J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT=1035 DPT=53 ( le
fameux dns je suppose.....)
Merci de m'aider à résoudre ce problème pour le débutant que je suis.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JKB
Le 08-07-2007, à propos de Netfilter ! Besoin d'aide, Ard écrivait dans fr.comp.securite :
Bonjour,
Bonjour,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no comment, please ;-).
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <--- pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet. Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le fameux dns je suppose.....)
-A INPUT -i eth0 -j ACCEPT -A INPUT -i eth0 -p icmp -j ACCEPT -A INPUT -i br0 -j ACCEPT -A INPUT -i br0 -p icmp -j ACCEPT -A INPUT -i tap0 -p tcp -m tcp -j ACCEPT -A INPUT -i tap0 -p icmp -j ACCEPT -A FORWARD -i br0 -p tcp -j ACCEPT -A FORWARD -i br0 -p icmp -j ACCEPT -A FORWARD -i tap0 -p tcp -j ACCEPT -A FORWARD -i tap0 -p icmp -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT -A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT -A OUTPUT -o br0 -p icmp -j ACCEPT -A OUTPUT -o tap0 -j ACCEPT -A OUTPUT -o tap0 -p icmp -j ACCEPT
configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour les équipements réseau en face...).
Cordialement,
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 08-07-2007, à propos de
Netfilter ! Besoin d'aide,
Ard écrivait dans fr.comp.securite :
Bonjour,
Bonjour,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le
fameux dns je suppose.....)
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br0 -p icmp -j ACCEPT
-A INPUT -i tap0 -p tcp -m tcp -j ACCEPT
-A INPUT -i tap0 -p icmp -j ACCEPT
-A FORWARD -i br0 -p tcp -j ACCEPT
-A FORWARD -i br0 -p icmp -j ACCEPT
-A FORWARD -i tap0 -p tcp -j ACCEPT
-A FORWARD -i tap0 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o br0 -p icmp -j ACCEPT
-A OUTPUT -o tap0 -j ACCEPT
-A OUTPUT -o tap0 -p icmp -j ACCEPT
configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP
est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour
les équipements réseau en face...).
Cordialement,
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 08-07-2007, à propos de Netfilter ! Besoin d'aide, Ard écrivait dans fr.comp.securite :
Bonjour,
Bonjour,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no comment, please ;-).
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <--- pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet. Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le fameux dns je suppose.....)
-A INPUT -i eth0 -j ACCEPT -A INPUT -i eth0 -p icmp -j ACCEPT -A INPUT -i br0 -j ACCEPT -A INPUT -i br0 -p icmp -j ACCEPT -A INPUT -i tap0 -p tcp -m tcp -j ACCEPT -A INPUT -i tap0 -p icmp -j ACCEPT -A FORWARD -i br0 -p tcp -j ACCEPT -A FORWARD -i br0 -p icmp -j ACCEPT -A FORWARD -i tap0 -p tcp -j ACCEPT -A FORWARD -i tap0 -p icmp -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT -A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT -A OUTPUT -o br0 -p icmp -j ACCEPT -A OUTPUT -o tap0 -j ACCEPT -A OUTPUT -o tap0 -p icmp -j ACCEPT
configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour les équipements réseau en face...).
Cordialement,
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
JKB
Le 08-07-2007, à propos de Re: Netfilter ! Besoin d'aide, JKB écrivait dans fr.comp.securite :
Le 08-07-2007, à propos de Netfilter ! Besoin d'aide, Ard écrivait dans fr.comp.securite :
Bonjour,
Bonjour,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no comment, please ;-).
J'ai oublié ;-) le 2.6.21.x est une saleté infecte en terme de gestion du réseau : watchdog resets sur les interfaces réseau plus ou moins aléatoires, modules iptables buggués à mort (impossible de faire fonctionner correctement un NAT en 2.6.21.5, alors qu'en 2.6.20.x, cela fonctionne à merveille). Donc, tout d'abord, changer le 2.6.21.5 contre un noyau plus _stable_ du style 2.6.20.14.
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <--- pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet. Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le fameux dns je suppose.....)
-A INPUT -i eth0 -j ACCEPT -A INPUT -i eth0 -p icmp -j ACCEPT -A INPUT -i br0 -j ACCEPT -A INPUT -i br0 -p icmp -j ACCEPT -A INPUT -i tap0 -p tcp -m tcp -j ACCEPT -A INPUT -i tap0 -p icmp -j ACCEPT -A FORWARD -i br0 -p tcp -j ACCEPT -A FORWARD -i br0 -p icmp -j ACCEPT -A FORWARD -i tap0 -p tcp -j ACCEPT -A FORWARD -i tap0 -p icmp -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT -A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT -A OUTPUT -o br0 -p icmp -j ACCEPT -A OUTPUT -o tap0 -j ACCEPT -A OUTPUT -o tap0 -p icmp -j ACCEPT
configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour les équipements réseau en face...).
Cordialement,
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 08-07-2007, à propos de
Re: Netfilter ! Besoin d'aide,
JKB écrivait dans fr.comp.securite :
Le 08-07-2007, à propos de
Netfilter ! Besoin d'aide,
Ard écrivait dans fr.comp.securite :
Bonjour,
Bonjour,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).
J'ai oublié ;-) le 2.6.21.x est une saleté infecte en terme de
gestion du réseau : watchdog resets sur les interfaces réseau plus ou
moins aléatoires, modules iptables buggués à mort (impossible de
faire fonctionner correctement un NAT en 2.6.21.5, alors qu'en
2.6.20.x, cela fonctionne à merveille). Donc, tout d'abord, changer
le 2.6.21.5 contre un noyau plus _stable_ du style 2.6.20.14.
