J'ai un P200 qui prend la poussière dans le bureau, je me demandait si
je ne le convertirais pas en pont filtrant sans IP pour ma liaison ADSL...
3 cartes réseau (extérieur, DMZ, LAN et peut-être une quatrième pour le
management). Ce sera à tout les coups plus sécurisé que mon serveur "à tout
faire" sans DMZ.
Je me demandais si :
1. sa présence est "détectable" (je pense qu'un pro poura noter sa présence)
2. est-il possible d'en prendre le contrôle autrement qu'en acces physique?
(faille de secu dans la pile TCP/IP?)
Question subsidaire: un P200 ça peut tenir le coup avec un snort-inline (ou
apparenté) sur de l'ADSL 4460/512 Kbps(FreeBSD)?
Le Thu, 10 Nov 2005 15:52:24 +0000, Eric Belhomme a écrit :
Pourquoi "virtuelle" ? je me suis mal exprimé : ce n'est pas l'IP qui est virtuelle, mais
l'interface br0, qui représente le bridge entre 2 interfaces physiques...
Elle n'est pas non plus virtuelle. Elle existe, en tant que telle et a une représentation bien concrète et factuelle dans la couche réseau, au même titre qu'une interface ethernet ou PPP. Parti dans ce sens, si br0 est une interface virtuelle, alors le ppp0 d'un lien PPPoE est également virtuelle, ainsi que ipsec0, ou encore eth0.2 (VLAN 2 sur trunl 802.1q) voire même le ppp0 correspondant à un modem RTC/RNIS. Et l'interface IP qui est supporté par un aggrégat (bonding) ? C'est une interface multi-réelle ? :))))
Le problème, c'est qu'on utilise interface à la fois pour désigner les cartes réseau et les interfaces IP. Or cette confusion n'a pas lieu d'être. Si tu veux différencier les interfaces IP qui sont liées à des "interfaces" physiques et celles qui ne le sont pas, tu peux éventuellement utiliser le terme d'interface _logique_, mais clairement pas virtuelle. Une interface virtuelle, pour moi, serait un terme qui s'appliquerait plutôt à un alias, comme eth0:0, qui n'a effectivement pas plus d'existence physique que de représentation en tant d'interface IP dans le noyau.
-- Fichtre, j'en ai posté tellement, de tellement d'auteurs, et y compris des à moi toute seule, que si je ne le relis pas, je suis dans l'incapacité de m'en souvenir. -+- CJ in GNU : Pas le temps de lire "mes" posts alors les votres -+-
Le Thu, 10 Nov 2005 15:52:24 +0000, Eric Belhomme a écrit :
Pourquoi "virtuelle" ?
je me suis mal exprimé : ce n'est pas l'IP qui est virtuelle, mais
l'interface br0, qui représente le bridge entre 2 interfaces physiques...
Elle n'est pas non plus virtuelle. Elle existe, en tant que telle et a une
représentation bien concrète et factuelle dans la couche réseau, au
même titre qu'une interface ethernet ou PPP. Parti dans ce sens, si br0
est une interface virtuelle, alors le ppp0 d'un lien PPPoE est également
virtuelle, ainsi que ipsec0, ou encore eth0.2 (VLAN 2 sur trunl
802.1q) voire même le ppp0 correspondant à un modem RTC/RNIS. Et
l'interface IP qui est supporté par un aggrégat (bonding) ? C'est une
interface multi-réelle ? :))))
Le problème, c'est qu'on utilise interface à la fois pour désigner les
cartes réseau et les interfaces IP. Or cette confusion n'a pas lieu
d'être. Si tu veux différencier les interfaces IP qui sont liées à des
"interfaces" physiques et celles qui ne le sont pas, tu peux
éventuellement utiliser le terme d'interface _logique_, mais clairement
pas virtuelle. Une interface virtuelle, pour moi, serait un terme qui
s'appliquerait plutôt à un alias, comme eth0:0, qui n'a effectivement
pas plus d'existence physique que de représentation en tant d'interface
IP dans le noyau.
--
Fichtre, j'en ai posté tellement, de tellement d'auteurs, et y
compris des à moi toute seule, que si je ne le relis pas, je suis dans
l'incapacité de m'en souvenir.
-+- CJ in GNU : Pas le temps de lire "mes" posts alors les votres -+-
Le Thu, 10 Nov 2005 15:52:24 +0000, Eric Belhomme a écrit :
Pourquoi "virtuelle" ? je me suis mal exprimé : ce n'est pas l'IP qui est virtuelle, mais
l'interface br0, qui représente le bridge entre 2 interfaces physiques...
