Pont filtrant
Le
sylv raou

--679054512-188571247-1394546682=:50039
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Bonjour, Je suis en train de monter un pont filtrant entre un lan et un r=
outeur (sur lequel je n'ai pas la main). Le but est d'interdire le surf e=
n bloquant le trafic web sur le pont, et n'y autoriser que le proxy. rout=
eur(192.168.0.1)<->pont (eth1 - br0 - eth2)--=
->lan (192.168.0.0/24) Proxy (192.168.0.5/24). Voici le pont : =
brctl addbr brbrctl addif br0 eth0 brctl addif br0 eth1 ifconfig eth=
0 0.0.0.0 ifconfig eth1 0.0.0.0 ifconfig br0 192.168.0.12 netmask 255.2=
55.255.0 broadcast 192.168.0.255 Au lieu de faire une règle de re=
direction de port, je préfère bloquer le port 80 pour le lan, et n'a=
utoriser que le proxy. je configure les règles suivantes : #! =
/bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0";=
iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s =
0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWA=
RD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p =
tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT Le proxy ne veut pas sortir ? A=
i-je commis une erreur quelque part ?
--679054512-188571247-1394546682=:50039
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
<html><body><div style="color:#000; background-color:#fff; font-family:He=
lveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;fo=
nt-size:12pt"><div>Bonjour,</div> <div>Je suis en train de monter un pont=
filtrant entre un lan et un routeur (sur lequel je n'ai pas la main).</div=
> <div>Le but est d'interdire le surf en bloquant le trafic web sur le po=
nt, et n'y autoriser que le proxy.</div> <div>routeur(192.168.0.1)<=
->pont (eth1 - br0 - eth2)>lan (192.=
168.0.0/24)<br><br> Proxy (192.168.0.5/24).</div> Voici le pont :<br><div=
class="container"><div class="line number2 index1 alt1"><code class==
"bash plain">brctl addbr br</code><code class="bash plain">brctl addif br=
0 eth0</code></div><div class="line number3 index2 alt2"><code class="b=
ash plain">brctl addif br0 eth1</code></div><div class="line number4 inde=
x3 alt1"><code class="bash functions">ifconfig</code> <code class="bash=
plain">eth0 0.0.0.0</code></div><div class="line number5 index4 alt2"><c=
ode class="bash functions">ifconfig</code> <code class="bash plain">eth=
1 0.0.0.0</code></div><div class="line number6 index5 alt1"><code class=
="bash functions">ifconfig</code> <code class="bash plain">br0 192.168.=
0.12 netmask 255.255.255.0 broadcast 192.168.0.255<br><br><br></code>Au lie=
u de faire une règle de redirection de port, je préfère bloquer le&nb=
sp; port 80 pour le lan, et n'autoriser que le proxy.<br>je configure les r=
ègles suivantes : <br><br><div class="container"><div class="line num=
ber1
index0 alt2"><code class="bash preprocessor bold">#! /bin/sh</code></div=
><div class="line number2 index1 alt1"><code class="bash plain">iptable=
s -F</code></div><div class="line number3 index2 alt2"><code class="bas=
h plain">iptables -X<br>PROXY="192.168.0.5/255.255.225.0";<br>iptables -F=
FORWARD<br>iptables -P FORWARD DROP<br>iptables -A FORWARD -s 0.0.0.0/0 -d=
0.0.0.0/0 -m state --state INVALID -j DROP<br>iptables -A FORWARD -m state=
--state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -p tcp -s $PR=
OXY -d 0.0.0.0/0 -j ACCEPT<br></code></div><div class="line number11 inde=
x10 alt2">Le proxy ne veut pas sortir ?<br>Ai-je commis une erreur quelque =
part ?</div></div><code class="bash plain"><br><br></code></div></div><br=
></div></body></html>
--679054512-188571247-1394546682=:50039--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1394546682.50039.YahooMailNeo@web133102.mail.ir2.yahoo.com
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
Bonjour, Je suis en train de monter un pont filtrant entre un lan et un r=
outeur (sur lequel je n'ai pas la main). Le but est d'interdire le surf e=
n bloquant le trafic web sur le pont, et n'y autoriser que le proxy. rout=
eur(192.168.0.1)<->pont (eth1 - br0 - eth2)--=
->lan (192.168.0.0/24) Proxy (192.168.0.5/24). Voici le pont : =
brctl addbr brbrctl addif br0 eth0 brctl addif br0 eth1 ifconfig eth=
0 0.0.0.0 ifconfig eth1 0.0.0.0 ifconfig br0 192.168.0.12 netmask 255.2=
55.255.0 broadcast 192.168.0.255 Au lieu de faire une règle de re=
direction de port, je préfère bloquer le port 80 pour le lan, et n'a=
utoriser que le proxy. je configure les règles suivantes : #! =
/bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0";=
iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s =
0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWA=
RD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p =
tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT Le proxy ne veut pas sortir ? A=
i-je commis une erreur quelque part ?
--679054512-188571247-1394546682=:50039
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
<html><body><div style="color:#000; background-color:#fff; font-family:He=
lveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;fo=
nt-size:12pt"><div>Bonjour,</div> <div>Je suis en train de monter un pont=
filtrant entre un lan et un routeur (sur lequel je n'ai pas la main).</div=
> <div>Le but est d'interdire le surf en bloquant le trafic web sur le po=
nt, et n'y autoriser que le proxy.</div> <div>routeur(192.168.0.1)<=
->pont (eth1 - br0 - eth2)>lan (192.=
168.0.0/24)<br><br> Proxy (192.168.0.5/24).</div> Voici le pont :<br><div=
class="container"><div class="line number2 index1 alt1"><code class==
"bash plain">brctl addbr br</code><code class="bash plain">brctl addif br=
0 eth0</code></div><div class="line number3 index2 alt2"><code class="b=
ash plain">brctl addif br0 eth1</code></div><div class="line number4 inde=
x3 alt1"><code class="bash functions">ifconfig</code> <code class="bash=
plain">eth0 0.0.0.0</code></div><div class="line number5 index4 alt2"><c=
ode class="bash functions">ifconfig</code> <code class="bash plain">eth=
1 0.0.0.0</code></div><div class="line number6 index5 alt1"><code class=
="bash functions">ifconfig</code> <code class="bash plain">br0 192.168.=
0.12 netmask 255.255.255.0 broadcast 192.168.0.255<br><br><br></code>Au lie=
u de faire une règle de redirection de port, je préfère bloquer le&nb=
sp; port 80 pour le lan, et n'autoriser que le proxy.<br>je configure les r=
ègles suivantes : <br><br><div class="container"><div class="line num=
ber1
index0 alt2"><code class="bash preprocessor bold">#! /bin/sh</code></div=
><div class="line number2 index1 alt1"><code class="bash plain">iptable=
s -F</code></div><div class="line number3 index2 alt2"><code class="bas=
h plain">iptables -X<br>PROXY="192.168.0.5/255.255.225.0";<br>iptables -F=
FORWARD<br>iptables -P FORWARD DROP<br>iptables -A FORWARD -s 0.0.0.0/0 -d=
0.0.0.0/0 -m state --state INVALID -j DROP<br>iptables -A FORWARD -m state=
--state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -p tcp -s $PR=
OXY -d 0.0.0.0/0 -j ACCEPT<br></code></div><div class="line number11 inde=
x10 alt2">Le proxy ne veut pas sortir ?<br>Ai-je commis une erreur quelque =
part ?</div></div><code class="bash plain"><br><br></code></div></div><br=
></div></body></html>
--679054512-188571247-1394546682=:50039--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/1394546682.50039.YahooMailNeo@web133102.mail.ir2.yahoo.com
sylv raou
Déjà , tu bridges sur le même segment, ce qui relativement peu
courant, ensuite, tu n'as pas séparé tes segments (adresses de
broadcast différentes, masques différents), donc c'est peu
étonnant que ça NMP.
--
on me prend pour un nouveau voisin --'
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
RAOULT sylvain
Heu, j'veux pas dire, mais c'est la même ligne.
--
Damien: Au lit ma copine dit que je suis un athlète olympique !
Yoann: Oui, t'es bon une fois tous les 4 ans.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
RAOULT sylvain
Faut vraiment que je dorme plus de 4H moi :(
--
<Lubrifiant-Man> Je crois que la plus grosse surprise que j'ai eu, c'é tait
à mon anniversaire des 22 ans cet été.
<Sakapuss> Mais attends, t'as pas 20 ans toi? Et ton anniv est en Avril oO
<Lubrifiant-Man> Oui oui, c'est ça qui m'a surpris.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Change de yeux alors ;-)
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=ISO-8859-1;
delsp=yes;
format=flowed
Le 11 mars 14 à 16:45, Daniel Huhardeaux a écrit :
--Apple-Mail-1--364439647
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=ISO-8859-1
<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
--Apple-Mail-1--364439647--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Philippe Gras
Marche pô, pourtant j'avais bien tapé:
apt-get purge nÅ“ils-fatigués, mais
j'ai pas pu taper le reste, j'y voyais plus rien ;-p
(et pourtant, j'avais lu au moins 3 fois son post,
justement pour éviter un commentaire à côté de la plaqu e)
--
<backwash> Au fait!
<backwash> J'ai trouvé le concept qui tue.
<backwash> Faut que je dépose mon idée.
<backwash> J'suis parti de deux constats.
<backwash> 1) Un geek mange sur la table de son bureau et fait des miettes.
<backwash> 2) Un geek à la flemme de netoyer.
<Phnx> ouais =)
<backwash> D'ou l'invention de la souris ramasse miette !
<backwash> LE concept
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le 11/03/2014 15:35, RAOULT sylvain a écrit :
Attention quand même , parce que la (si la règle matche) tu aut orise la
totalité du réseau 192.168.0.X, et pas seulement le proxy.
PROXY="192.168.0.5/255.255.255.255";
ou
PROXY="192.168.0.5/32";
ou (encore plus simple)
PROXY="192.168.0.5"
Me paraissent plus adaptés.
Je te conseille un (de mémoire) :
iptables -A FORWARD -j LOG --log-prefix "Forward DROP:"
En toute dernière règle de la chaine FORWARD, pour voir si effe ctivement
tes paquets se font jeter (Ã regarder dans le syslog). Et donc voir s'il
s'agit d'un problème de firewalling ou de routage/bridging.
Mais au final, je pense que le problème est tout autre : je ne suis pas
sur qu'iptables soit le bon outil dans le cas présent (s'agissant d' un
bridge, il me semble que ca ne passe pas dans la chaine FORWARD).
"ebtables" serait surement plus approprié.
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le 11/03/2014 15:14, Bzzz a écrit :
Que veux tu bridger, si c'est pas sur le même segment ?
(n'est-ce pas le principe même du bridge ???)
Cette conf me parait tout ce qu'il y a de plus légitime.
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le 11/03/2014 15:04, sylv raou a écrit :
Question con, mais des fois ...
Le forward est il activé ?
*Méthode bourrin* :
echo 1 > /proc/sys/net/ipv4/ip_forward
*Méthode plus douce* :
sysctl net.ipv4.ip_forward=1
*Méthode permanente* :
retirer le # dans le fichier /etc/sysctl.conf
#net.ipv4.ip_forward=1
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Christophe
Je parle du fait qu'il bridge des segments de la même
plage d'adresses IP.
Je n'ai pas dis le contraire, seulement qu'il était rare
de bridger entre 2 segments de la même plage d'adresses IP.
--
TooTo: Par exemple si tu mets le chien dans le micro onde, tu perds la gara ntie
Manny: Pour le chien ou pour le micro onde?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/