Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:
Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.
Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.
J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:
Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.
Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.
J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:
Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.
Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.
J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.
Salut,
François TOURDE a écrit :Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le
routeur/firewall qui consomme, prend de la place et fait du
bruit. Mais d'après ce que tu as écris plus bas, ce n'est pas t on
cas.
En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse*
de eth0. Et c'est tout-Ã -fait naturel : le fait d'affecter telle
adresse à telle interface relève plus de la facilité que d 'une réelle
obligation. La machine a des interfaces réseau d'une part et des
adresses IP d'autre part, et en réalité on peut utiliser n'impo rte
quelle adresse IP locale avec n'importe quelle interface à l'excepti on
de la plage 127.0.0.0/8 qui est réservée à l'interface de loopback. En
dehors de cette restriction, ton serveur se moque de savoir par quelle
interface les paquets passent, sauf si tu as mis en place des règles
iptables de filtrage.
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà dà ©fini des
vues interne et externe distinctes, non ? Tu utilises Bind ?
Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
Salut,
François TOURDE a écrit :
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le
routeur/firewall qui consomme, prend de la place et fait du
bruit. Mais d'après ce que tu as écris plus bas, ce n'est pas t on
cas.
En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse*
de eth0. Et c'est tout-Ã -fait naturel : le fait d'affecter telle
adresse à telle interface relève plus de la facilité que d 'une réelle
obligation. La machine a des interfaces réseau d'une part et des
adresses IP d'autre part, et en réalité on peut utiliser n'impo rte
quelle adresse IP locale avec n'importe quelle interface à l'excepti on
de la plage 127.0.0.0/8 qui est réservée à l'interface de loopback. En
dehors de cette restriction, ton serveur se moque de savoir par quelle
interface les paquets passent, sauf si tu as mis en place des règles
iptables de filtrage.
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà dà ©fini des
vues interne et externe distinctes, non ? Tu utilises Bind ?
Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
Salut,
François TOURDE a écrit :Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le
routeur/firewall qui consomme, prend de la place et fait du
bruit. Mais d'après ce que tu as écris plus bas, ce n'est pas t on
cas.
En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse*
de eth0. Et c'est tout-Ã -fait naturel : le fait d'affecter telle
adresse à telle interface relève plus de la facilité que d 'une réelle
obligation. La machine a des interfaces réseau d'une part et des
adresses IP d'autre part, et en réalité on peut utiliser n'impo rte
quelle adresse IP locale avec n'importe quelle interface à l'excepti on
de la plage 127.0.0.0/8 qui est réservée à l'interface de loopback. En
dehors de cette restriction, ton serveur se moque de savoir par quelle
interface les paquets passent, sauf si tu as mis en place des règles
iptables de filtrage.
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà dà ©fini des
vues interne et externe distinctes, non ? Tu utilises Bind ?
Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
- Je pourrais facilement faire du multivision sans inclure des modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)
- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà défini des
vues interne et externe distinctes, non ? Tu utilises Bind ?
Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de
vues, et j'avoue que cette solution, qui va "dupliquer" certaines
infos de DNS, ne me branche pas des masses.
Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
Très juste. J'avoue que ça serait plus simple. Une simple règle de
DNAT et le tour est joué pour moi.
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
- Je pourrais facilement faire du multivision sans inclure des modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)
- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà défini des
vues interne et externe distinctes, non ? Tu utilises Bind ?
Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de
vues, et j'avoue que cette solution, qui va "dupliquer" certaines
infos de DNS, ne me branche pas des masses.
Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
Très juste. J'avoue que ça serait plus simple. Une simple règle de
DNAT et le tour est joué pour moi.
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
- Je pourrais facilement faire du multivision sans inclure des modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)
- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu
C'est pourtant une bonne solution. De toute façon si ton serveur DNS
est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon
je ne vois pas pourquoi tu parlerais de vues) tu as déjà défini des
vues interne et externe distinctes, non ? Tu utilises Bind ?
Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de
vues, et j'avoue que cette solution, qui va "dupliquer" certaines
infos de DNS, ne me branche pas des masses.
Une autre solution plus simple, si les autres postes restent derrière
le serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
Très juste. J'avoue que ça serait plus simple. Une simple règle de
DNAT et le tour est joué pour moi.
François TOURDE a écrit :
- Je pourrais facilement faire du multivision sans inclure des
modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)
Quel est le problème en mode normal ? Et en quoi ce problème se ra-t-il
résolu par le passage de la Freebox en mode routeur si les postes
restent derrière le serveur/firewall ?
- Mon fils n'étant pas encore assez formé pour gérer ipta bles, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
Même question que pour ci-dessus.
- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu
Ãa laisse entendre que tu deplacerais les postes de derrière le
serveur à derrière la Freebox ?
Très juste. J'avoue que ça serait plus simple. Une simple rà ¨gle de
DNAT et le tour est joué pour moi.
Mais ça ne marchera pas pour les postes qui sont directement derri ère
la Freebox.
François TOURDE a écrit :
- Je pourrais facilement faire du multivision sans inclure des
modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)
Quel est le problème en mode normal ? Et en quoi ce problème se ra-t-il
résolu par le passage de la Freebox en mode routeur si les postes
restent derrière le serveur/firewall ?
- Mon fils n'étant pas encore assez formé pour gérer ipta bles, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
Même question que pour ci-dessus.
- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu
Ãa laisse entendre que tu deplacerais les postes de derrière le
serveur à derrière la Freebox ?