Elle n'est pas non plus virtuelle. Elle existe, en tant que telle et a une représentation bien concrète et factuelle dans la couche réseau, au même titre qu'une interface ethernet ou PPP. Parti dans ce sens, si br0 est une interface virtuelle, alors le ppp0 d'un lien PPPoE est également virtuelle, ainsi que ipsec0, ou encore eth0.2 (VLAN 2 sur trunl 802.1q) voire même le ppp0 correspondant à un modem RTC/RNIS. Et l'interface IP qui est supporté par un aggrégat (bonding) ? C'est une interface multi-réelle ? :))))
Le problème, c'est qu'on utilise interface à la fois pour désigner les cartes réseau et les interfaces IP. Or cette confusion n'a pas lieu d'être. Si tu veux différencier les interfaces IP qui sont liées à des "interfaces" physiques et celles qui ne le sont pas, tu peux éventuellement utiliser le terme d'interface _logique_, mais clairement pas virtuelle. Une interface virtuelle, pour moi, serait un terme qui s'appliquerait plutôt à un alias, comme eth0:0, qui n'a effectivement pas plus d'existence physique que de représentation en tant d'interface IP dans le noyau.
-- Fichtre, j'en ai posté tellement, de tellement d'auteurs, et y compris des à moi toute seule, que si je ne le relis pas, je suis dans l'incapacité de m'en souvenir. -+- CJ in GNU : Pas le temps de lire "mes" posts alors les votres -+-
Eric Belhomme
Cedric Blancher wrote in news::
Le problème, c'est qu'on utilise interface à la fois pour désigner les cartes réseau et les interfaces IP. Or cette confusion n'a pas lieu d'être. Si tu veux différencier les interfaces IP qui sont liées à des "interfaces" physiques et celles qui ne le sont pas, tu peux éventuellement utiliser le terme d'interface _logique_, mais clairement pas virtuelle. Une interface virtuelle, pour moi, serait un terme qui s'appliquerait plutôt à un alias, comme eth0:0, qui n'a effectivement pas plus d'existence physique que de représentation en tant d'interface IP dans le noyau.
Ok, j'ai utilisé un terme mal à propos : tu as raison, le terme d'interface
logique colle beaucoup mieux à ce que je voulais dire, par contre, je suis pas tout à fait d'accord avec toi pour dire qu'un alias serait plus une interface virtuelle... Pour moi, un alias IP est aussi tangible qu'une adresse IP principale : d'ailleurs qu'est ce qui différencie les deux adresses, sinon un :0 que l'on a mis devant le nom de l'interface, de manière arbitraire ?
-- Rico
Cedric Blancher <blancher@cartel-securite.fr> wrote in
news:pan.2005.11.10.15.59.15.449258@cartel-securite.fr:
Le problème, c'est qu'on utilise interface à la fois pour désigner les
cartes réseau et les interfaces IP. Or cette confusion n'a pas lieu
d'être. Si tu veux différencier les interfaces IP qui sont liées à des
"interfaces" physiques et celles qui ne le sont pas, tu peux
éventuellement utiliser le terme d'interface _logique_, mais
clairement pas virtuelle. Une interface virtuelle, pour moi, serait un
terme qui s'appliquerait plutôt à un alias, comme eth0:0, qui n'a
effectivement pas plus d'existence physique que de représentation en
tant d'interface IP dans le noyau.
Ok, j'ai utilisé un terme mal à propos : tu as raison, le terme d'interface
logique colle beaucoup mieux à ce que je voulais dire, par contre, je suis
pas tout à fait d'accord avec toi pour dire qu'un alias serait plus une
interface virtuelle... Pour moi, un alias IP est aussi tangible qu'une
adresse IP principale : d'ailleurs qu'est ce qui différencie les deux
adresses, sinon un :0 que l'on a mis devant le nom de l'interface, de
manière arbitraire ?
Le problème, c'est qu'on utilise interface à la fois pour désigner les cartes réseau et les interfaces IP. Or cette confusion n'a pas lieu d'être. Si tu veux différencier les interfaces IP qui sont liées à des "interfaces" physiques et celles qui ne le sont pas, tu peux éventuellement utiliser le terme d'interface _logique_, mais clairement pas virtuelle. Une interface virtuelle, pour moi, serait un terme qui s'appliquerait plutôt à un alias, comme eth0:0, qui n'a effectivement pas plus d'existence physique que de représentation en tant d'interface IP dans le noyau.
Ok, j'ai utilisé un terme mal à propos : tu as raison, le terme d'interface
logique colle beaucoup mieux à ce que je voulais dire, par contre, je suis pas tout à fait d'accord avec toi pour dire qu'un alias serait plus une interface virtuelle... Pour moi, un alias IP est aussi tangible qu'une adresse IP principale : d'ailleurs qu'est ce qui différencie les deux adresses, sinon un :0 que l'on a mis devant le nom de l'interface, de manière arbitraire ?
-- Rico
Pascal
Ok, j'ai utilisé un terme mal à propos : tu as raison, le terme d'interface logique colle beaucoup mieux à ce que je voulais dire, par contre, je suis pas tout à fait d'accord avec toi pour dire qu'un alias serait plus une interface virtuelle... Pour moi, un alias IP est aussi tangible qu'une adresse IP principale : d'ailleurs qu'est ce qui différencie les deux adresses, sinon un :0 que l'on a mis devant le nom de l'interface, de manière arbitraire ?
Précisément, il s'agit d'adresses IP et non pas d'interfaces. Sous Linux, c'est la même interface avec plusieurs adresses IP. Le nom d'interface de l'alias n'est en fait qu'un "label" attaché à l'adresse, comme on peut le voir avec "ip addr" :
$ ip addr list dev eth1 4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:60:97:2a:e5:be brd ff:ff:ff:ff:ff:ff inet 10.0.0.1/8 brd 10.255.255.255 scope global eth1 inet 172.16.0.1/16 brd 172.16.255.255 scope global eth1:0
Il y a par contre des différences entre une "vraie" interface et un alias :
- "ifconfig up|down" sur la vraie interface affecte aussi l'état des alias, mais la réciproque n'est pas vraie : "ifconfig down" sur un alias détruit celui-ci, "ifconfig up" est sans effet. - Les noms des alias sont inconnus du routage et de Netfilter/iptables. - On peut se passer des alias pour attribuer plusieurs adresses à une interface en utilisant "ip addr add" ou "ifconfig add". - Les alias n'existent qu'en IPv4, pas en IPv6.
[Crosspost et suivi proposé]
Ok, j'ai utilisé un terme mal à propos : tu as raison, le terme d'interface
logique colle beaucoup mieux à ce que je voulais dire, par contre, je suis
pas tout à fait d'accord avec toi pour dire qu'un alias serait plus une
interface virtuelle... Pour moi, un alias IP est aussi tangible qu'une
adresse IP principale : d'ailleurs qu'est ce qui différencie les deux
adresses, sinon un :0 que l'on a mis devant le nom de l'interface, de
manière arbitraire ?
Précisément, il s'agit d'adresses IP et non pas d'interfaces. Sous
Linux, c'est la même interface avec plusieurs adresses IP. Le nom
d'interface de l'alias n'est en fait qu'un "label" attaché à l'adresse,
comme on peut le voir avec "ip addr" :
$ ip addr list dev eth1
4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
link/ether 00:60:97:2a:e5:be brd ff:ff:ff:ff:ff:ff
inet 10.0.0.1/8 brd 10.255.255.255 scope global eth1
inet 172.16.0.1/16 brd 172.16.255.255 scope global eth1:0
Il y a par contre des différences entre une "vraie" interface et un alias :
- "ifconfig up|down" sur la vraie interface affecte aussi l'état des
alias, mais la réciproque n'est pas vraie : "ifconfig down" sur un alias
détruit celui-ci, "ifconfig up" est sans effet.
- Les noms des alias sont inconnus du routage et de Netfilter/iptables.
- On peut se passer des alias pour attribuer plusieurs adresses à une
interface en utilisant "ip addr add" ou "ifconfig add".
- Les alias n'existent qu'en IPv4, pas en IPv6.
Ok, j'ai utilisé un terme mal à propos : tu as raison, le terme d'interface logique colle beaucoup mieux à ce que je voulais dire, par contre, je suis pas tout à fait d'accord avec toi pour dire qu'un alias serait plus une interface virtuelle... Pour moi, un alias IP est aussi tangible qu'une adresse IP principale : d'ailleurs qu'est ce qui différencie les deux adresses, sinon un :0 que l'on a mis devant le nom de l'interface, de manière arbitraire ?
Précisément, il s'agit d'adresses IP et non pas d'interfaces. Sous Linux, c'est la même interface avec plusieurs adresses IP. Le nom d'interface de l'alias n'est en fait qu'un "label" attaché à l'adresse, comme on peut le voir avec "ip addr" :
$ ip addr list dev eth1 4: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:60:97:2a:e5:be brd ff:ff:ff:ff:ff:ff inet 10.0.0.1/8 brd 10.255.255.255 scope global eth1 inet 172.16.0.1/16 brd 172.16.255.255 scope global eth1:0
Il y a par contre des différences entre une "vraie" interface et un alias :
- "ifconfig up|down" sur la vraie interface affecte aussi l'état des alias, mais la réciproque n'est pas vraie : "ifconfig down" sur un alias détruit celui-ci, "ifconfig up" est sans effet. - Les noms des alias sont inconnus du routage et de Netfilter/iptables. - On peut se passer des alias pour attribuer plusieurs adresses à une interface en utilisant "ip addr add" ou "ifconfig add". - Les alias n'existent qu'en IPv4, pas en IPv6.
