J'ai un serveur GNU/Linux qui fait office de routeur IPv4, et j'ai
quelques problèmes que je ne comprends pas :
Voici la topologie :
LAN 192.168.1.0/24 ------ eth0 192.168.1.254 ROUTEUR eth1 -----
Internet
DMZ 192.168.100.0/24 ---- eth0:1 192.168.100.254
en fait, les réseaux 192.168.1.0/24 et 192.168.100.0/24 sont sur un même
brin ethernet, mais je veux forcer le passage de LAN vers DMZ via le
routeur sous linux
j'ai donc sur le routeur une route insérée comme ceci :
# ip route add 192.168.100.0/24 via 192.168.100.254
Le problème c'est que ca ne marche pas des masses !
en reniflant le réseau je vois :
1) que mes paquets partent bien vers le routeur
2) sur le routeur je vois 2 fois chaque paquet (une fois en entrée sur
l'interface eth0, une fois en sortie sur cette même interface)
3) sur la machine à atteindre en DMZ, je vois le paquet arriver, et un
paquet en réponse repartir vers la source
4) sur le routeur, je ne vois pas ce paquet retour !
Bien entendu la passerelle par défaut de la machine en DMZ est
192.168.100.254
Le routeur est une Debian Sarge, qui tourne avec un kernel "vanilla"
2.6.18.2, le firewall entre ces 2 réseau est désactivé, et le routage
est bien actif (d'ailleurs les autres interfaces sont bien routées)
Pour mon problème, j'hésite entre 2 causes :
1) ce que je veux faire est crado, et IP ne le permet pas,
2) Le problème est du coté de ma config Linux. mais dans ce cas je ne
vois pas où...
Merci pour toute l'aide que vous pourrez m'apporter :) et fu2 fcri
Je soupçonne que la raison est que Linux est tout bonnement incapable de faire cette vérification car il ignore fondamentalement la notion même de sous-réseau. Tout ce qu'il a pour décider, en gros, c'est sa table de routage qui contient des destinations, pas des sous-réseaux.
Euh, normalement dans une table de routage la notion de découpage réseau est explicite (masque) depuis la généralisation de CIDR, non ? Ou alors je n'ai pas compris le sens de ta phrase.
C'est moi qui ne suis pas sûr de comprendre le sens de ta phrase. :-) Le point sur lequel j'insiste est que la table de routage de Linux ne contient ni réseaux ni sous-réseaux mais de simples préfixes de destinations.
Je soupçonne que la raison est que Linux est tout bonnement incapable
de faire cette vérification car il ignore fondamentalement la notion
même de sous-réseau. Tout ce qu'il a pour décider, en gros, c'est sa
table de routage qui contient des destinations, pas des sous-réseaux.
Euh, normalement dans une table de routage la notion de découpage réseau
est explicite (masque) depuis la généralisation de CIDR, non ?
Ou alors je n'ai pas compris le sens de ta phrase.
C'est moi qui ne suis pas sûr de comprendre le sens de ta phrase. :-)
Le point sur lequel j'insiste est que la table de routage de Linux ne
contient ni réseaux ni sous-réseaux mais de simples préfixes de
destinations.
Je soupçonne que la raison est que Linux est tout bonnement incapable de faire cette vérification car il ignore fondamentalement la notion même de sous-réseau. Tout ce qu'il a pour décider, en gros, c'est sa table de routage qui contient des destinations, pas des sous-réseaux.
Euh, normalement dans une table de routage la notion de découpage réseau est explicite (masque) depuis la généralisation de CIDR, non ? Ou alors je n'ai pas compris le sens de ta phrase.
C'est moi qui ne suis pas sûr de comprendre le sens de ta phrase. :-) Le point sur lequel j'insiste est que la table de routage de Linux ne contient ni réseaux ni sous-réseaux mais de simples préfixes de destinations.
Eric Masson
Pascal Hambourg writes:
C'est moi qui ne suis pas sûr de comprendre le sens de ta phrase. :-) Le point sur lequel j'insiste est que la table de routage de Linux ne contient ni réseaux ni sous-réseaux mais de simples préfixes de destinations.
Ok, ça joue juste un peu sur les mots, mais c'est plus clair ;)
Pour le reste, je soupçonne que l'émission du redirect est liée au fait que les deux préfixes sont utilisés sur la même interface et que le test préalable ne tient pas compte du fait que les préfixes sont distincts alors que l'émission du redirect ne devrait se faire que pour des préfixes identiques.
-- Je sais les forums sont plus longs à charger à cause de ces messages, mais comme à chaque message, vous en ajouter un voir plusieurs ça fait encore plus long, ce qui vous ramène as vos propres responsabilités. -+- OW in http://www.le-gnu.net : T'avais qu'à pas répondre -+-
C'est moi qui ne suis pas sûr de comprendre le sens de ta phrase. :-)
Le point sur lequel j'insiste est que la table de routage de Linux ne
contient ni réseaux ni sous-réseaux mais de simples préfixes de
destinations.