Très juste. J'avoue que ça serait plus simple. Une simple rà ¨gle de
DNAT et le tour est joué pour moi.
Mais ça ne marchera pas pour les postes qui sont directement derri ère
la Freebox.
François TOURDE a écrit :
- Je pourrais facilement faire du multivision sans inclure des
modules
supplémentaires dans mon vieux noyau (conn tracking RTSP par
exemple)
Quel est le problème en mode normal ? Et en quoi ce problème se ra-t-il
résolu par le passage de la Freebox en mode routeur si les postes
restent derrière le serveur/firewall ?
- Mon fils n'étant pas encore assez formé pour gérer ipta bles, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
Même question que pour ci-dessus.
- Mon serveur étant d'un autre âge, sa position "critique" pour
l'accès au net me gêne un peu
Ãa laisse entendre que tu deplacerais les postes de derrière le
serveur à derrière la Freebox ?
Très juste. J'avoue que ça serait plus simple. Une simple rà ¨gle de
DNAT et le tour est joué pour moi.
Mais ça ne marchera pas pour les postes qui sont directement derri ère
la Freebox.
Non, justement, les postes seront directement sur la Fbx- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
du coup je vais être obligé de mettre des vues dans mon DNS.
Non, justement, les postes seront directement sur la Fbx
- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
du coup je vais être obligé de mettre des vues dans mon DNS.
Non, justement, les postes seront directement sur la Fbx- Mon fils n'étant pas encore assez formé pour gérer iptables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
du coup je vais être obligé de mettre des vues dans mon DNS.
François TOURDE a écrit :Non, justement, les postes seront directement sur la Fbx- Mon fils n'étant pas encore assez formé pour gérer ipt ables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
Il va quand même devoir configurer des redirections de ports dans la
Freebox, non ?
[...]du coup je vais être obligé de mettre des vues dans mon DNS.
Ce n'est pas très compliqué.
François TOURDE a écrit :
Non, justement, les postes seront directement sur la Fbx
- Mon fils n'étant pas encore assez formé pour gérer ipt ables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
Il va quand même devoir configurer des redirections de ports dans la
Freebox, non ?
[...]
du coup je vais être obligé de mettre des vues dans mon DNS.
Ce n'est pas très compliqué.
François TOURDE a écrit :Non, justement, les postes seront directement sur la Fbx- Mon fils n'étant pas encore assez formé pour gérer ipt ables, il
pourra gérer son [Low|High]ID sur la mule lui-même :)
Il va quand même devoir configurer des redirections de ports dans la
Freebox, non ?
[...]du coup je vais être obligé de mettre des vues dans mon DNS.
Ce n'est pas très compliqué.
Le 13430ième jour après Epoch,
Pascal Hambourg écrivait:
> François TOURDE a écrit :
>> Non, justement, les postes seront directement sur la Fbx
>>
>>>>- Mon fils n'étant pas encore assez formé pour gérer iptables, il
>>>> pourra gérer son [Low|High]ID sur la mule lui-même :)
>
> Il va quand même devoir configurer des redirections de ports dans la
> Freebox, non ?
Ouais, mais il va passer par l'interface ouèbe de free, ça devrait
être plus facile pour lui que de lire mon script iptables :)
> [...]
>> du coup je vais être obligé de mettre des vues dans mon DNS.
>
> Ce n'est pas très compliqué.
Oui, je me doute, mais le soucis c'est la duplication d'infos. Du
coup, si je fais pas générer ces fichiers par procedure, je vais un
jour oublier qu'il y a deux versions de mon domaine.
D'où la nécessité d'avoir une méta-description de la zone.
Le 13430ième jour après Epoch,
Pascal Hambourg écrivait:
> François TOURDE a écrit :
>> Non, justement, les postes seront directement sur la Fbx
>>
>>>>- Mon fils n'étant pas encore assez formé pour gérer iptables, il
>>>> pourra gérer son [Low|High]ID sur la mule lui-même :)
>
> Il va quand même devoir configurer des redirections de ports dans la
> Freebox, non ?
Ouais, mais il va passer par l'interface ouèbe de free, ça devrait
être plus facile pour lui que de lire mon script iptables :)
> [...]
>> du coup je vais être obligé de mettre des vues dans mon DNS.
>
> Ce n'est pas très compliqué.
Oui, je me doute, mais le soucis c'est la duplication d'infos. Du
coup, si je fais pas générer ces fichiers par procedure, je vais un
jour oublier qu'il y a deux versions de mon domaine.
D'où la nécessité d'avoir une méta-description de la zone.
Le 13430ième jour après Epoch,
Pascal Hambourg écrivait:
> François TOURDE a écrit :
>> Non, justement, les postes seront directement sur la Fbx
>>
>>>>- Mon fils n'étant pas encore assez formé pour gérer iptables, il
>>>> pourra gérer son [Low|High]ID sur la mule lui-même :)
>
> Il va quand même devoir configurer des redirections de ports dans la
> Freebox, non ?
Ouais, mais il va passer par l'interface ouèbe de free, ça devrait
être plus facile pour lui que de lire mon script iptables :)
> [...]
>> du coup je vais être obligé de mettre des vues dans mon DNS.
>
> Ce n'est pas très compliqué.
Oui, je me doute, mais le soucis c'est la duplication d'infos. Du
coup, si je fais pas générer ces fichiers par procedure, je vais un
jour oublier qu'il y a deux versions de mon domaine.
D'où la nécessité d'avoir une méta-description de la zone.