Suite de mes histoires de Freebox

Le 29/12/2006, Eul_Bofo a supposé :

Salut.

Suite à mes précédents échanges, j'ai regardé comment marchait
l'installation de la Freebox sous Debian (seule documentation disponible
avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS
pour les mémodéfaillants).

Bon, je suis en ethernet, mais ça me pose un problème. Que je vous
explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la
Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC
de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station
Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent
modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant
prise par la Freebox.

J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie :
il n'est pas routeur. Voici comment j'essaye de le faire marcher
maintenant (police à chasse fixe conseillée !) :

**************************
* * *
* LFS box * eth0 *---------|
* * * |
************************** |
| *********
|---* *
* *
************************** * *
* * * *
* Freebox eth *-------------* hub *
* * * *
************************** * *
* *
|---* *
| * *
************************** | *********
* * * |
* Winbeurk box * eth *---------|
* * *
**************************

Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de
ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
une daube Window$ qui a une autre adresse ?

Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
crois, routeur (c'est activable en ligne, il me semble), cela peut-il
aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
routeur (je sais pas, mais sans-doute beaucoup plus cher) ?

Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba
entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse
accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque
fois la prise de l'imprimante de PC.

Et si vous avez une solution qui fait en plus un petit café de temps en
temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes
choix ne sont pas forcément les meilleurs, j'aimerais faire avec les
moyens du bord si possible, avec le moins de frais possibles.

Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de
merde, une jolie station Linux, une daube Window$ et une Freebox pour les
crétins" en ligne en moins de 50 pages, avec tout bien décrit...

Le + simple et le + economique est de passer la Freebox en mode
routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout
compris...
...pour le café je n'ai po de solution... :/

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

pour l'impression partagée, jette un coup d'oeil la dessus
=>
http://fedoraforum.org/forum/showthread.php?t3307&highlight=share+printing

Eric G. wrote:

Le 29/12/2006, Eul_Bofo a supposé :

Salut.

Suite à mes précédents échanges, j'ai regardé comment marchait
l'installation de la Freebox sous Debian (seule documentation disponible
avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS
pour les mémodéfaillants).

Bon, je suis en ethernet, mais ça me pose un problème. Que je vous
explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la
Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC
de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station
Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent
modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant
prise par la Freebox.

J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie :
il n'est pas routeur. Voici comment j'essaye de le faire marcher
maintenant (police à chasse fixe conseillée !) :

**************************
* * *
* LFS box * eth0 *---------|
* * * |
************************** |
| *********
|---* *
* *
************************** * *
* * * *
* Freebox eth *-------------* hub *
* * * *
************************** * *
* *
|---* *
| * *
************************** | *********
* * * |
* Winbeurk box * eth *---------|
* * *
**************************

Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de
ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
une daube Window$ qui a une autre adresse ?

Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
crois, routeur (c'est activable en ligne, il me semble), cela peut-il
aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
routeur (je sais pas, mais sans-doute beaucoup plus cher) ?

Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba
entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse
accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque
fois la prise de l'imprimante de PC.

Et si vous avez une solution qui fait en plus un petit café de temps en
temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes
choix ne sont pas forcément les meilleurs, j'aimerais faire avec les
moyens du bord si possible, avec le moins de frais possibles.

Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de
merde, une jolie station Linux, une daube Window$ et une Freebox pour les
crétins" en ligne en moins de 50 pages, avec tout bien décrit...

Le + simple et le + economique est de passer la Freebox en mode
routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout
compris...
...pour le café je n'ai po de solution... :/

très simple :

la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas
dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway
de la freebox, à régler sur le site de free, compte perso)

une carte ethernet (ou le circuit ethernet de la carte mère, généralement un
realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub,

la win$box sur le hub en 192.168.10.2, câble ethernet droit.

les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès
pour faire faire le routage et les filtres iptables/netfilter par la
linuxbox.

activer les règles suivantes (au minimum) sur la linuxbox :

#!/bin/sh
# Le script commence par effacer les règles de filtrage actuelles
/sbin/iptables -F
/sbin/iptables -t nat -F

# Effacement des chaines existantes
/sbin/iptables -X

# on charge les modules NAT
modprobe iptable_nat
modprobe ip_nat_irc
modprobe iptable_filter
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe iptable_mangle
modprobe iptables_conntrack_rtsp