Ok, ça joue juste un peu sur les mots, mais c'est plus clair ;)
Pour le reste, je soupçonne que l'émission du redirect est liée au fait
que les deux préfixes sont utilisés sur la même interface et que le test
préalable ne tient pas compte du fait que les préfixes sont distincts
alors que l'émission du redirect ne devrait se faire que pour des
préfixes identiques.
--
Je sais les forums sont plus longs à charger à cause de ces messages,
mais comme à chaque message, vous en ajouter un voir plusieurs ça fait
encore plus long, ce qui vous ramène as vos propres responsabilités.
-+- OW in http://www.le-gnu.net : T'avais qu'à pas répondre -+-
C'est moi qui ne suis pas sûr de comprendre le sens de ta phrase. :-) Le point sur lequel j'insiste est que la table de routage de Linux ne contient ni réseaux ni sous-réseaux mais de simples préfixes de destinations.
Ok, ça joue juste un peu sur les mots, mais c'est plus clair ;)
Pour le reste, je soupçonne que l'émission du redirect est liée au fait que les deux préfixes sont utilisés sur la même interface et que le test préalable ne tient pas compte du fait que les préfixes sont distincts alors que l'émission du redirect ne devrait se faire que pour des préfixes identiques.
-- Je sais les forums sont plus longs à charger à cause de ces messages, mais comme à chaque message, vous en ajouter un voir plusieurs ça fait encore plus long, ce qui vous ramène as vos propres responsabilités. -+- OW in http://www.le-gnu.net : T'avais qu'à pas répondre -+-
cipey
Bonjour,
J'ai un serveur GNU/Linux qui fait office de routeur IPv4, et j'ai quelques problèmes que je ne comprends pas :
Voici la topologie :
LAN 192.168.1.0/24 ------ eth0 192.168.1.254 ROUTEUR eth1 ----- Internet DMZ 192.168.100.0/24 ---- eth0:1 192.168.100.254
en fait, les réseaux 192.168.1.0/24 et 192.168.100.0/24 sont sur un même brin ethernet, mais je veux forcer le passage de LAN vers DMZ via le routeur sous linux
j'ai donc sur le routeur une route insérée comme ceci : # ip route add 192.168.100.0/24 via 192.168.100.254
Le problème c'est que ca ne marche pas des masses !
en reniflant le réseau je vois : 1) que mes paquets partent bien vers le routeur 2) sur le routeur je vois 2 fois chaque paquet (une fois en entrée sur l'interface eth0, une fois en sortie sur cette même interface) 3) sur la machine à atteindre en DMZ, je vois le paquet arriver, et un paquet en réponse repartir vers la source 4) sur le routeur, je ne vois pas ce paquet retour !
Bien entendu la passerelle par défaut de la machine en DMZ est 192.168.100.254
Le routeur est une Debian Sarge, qui tourne avec un kernel "vanilla" 2.6.18.2, le firewall entre ces 2 réseau est désactivé, et le routage est bien actif (d'ailleurs les autres interfaces sont bien routées)
Pour mon problème, j'hésite entre 2 causes : 1) ce que je veux faire est crado, et IP ne le permet pas, 2) Le problème est du coté de ma config Linux. mais dans ce cas je ne vois pas où...
Merci pour toute l'aide que vous pourrez m'apporter :) et fu2 fcri
Salut
Je crois avoir deja eu se type de probleme Si mes souvenirs sont bons: c'est effectivement tres crad et le routage sur linux se base a la fois sur l'adresse mais aussi sur la carte. Hors tu tente de router des paquets sur la meme interface aliasée, et par defaut, lui route sur l'interface physique. Hors le datagramme se perd au niveau de l'interface phy du routeur. Il me semble que c'est le probleme que j'ai eu... il y a bien longtemps ;) En tout cas chose de sur, c'est que pour m'affranchir de ceci, j'ai mis en place des vlans. Peut etre que ta problematique n'existerai plus si les deux interfaces de ton lan et de ta dmz etaient en aliase. Cependant, chose qui est sur, c'est que tout le broadcast traversera tes deux interfaces, et donc poluera a la fois ta dmz et ton lan... ciao
Bonjour,
J'ai un serveur GNU/Linux qui fait office de routeur IPv4, et j'ai
quelques problèmes que je ne comprends pas :
Voici la topologie :
LAN 192.168.1.0/24 ------ eth0 192.168.1.254 ROUTEUR eth1 -----
Internet
DMZ 192.168.100.0/24 ---- eth0:1 192.168.100.254
en fait, les réseaux 192.168.1.0/24 et 192.168.100.0/24 sont sur un même
brin ethernet, mais je veux forcer le passage de LAN vers DMZ via le
routeur sous linux
j'ai donc sur le routeur une route insérée comme ceci :
# ip route add 192.168.100.0/24 via 192.168.100.254
Le problème c'est que ca ne marche pas des masses !