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le
fameux dns je suppose.....)
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -i br0 -p icmp -j ACCEPT
-A INPUT -i tap0 -p tcp -m tcp -j ACCEPT
-A INPUT -i tap0 -p icmp -j ACCEPT
-A FORWARD -i br0 -p tcp -j ACCEPT
-A FORWARD -i br0 -p icmp -j ACCEPT
-A FORWARD -i tap0 -p tcp -j ACCEPT
-A FORWARD -i tap0 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT
-A OUTPUT -o br0 -p icmp -j ACCEPT
-A OUTPUT -o tap0 -j ACCEPT
-A OUTPUT -o tap0 -p icmp -j ACCEPT
configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP
est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour
les équipements réseau en face...).
Cordialement,
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 08-07-2007, à propos de Re: Netfilter ! Besoin d'aide, JKB écrivait dans fr.comp.securite :
Le 08-07-2007, à propos de Netfilter ! Besoin d'aide, Ard écrivait dans fr.comp.securite :
Bonjour,
Bonjour,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no comment, please ;-).
J'ai oublié ;-) le 2.6.21.x est une saleté infecte en terme de gestion du réseau : watchdog resets sur les interfaces réseau plus ou moins aléatoires, modules iptables buggués à mort (impossible de faire fonctionner correctement un NAT en 2.6.21.5, alors qu'en 2.6.20.x, cela fonctionne à merveille). Donc, tout d'abord, changer le 2.6.21.5 contre un noyau plus _stable_ du style 2.6.20.14.
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <--- pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet. Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le fameux dns je suppose.....)
-A INPUT -i eth0 -j ACCEPT -A INPUT -i eth0 -p icmp -j ACCEPT -A INPUT -i br0 -j ACCEPT -A INPUT -i br0 -p icmp -j ACCEPT -A INPUT -i tap0 -p tcp -m tcp -j ACCEPT -A INPUT -i tap0 -p icmp -j ACCEPT -A FORWARD -i br0 -p tcp -j ACCEPT -A FORWARD -i br0 -p icmp -j ACCEPT -A FORWARD -i tap0 -p tcp -j ACCEPT -A FORWARD -i tap0 -p icmp -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT -A OUTPUT -o br0 -p tcp -m tcp -j ACCEPT -A OUTPUT -o br0 -p icmp -j ACCEPT -A OUTPUT -o tap0 -j ACCEPT -A OUTPUT -o tap0 -p icmp -j ACCEPT
configuratino où _tout_ est ouvert, donc à peaufiner. Remarque, le ICMP est ouvert car j'en ai besoin (et je trouve que c'est plus propre pour les équipements réseau en face...).
Cordialement,
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Pascal Hambourg
Salut,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no comment, please ;-).
Bah, j'ai fait pareil sur une OpenSuSE. Très bien pour tester un Windows.
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <--- pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet. Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le fameux dns je suppose.....)
Merci de m'aider à résoudre ce problème pour le débutant que je suis.
Ça dépend comment tu veux résoudre le problème. Si tu veux que les règles iptables n'examinent pas les paquets IP encapsulés dans les trames ethernet qui traversent un pont (fonction bridge-nf) avec toutes les conséquence que ça implique, il suffit de mettre le paramètre du noyau /proc/sys/net/bridge/bridge-nf-call-iptables à 0. Sinon, il faut créer des règles iptables pour traiter le trafic IP qui traverse le pont et accepter ce qui doit l'être.
Salut,
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur
ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no
comment, please ;-).
Bah, j'ai fait pareil sur une OpenSuSE. Très bien pour tester un Windows.
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box
utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <---
pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet.
Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0
src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le
fameux dns je suppose.....)
Merci de m'aider à résoudre ce problème pour le débutant que je suis.
Ça dépend comment tu veux résoudre le problème.
Si tu veux que les règles iptables n'examinent pas les paquets IP
encapsulés dans les trames ethernet qui traversent un pont (fonction
bridge-nf) avec toutes les conséquence que ça implique, il suffit de
mettre le paramètre du noyau
/proc/sys/net/bridge/bridge-nf-call-iptables à 0.
Sinon, il faut créer des règles iptables pour traiter le trafic IP qui
traverse le pont et accepter ce qui doit l'être.
J'ai un pc ( OS:Slackware 12 kernel:2.6.21.5) connecté à un routeur. Sur ce Pc, je fais tourner également Virtual box sur lequel tourne XP (no comment, please ;-).
Bah, j'ai fait pareil sur une OpenSuSE. Très bien pour tester un Windows.
Pour le réseau, j'ai mis en place un bridge de sorte que virtual box utilise sa propre interface reseau (tap0) et mon pc (eth0) soit br0 <--- pour le bridge.
Le problème est que sous xp, j'arrive pas à me connecter sur internet. Y'a une histoire de paquets bloqués. En faisant un dmesg, j'obtiens ceci :
Dropped FORWARD packet: IN=br0 OUT=br0 PHYSIN=tap0 PHYSOUT=eth0 src=xxx.xxx.xxx.xxxx DST=xxx.xxx.xxx.xxx proto=UDP SPT35 DPTS ( le fameux dns je suppose.....)
Merci de m'aider à résoudre ce problème pour le débutant que je suis.
Ça dépend comment tu veux résoudre le problème. Si tu veux que les règles iptables n'examinent pas les paquets IP encapsulés dans les trames ethernet qui traversent un pont (fonction bridge-nf) avec toutes les conséquence que ça implique, il suffit de mettre le paramètre du noyau /proc/sys/net/bridge/bridge-nf-call-iptables à 0. Sinon, il faut créer des règles iptables pour traiter le trafic IP qui traverse le pont et accepter ce qui doit l'être.