# on active l'IP-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# on accepte les paquets relatifs aux connexions déjà ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# on accepte tout ce qui se passe sur lo
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# on accepte tout ce qui se passe sur le reseau local 192.168.10.0
/sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

# dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le
POSTROUTING
/sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

# éventuellement, on autorise les requêtes dhcp
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j
ACCEPT

# on autorise les requêtes dns venat de 192.168.10.0
/sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT

# On DNAT la freebox
/sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d
212.27.38.253 -j DNAT -d 192.168.0.250

# On autorise udp sur les ports utilisés par freeplayer
/sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000
-j ACCEPT

# On ouvre le port 8080 et le 1234
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT
# ... ainsi que les réponses
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT

# On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et
192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment
192.168.10.0 )
/sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT

# On ouvre le port 631 pour cups sur le réseau local 192.168.10.0
/sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT

# ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET
/sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT

# ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET
/sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP

# INTERDICTION de ROUTAGE NETBIOS SUR INTERNET
/sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP
/sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP

sur les machines du réseau local, mettre l'adresse de la linuxbox
192.168.10.1 comme gateway.

inconvénient : la linuxbox doit être allumée pour que les autres machines
accèdent au net.
avantage : toutes les machines du segment 192.168.10.0 ont une protection
minimale contre les intrusions netbeui.
avantage : freeplayer sur le réseau local.

au passage, toutes remarques, observations, suggestions, des contributeurs
du forum sont acceptées avec plaisir.

bonnes fêtes, bonne année, et A+

On Fri, 29 Dec 2006 10:02:02 +0100, sansflotusspam
<sansalain.flotspam@free.fr>:

avantage : toutes les machines du segment 192.168.10.0 ont une protection
minimale contre les intrusions netbeui.

Je ne vois pas bien ce que ta solution apporte par rapport à une
config classique (tout en 192.168.0.x, et la freebox en routeur).

sansflotusspam a pensé très fort :

très simple :

la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas
dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway
de la freebox, à régler sur le site de free, compte perso)

une carte ethernet (ou le circuit ethernet de la carte mère, généralement un
realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub,

la win$box sur le hub en 192.168.10.2, câble ethernet droit.

les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès
pour faire faire le routage et les filtres iptables/netfilter par la
linuxbox.

activer les règles suivantes (au minimum) sur la linuxbox :

#!/bin/sh
# Le script commence par effacer les règles de filtrage actuelles
/sbin/iptables -F
/sbin/iptables -t nat -F

# Effacement des chaines existantes
/sbin/iptables -X

# on charge les modules NAT
modprobe iptable_nat
modprobe ip_nat_irc
modprobe iptable_filter
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe iptable_mangle
modprobe iptables_conntrack_rtsp

# on active l'IP-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# on accepte les paquets relatifs aux connexions déjà ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# on accepte tout ce qui se passe sur lo
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# on accepte tout ce qui se passe sur le reseau local 192.168.10.0
/sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

# dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le
POSTROUTING
/sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

# éventuellement, on autorise les requêtes dhcp
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j
ACCEPT

# on autorise les requêtes dns venat de 192.168.10.0
/sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT

# On DNAT la freebox
/sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d
212.27.38.253 -j DNAT -d 192.168.0.250

# On autorise udp sur les ports utilisés par freeplayer
/sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000
-j ACCEPT

# On ouvre le port 8080 et le 1234
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT
# ... ainsi que les réponses
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT

# On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et
192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment
192.168.10.0 )
/sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT

# On ouvre le port 631 pour cups sur le réseau local 192.168.10.0
/sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT

# ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET
/sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT

# ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET
/sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP

# INTERDICTION de ROUTAGE NETBIOS SUR INTERNET
/sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP
/sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP

sur les machines du réseau local, mettre l'adresse de la linuxbox
192.168.10.1 comme gateway.

inconvénient : la linuxbox doit être allumée pour que les autres machines
accèdent au net.
avantage : toutes les machines du segment 192.168.10.0 ont une protection
minimale contre les intrusions netbeui.
avantage : freeplayer sur le réseau local.

au passage, toutes remarques, observations, suggestions, des contributeurs
du forum sont acceptées avec plaisir.

euh...bah on n'a po la meme definition du mot "simple"... ;-)

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

Salut,

Je ne vois pas bien ce que ta solution apporte par rapport à une
config classique (tout en 192.168.0.x, et la freebox en routeur).