en reniflant le réseau je vois :
1) que mes paquets partent bien vers le routeur
2) sur le routeur je vois 2 fois chaque paquet (une fois en entrée sur
l'interface eth0, une fois en sortie sur cette même interface)
3) sur la machine à atteindre en DMZ, je vois le paquet arriver, et un
paquet en réponse repartir vers la source
4) sur le routeur, je ne vois pas ce paquet retour !
Bien entendu la passerelle par défaut de la machine en DMZ est
192.168.100.254
Le routeur est une Debian Sarge, qui tourne avec un kernel "vanilla"
2.6.18.2, le firewall entre ces 2 réseau est désactivé, et le routage
est bien actif (d'ailleurs les autres interfaces sont bien routées)
Pour mon problème, j'hésite entre 2 causes :
1) ce que je veux faire est crado, et IP ne le permet pas,
2) Le problème est du coté de ma config Linux. mais dans ce cas je ne
vois pas où...
Merci pour toute l'aide que vous pourrez m'apporter :) et fu2 fcri
Salut
Je crois avoir deja eu se type de probleme
Si mes souvenirs sont bons: c'est effectivement tres crad et le routage
sur linux se base a la fois sur l'adresse mais aussi sur la carte.
Hors tu tente de router des paquets sur la meme interface aliasée, et
par defaut, lui route sur l'interface physique. Hors le datagramme se
perd au niveau de l'interface phy du routeur.
Il me semble que c'est le probleme que j'ai eu... il y a bien longtemps ;)
En tout cas chose de sur, c'est que pour m'affranchir de ceci, j'ai mis
en place des vlans.
Peut etre que ta problematique n'existerai plus si les deux interfaces
de ton lan et de ta dmz etaient en aliase. Cependant, chose qui est sur,
c'est que tout le broadcast traversera tes deux interfaces, et donc
poluera a la fois ta dmz et ton lan...
ciao
J'ai un serveur GNU/Linux qui fait office de routeur IPv4, et j'ai quelques problèmes que je ne comprends pas :
Voici la topologie :
LAN 192.168.1.0/24 ------ eth0 192.168.1.254 ROUTEUR eth1 ----- Internet DMZ 192.168.100.0/24 ---- eth0:1 192.168.100.254
en fait, les réseaux 192.168.1.0/24 et 192.168.100.0/24 sont sur un même brin ethernet, mais je veux forcer le passage de LAN vers DMZ via le routeur sous linux
j'ai donc sur le routeur une route insérée comme ceci : # ip route add 192.168.100.0/24 via 192.168.100.254
Le problème c'est que ca ne marche pas des masses !
en reniflant le réseau je vois : 1) que mes paquets partent bien vers le routeur 2) sur le routeur je vois 2 fois chaque paquet (une fois en entrée sur l'interface eth0, une fois en sortie sur cette même interface) 3) sur la machine à atteindre en DMZ, je vois le paquet arriver, et un paquet en réponse repartir vers la source 4) sur le routeur, je ne vois pas ce paquet retour !
Bien entendu la passerelle par défaut de la machine en DMZ est 192.168.100.254
Le routeur est une Debian Sarge, qui tourne avec un kernel "vanilla" 2.6.18.2, le firewall entre ces 2 réseau est désactivé, et le routage est bien actif (d'ailleurs les autres interfaces sont bien routées)
Pour mon problème, j'hésite entre 2 causes : 1) ce que je veux faire est crado, et IP ne le permet pas, 2) Le problème est du coté de ma config Linux. mais dans ce cas je ne vois pas où...
Merci pour toute l'aide que vous pourrez m'apporter :) et fu2 fcri
Salut
Je crois avoir deja eu se type de probleme Si mes souvenirs sont bons: c'est effectivement tres crad et le routage sur linux se base a la fois sur l'adresse mais aussi sur la carte. Hors tu tente de router des paquets sur la meme interface aliasée, et par defaut, lui route sur l'interface physique. Hors le datagramme se perd au niveau de l'interface phy du routeur. Il me semble que c'est le probleme que j'ai eu... il y a bien longtemps ;) En tout cas chose de sur, c'est que pour m'affranchir de ceci, j'ai mis en place des vlans. Peut etre que ta problematique n'existerai plus si les deux interfaces de ton lan et de ta dmz etaient en aliase. Cependant, chose qui est sur, c'est que tout le broadcast traversera tes deux interfaces, et donc poluera a la fois ta dmz et ton lan... ciao
