inclure des
modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)



Quel est le problème en mode normal ? Et en quoi ce problème se ra-t-il
résolu par le passage de la Freebox en mode routeur si les postes
restent derrière le serveur/firewall ?



Non, justement, les postes seront directement sur la Fbx

- Mon fils n'étant pas encore assez formé pour gérer ipta bles, il
pourra gérer son [Low|High]ID sur la mule lui-même :)



Même question que pour ci-dessus.



Même réponse :)

- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu



Ça laisse entendre que tu deplacerais les postes de derrière le
serveur à derrière la Freebox ?



Exactement.

Très juste. J'avoue que ça serait plus simple. Une simple rà ¨gle de
DNAT et le tour est joué pour moi.



Mais ça ne marchera pas pour les postes qui sont directement derri ère
la Freebox.



Effectivement, du coup je vais être obligé de mettre des vues dan s mon
DNS.
Pascal Hambourg
Le #9408621
François TOURDE a écrit :

Non, justement, les postes seront directement sur la Fbx

- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)







Il va quand même devoir configurer des redirections de ports dans la
Freebox, non ?

[...]
du coup je vais être obligé de mettre des vues dans mon DNS.



Ce n'est pas très compliqué. Je n'ai jamais utilisé les vues pour créer
des versions différentes d'une même zone mais pour donner accès à des
zones différentes (la vue interne a des zones privées supplémentaires et
autorise les requêtes récursives), mais j'envisagerais l'emploi d'une
directive $INCLUDE dans les fichiers de zone pour la partie commune aux
deux versions de la zone.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9408201
Le 13430ième jour après Epoch,
Pascal Hambourg écrivait:

François TOURDE a écrit :
Non, justement, les postes seront directement sur la Fbx

- Mon fils n'étant pas encore assez formé pour gérer ipt ables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)







Il va quand même devoir configurer des redirections de ports dans la
Freebox, non ?



Ouais, mais il va passer par l'interface ouèbe de free, ça devrait
être plus facile pour lui que de lire mon script iptables :)

[...]
du coup je vais être obligé de mettre des vues dans mon DNS.



Ce n'est pas très compliqué.



Oui, je me doute, mais le soucis c'est la duplication d'infos. Du
coup, si je fais pas générer ces fichiers par procedure, je vais un
jour oublier qu'il y a deux versions de mon domaine.

D'où la nécessité d'avoir une méta-description de la zo ne.
Le poulpe qui bloppe !
Le #9408131
------=_Part_10506_14240859.1160549972254
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Juste comme ca pour le probleme de ton fils lié aux mules:
Pourquoi pas tout simplement lui faire changer ses ports dans le logiciels,
et tu fait une regle de préroutage?
Comme ca plus jamais besoin de trafiquer le routage et plus jamais de low
id.
Exemple, la mule chez moi est sur le 50001 en tcp et 50002UDP:
iptables -t nat -A PREROUTING -i $IF_WAN -p tcp --dport 50001 -j DNAT
--to-destination $MOE:50001
iptables -t filter -A FORWARD -i $IF_WAN -o $IF_LAN -d $MOE -p tcp --dport
50001 -j ACCEPT
iptables -t nat -A PREROUTING -i $IF_WAN -p udp --dport 50002 -j DNAT
--to-destination $MOE:50002
iptables -t filter -A FORWARD -i $IF_WAN -o $IF_LAN -d $MOE -p udp --dport
50002 -j ACCEPT
Ca marche tres bien, et ca evite de passer la boite à frite en routeur.


2006/10/11, François TOURDE

Le 13430ième jour après Epoch,
Pascal Hambourg écrivait:

> François TOURDE a écrit :
>> Non, justement, les postes seront directement sur la Fbx
>>
>>>>- Mon fils n'étant pas encore assez formé pour gérer iptables, il
>>>> pourra gérer son [Low|High]ID sur la mule lui-même :)
>
> Il va quand même devoir configurer des redirections de ports dans la
> Freebox, non ?

Ouais, mais il va passer par l'interface ouèbe de free, ça devrait
être plus facile pour lui que de lire mon script iptables :)

> [...]
>> du coup je vais être obligé de mettre des vues dans mon DNS.
>
> Ce n'est pas très compliqué.

Oui, je me doute, mais le soucis c'est la duplication d'infos. Du
coup, si je fais pas générer ces fichiers par procedure, je vais un
jour oublier qu'il y a deux versions de mon domaine.

D'où la nécessité d'avoir une méta-description de la zone.





------=_Part_10506_14240859.1160549972254
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Juste comme ca pour le probleme de ton fils lié aux mules:<br>Pourquoi pa s tout simplement lui faire changer ses ports dans le logiciels, et tu fait une regle de préroutage?<br>Comme ca plus jamais besoin de trafiquer le routage et plus jamais de low id.
<br>Exemple, la mule chez moi est sur le 50001 en tcp et 50002UDP:<br>iptab les -t nat -A PREROUTING -i $IF_WAN -p tcp --dport 50001 -j DNAT --to-desti nation $MOE:50001<br>iptables -t filter -A FORWARD -i $IF_WAN -o $IF_LAN -d $MOE -p tcp --dport 50001 -j ACCEPT
<br>iptables -t nat -A PREROUTING -i $IF_WAN -p udp --dport 50002 -j DNAT - -to-destination $MOE:50002<br>iptables -t filter -A FORWARD -i $IF_WAN -o $ IF_LAN -d $MOE -p udp --dport 50002 -j ACCEPT<br>Ca marche tres bien, et ca evite de passer la boite à frite en routeur.
Le 13430ième jour après Epoch,<br>Pascal Hambourg écrivait:<br><br>&g t; François TOURDE a écrit :<br>&gt;&gt; Non, justement, les postes ser ont directement sur la Fbx<br>&gt;&gt;<br>&gt;&gt;&gt;&gt;- Mon fils n'ét ant pas encore assez formé pour gérer iptables, il
<br>&gt;&gt;&gt;&gt;&nbsp;&nbsp;pourra gérer son [Low|High]ID sur la mule lui-même :)<br>&gt;<br>&gt; Il va quand même devoir configurer des red irections de ports dans la<br>&gt; Freebox, non ?<br><br>Ouais, mais il va passer par l'interface ouèbe de free, ça devrait

------=_Part_10506_14240859.1160549972254--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme