Netfilter ! Besoin d'aide

Le 08-07-2007, à propos de
Netfilter ! Besoin d'aide,
Ard écrivait dans fr.comp.securite :

Bonjour,

Bonjour,

J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).

Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.

Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :

Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le
fameux dns je suppose.....)

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
ifconfig eth0 0.0.0.0 promisc up
ifconfig br0 adresse_ip netmask .... broadcast ...
route add -net ....

Puis, un coup d'iptables :

-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br0 -p icmp -j ACCEPT
-A INPUT -i tap0 -p tcp -m tcp -j ACCEPT
-A INPUT -i tap0 -p icmp -j ACCEPT
-A FORWARD -i br0 -p tcp -j ACCEPT
-A FORWARD -i br0 -p icmp -j ACCEPT
-A FORWARD -i tap0 -p tcp -j ACCEPT
-A FORWARD -i tap0 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o br0 -p icmp -j ACCEPT
-A OUTPUT -o tap0 -j ACCEPT
-A OUTPUT -o tap0 -p icmp -j ACCEPT

configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP
est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour
les équipements réseau en face...).

Cordialement,

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.

Le 08-07-2007, à propos de
Re: Netfilter ! Besoin d'aide,
JKB écrivait dans fr.comp.securite :

Le 08-07-2007, à propos de
Netfilter ! Besoin d'aide,
Ard écrivait dans fr.comp.securite :

Bonjour,

Bonjour,

J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).

J'ai oublié ;-) le 2.6.21.x est une saleté infecte en terme de
gestion du réseau : watchdog resets sur les interfaces réseau plus ou
moins aléatoires, modules iptables buggués à mort (impossible de
faire fonctionner correctement un NAT en 2.6.21.5, alors qu'en
2.6.20.x, cela fonctionne à merveille). Donc, tout d'abord, changer
le 2.6.21.5 contre un noyau plus _stable_ du style 2.6.20.14.

Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.

Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :

Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le
fameux dns je suppose.....)

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
ifconfig eth0 0.0.0.0 promisc up
ifconfig br0 adresse_ip netmask .... broadcast ...
route add -net ....

Puis, un coup d'iptables :

-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br0 -p icmp -j ACCEPT
-A INPUT -i tap0 -p tcp -m tcp -j ACCEPT
-A INPUT -i tap0 -p icmp -j ACCEPT
-A FORWARD -i br0 -p tcp -j ACCEPT
-A FORWARD -i br0 -p icmp -j ACCEPT
-A FORWARD -i tap0 -p tcp -j ACCEPT
-A FORWARD -i tap0 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o br0 -p icmp -j ACCEPT
-A OUTPUT -o tap0 -j ACCEPT
-A OUTPUT -o tap0 -p icmp -j ACCEPT

configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP
est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour
les équipements réseau en face...).

Cordialement,

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.

Salut,

J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).

Bah, j'ai fait pareil sur une OpenSuSE. Très bien pour tester un Windows.

Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.

Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :

Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le
fameux dns je suppose.....)

Merci de m'aider à résoudre ce problème pour le débutant que je suis.

Ça dépend comment tu veux résoudre le problème.
Si tu veux que les règles iptables n'examinent pas les paquets IP
encapsulés dans les trames ethernet qui traversent un pont (fonction
bridge-nf) avec toutes les conséquence que ça implique, il suffit de
mettre le paramètre du noyau
/proc/sys/net/bridge/bridge-nf-call-iptables à 0.
Sinon, il faut créer des règles iptables pour traiter le trafic IP qui
traverse le pont et accepter ce qui doit l'être.