Il me manque une interface réseau

Sylvain Sauvage a écrit :

Goldy, samedi 22 novembre 2008, 17:00:15 CET

[… du pontage …]

J'ai essayé pleins de configurations possibles et j'ai fini par
abandonner, j'ai pas réussi à trouver d'informations clairs
sur le sujet, je vais trouver un autre moyen pour monitorer le
réseau (certainement avec une redirection icpm permanente si
j'arrive à mettre ça en place).

Tu veux faire quoi exactement ? Le bridge n’est peut-être pas
la solution.

Je voulais être en mesure de contrôler les ressources réseaux de chaque
utilisateurs sans pour autant faire de ce serveur un routeur. L'idée
était de faire passer par ce serveur tout les paquets entre le routeur
et internet de manière à contrôler les abus et limiter les ressources en
conséquence.

Quand on a 3 personnes qui utilisent bittorent pour télécharger tout et
n'importe quoi et que ça paralyse le réseau (sans compter les risques
légaux étant propriétaire de la ligne internet), alors l'idée de mettre
un peu d'ordre dans tout ça est assez séduisante.

Finalement, l'idée qui me paraissait intéressante (et la plus simple à
mettre en place), était de mettre en place une redirection icmp avec
ettercap, en gros il s'agit de dire au routeur de renvoyer tout les
paquets vers le serveur, mais je ne sais pas s'il est possible de le
faire de façon permanente, de plus, il s'agit officiellement d'une
méthode assez proche du hacking réseau, ce qui n'est pas très propre.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_65147_25869845.1227493867970
Content-Type: text/plain; charset=WINDOWS-1252
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

pour cela il existe des switch avec des ports spéciaux qui te permettent de
configurer un ou plusieurs ports qui soit capable d'ecouter l'ensemble du
traffic des autres ports.
Tous les ports normaux obeissent au regles du switching c'est a dire d'une
adresse MAC a une autre sauf ce port spécial qui écoute tout.
On place des sondes dessus en général.

Le 23 novembre 2008 19:44, Goldy <goldy@goldenfish.info> a écrit :

Sylvain Sauvage a écrit :
> Goldy, samedi 22 novembre 2008, 17:00:15 CET
>> [… du pontage …]
>>
>> J'ai essayé pleins de configurations possibles et j'ai fini par
>> abandonner, j'ai pas réussi à trouver d'informations clairs
>> sur le sujet, je vais trouver un autre moyen pour monitorer le
>> réseau (certainement avec une redirection icpm permanente si
>> j'arrive à mettre ça en place).
>
> Tu veux faire quoi exactement ? Le bridge n'est peut-être pas
> la solution.
>


Je voulais être en mesure de contrôler les ressources réseaux de ch aque
utilisateurs sans pour autant faire de ce serveur un routeur. L'idée
était de faire passer par ce serveur tout les paquets entre le routeur
et internet de manière à contrôler les abus et limiter les ressourc es en
conséquence.

Quand on a 3 personnes qui utilisent bittorent pour télécharger tout et
n'importe quoi et que ça paralyse le réseau (sans compter les risques
légaux étant propriétaire de la ligne internet), alors l'idée de mettre
un peu d'ordre dans tout ça est assez séduisante.

Finalement, l'idée qui me paraissait intéressante (et la plus simple à
mettre en place), était de mettre en place une redirection icmp avec
ettercap, en gros il s'agit de dire au routeur de renvoyer tout les
paquets vers le serveur, mais je ne sais pas s'il est possible de le
faire de façon permanente, de plus, il s'agit officiellement d'une
méthode assez proche du hacking réseau, ce qui n'est pas très propr e.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

------=_Part_65147_25869845.1227493867970
Content-Type: text/html; charset=WINDOWS-1252
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

pour cela il existe des switch avec des ports spéciaux qui te permettent de configurer un ou plusieurs ports qui soit capable d&#39;ecouter l&#39;en semble du traffic des autres ports.<br>Tous les ports normaux obeissent au regles du switching c&#39;est a dire d&#39;une adresse MAC a une autre sauf ce port spécial qui écoute tout.<br>
On place des sondes dessus en&nbsp; général.<br><br><div class="gmail _quote">Le 23 novembre 2008 19:44, Goldy <span dir="ltr">&lt;<a href="m ailto:goldy@goldenfish.info">goldy@goldenfish.info</a>&gt;</span> a écrit :<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb (204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Sylvain Sauvage a écrit :<br>
<div class="Ih2E3d">&gt; Goldy, samedi 22 novembre 2008, 17:00:15 CET<br>
&gt;&gt; [… du pontage …]<br>
&gt;&gt;<br>
&gt;&gt; J&#39;ai essayé pleins de configurations possibles et j&#39;ai f ini par<br>
&gt;&gt; abandonner, j&#39;ai pas réussi à trouver d&#39;informations c lairs<br>
&gt;&gt; sur le sujet, je vais trouver un autre moyen pour monitorer le<br>
&gt;&gt; réseau (certainement avec une redirection icpm permanente si<br>
&gt;&gt; j&#39;arrive à mettre ça en place).<br>
&gt;<br>
&gt; &nbsp; Tu veux faire quoi exactement ? Le bridge n'est peut-être pas <br>
&gt; la solution.<br>
&gt;<br>
<br>
<br>
</div>Je voulais être en mesure de contrôler les ressources réseaux d e chaque<br>
utilisateurs sans pour autant faire de ce serveur un routeur. L&#39;idée< br>
était de faire passer par ce serveur tout les paquets entre le routeur<br >
et internet de manière à contrôler les abus et limiter les ressources en<br>
conséquence.<br>
<br>
Quand on a 3 personnes qui utilisent bittorent pour télécharger tout et <br>
n&#39;importe quoi et que ça paralyse le réseau (sans compter les risqu es<br>
légaux étant propriétaire de la ligne internet), alors l&#39;idée d e mettre<br>
un peu d&#39;ordre dans tout ça est assez séduisante.<br>
<br>
Finalement, l&#39;idée qui me paraissait intéressante (et la plus simpl e à<br>
mettre en place), était de mettre en place une redirection icmp avec<br>
ettercap, en gros il s&#39;agit de dire au routeur de renvoyer tout les<br>
paquets vers le serveur, mais je ne sais pas s&#39;il est possible de le<br >
faire de façon permanente, de plus, il s&#39;agit officiellement d&#39;un e<br>
méthode assez proche du hacking réseau, ce qui n&#39;est pas très pro pre.<br>
<div><div></div><div class="Wj3C7c"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a><br>
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et<br>
&quot;Reply-To:&quot;<br>
<br>
To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUEST@lists .debian.org">debian-user-french-REQUEST@lists.debian.org</a><br>
with a subject of &quot;unsubscribe&quot;. Trouble? Contact <a href="mail to:listmaster@lists.debian.org">listmaster@lists.debian.org</a><br>
<br>
</div></div></blockquote></div><br>

------=_Part_65147_25869845.1227493867970--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Johan Dindaine a écrit :

pour cela il existe des switch avec des ports spéciaux qui te permettent
de configurer un ou plusieurs ports qui soit capable d'ecouter
l'ensemble du traffic des autres ports.
Tous les ports normaux obeissent au regles du switching c'est a dire
d'une adresse MAC a une autre sauf ce port spécial qui écoute tout.
On place des sondes dessus en général.

J'ai ça sur mon routeur, seulement ça reste limité dans le sens où ça ne
permet que d'écouter et pas d'agir directement sur le trafique. De plus,
les paquets wifi ne sont, pour une raison qui m'échappe, pas renvoyés
sur le port sniffer.

Finalement, je me demande si je ferai pas mieux de transformer ce
serveur en routeur, suffirait d'ajouter quelques port ethernet et une
carte wifi, et je devrais pouvoir en faire un routeur très puissant et
polyvalent sous debian.

C'est une idée qu'il faut que je creuse.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Goldy a écrit :

Je voulais être en mesure de contrôler les ressources réseaux de chaque
utilisateurs sans pour autant faire de ce serveur un routeur. L'idée
était de faire passer par ce serveur tout les paquets entre le routeur
et internet de manière à contrôler les abus et limiter les ressources en
conséquence.

Tu veux dire comme ça ?

internet --- serveur/pont --- routeur --- postes utilisateurs

C'est quoi, le routeur ? S'il fait du NAT/masquerading, le pont ne verra
que l'adresse du routeur, pas celle des postes utilisateurs.

Et "internet" se présente comment ?

Finalement, l'idée qui me paraissait intéressante (et la plus simple à
mettre en place), était de mettre en place une redirection icmp avec
ettercap, en gros il s'agit de dire au routeur de renvoyer tout les
paquets vers le serveur, mais je ne sais pas s'il est possible de le
faire de façon permanente, de plus, il s'agit officiellement d'une
méthode assez proche du hacking réseau, ce qui n'est pas très propre.

Outre que c'est effectivement très moche, ça risque de ne pas marcher :
un routeur peut ignorer les messages ICMP redirect. C'est d'ailleurs ce
que fait Linux par défaut quand il est configuré en routeur (forwarding
IP activé).

D'autre part, cela supposerait de fait que le serveur fonctionne en
routeur. Je ne vois pas bien l'intérêt de l'ICMP Redirect dans ce cas.
Il suffirait tout simplement de définir le serveur comme passerelle par
défaut du routeur.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Pascal Hambourg a écrit :

Goldy a écrit :

Je voulais être en mesure de contrôler les ressources réseaux de chaque
utilisateurs sans pour autant faire de ce serveur un routeur. L'idée
était de faire passer par ce serveur tout les paquets entre le routeur
et internet de manière à contrôler les abus et limiter les ressources en
conséquence.

Tu veux dire comme ça ?

internet --- serveur/pont --- routeur --- postes utilisateurs

Oui c'est cette configuration là.

C'est quoi, le routeur ? S'il fait du NAT/masquerading, le pont ne verra
que l'adresse du routeur, pas celle des postes utilisateurs.

Il s'agit d'un routeur-wifi, avec DHCP, NAT, QoS et tout le joyeux
bordel. Mais son firmware est buggué et il est difficile de le faire
fonctionner convenablement.

Et "internet" se présente comment ?

C'est un modem câble qui donne l'adresse en DHCP, ce n'est pas du PPPoE.

Je pense plutôt que je vais me séparer de ce routeur (il marche vraiment
mal) et tenter de me servir du serveur comme routeur.

À ce propos, il n'existe pas de projet opensource visant à centraliser
l'administration des options de routage d'un serveur sous debian ? Un
truc avec une interface web comme pour cups serait sympa comme tout.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Goldy a écrit :

Il s'agit d'un routeur-wifi, avec DHCP, NAT, QoS et tout le joyeux
bordel.

Dans ce cas cette topologie permettra de contrôler le trafic au mieux
par port, protocole, voire application mais pas par poste utilisateur
puisque le NAT du routeur masque l'adresse source originelle.

Je pense plutôt que je vais me séparer de ce routeur (il marche vraiment
mal) et tenter de me servir du serveur comme routeur.

Si les fonctions ethernet et wifi du routeur ne sont pas trop pourries,
tu peux t'en servir comme d'un simple switch-point d'accès, en
transférant les fonctions IP au serveur.

À ce propos, il n'existe pas de projet opensource visant à centraliser
l'administration des options de routage d'un serveur sous debian ? Un
truc avec une interface web comme pour cups serait sympa comme tout.

Il paraît qu'il y a des distributions orientées routeur/firewall genre
IPcop qui ont des interfaces de configuration conviviales. Les frontaux
à iptables genre firestarter font peut-être ça aussi. Mais j'y connais
rien, j'en suis resté à la ligne de commande et aux scripts.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org