1) Le filtrage iptables par la machine Linux. La Freebox en mode routeur
NAT, on ne sait pas trop ce qu'elle filtre.

2) La machine Linux a l'adresse IP publique de la connexion et une
connectivité complète sans NAT.

Salut,

**************************
* LFS box * eth0 *---------|
************************** |
| *********
|---* *
************************** * *
* Freebox eth *-------------* hub *
************************** * *
|---* *
| * *
************************** | *********
* Winbeurk box * eth *---------|
**************************

Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
adresse IP, quoi),

Tu veux dire que la machine connectée à internet via la Freebox récupère
sa configuration IP par DHCP. Comment la Freebox récupère cette
configuration auprès de Free est une autre histoire, et sans importance
de toute façon.

j'ai donc du modifier la config de la liaison eth0 de
ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
une daube Window$ qui a une autre adresse ?

Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
crois, routeur (c'est activable en ligne, il me semble), cela peut-il
aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
routeur (je sais pas, mais sans-doute beaucoup plus cher) ?

"Tout est possible, tout est réalisable", comme dirait l'autre. Mais
toutes les solutions ne se valent pas.

- Passer la Freebox en mode routeur NAT :
Les deux machines récupèrent une adresses IP privée dans le même
sous-réseau par DHCP auprès de la Freebox et peuvent donc communiquer
entre elles. Inconvénient éventuel (pour d'autres c'est un avantage), la
machine Linux n'a plus l'adresse IP publique ni de connectivité directe
à internet. Solution propre, mais on ne sait pas trop ce que filtre la
Freebox en mode routeur NAT.

- Remplacer le hub par un routeur NAT avec switch intégré ou insérer un
routeur NAT entre le hub et la Freebox :
Comme le passage de la Freebox en mode routeur NAT, mais éventuellement
on peut avoir un contrôle plus fin sur le filtrage et le NAT du routeur.

- Ajouter une seconde interface ethernet à la machine Linux :
Relier le hub à l'une et la Freebox en mode simple à l'autre. Pour les
détails, voir la réponse de "sansflotusspam". Solution propre, la
machine Linux conserve l'adresse IP publique et gère le filtrage et le
NAT pour elle-même et la machine Windows derrière elle.

- Ne rien changer au niveau matériel ni dans la Freebox :
La machine Linux reçoit l'adresse IP publique par DHCP sur son interface
eth0. Définir un sous-réseau IP privé entre la machine Linux et la
machine Windows. Attribuer statiquement une des adresses privées à la
machine Windows et une autre à un alias de l'interface ethernet de la
machine Linux (eth0:1 par exemple). Activer le routage et le NAT comme
précédemment mais c'est la même interface eth0 qui sert à la fois de LAN
et de WAN. Solution sale puisque les deux réseaux se partagent le même
support ethernet. A éviter si possible.

- Si le hub est en réalité un switch qui supporte les VLAN 802.1q (on
peut toujours rêver) :
Créer deux VLAN sur le switch, que j'appellerai LAN et WAN. Associer le
port sur lquel est branchée la Freebox au VLAN WAN non taggé. Associer
le port sur lequel est branchée la machine Windows au VLAN LAN non
taggé. Associer le port sur lequel est branchée la machine Linux aux
deux VLAN en mode taggué 802.1q. Définir sur la machine Linux deux
interfaces VLAN liées à eth0 associées à chaque VLAN (man vconfig), que
j'appellerai eth0.LAN et eth0.WAN. Pour la configuration IP, ça revient
au même que la solution avec une interface ethernet supplémentaire.
Solution propre puisque les deux réseaux sont séparés logiquement au
niveau du switch.

Je ne vois pas bien ce que ta solution apporte par rapport à une
config classique (tout en 192.168.0.x, et la freebox en routeur).

2) La machine Linux a l'adresse IP publique de la connexion et une
connectivité complète sans NAT.

Je retire. Apparemment la solution de sansflotusspam suppose que la
Freebox est en mode routeur, ce dont je ne vois pas l'intérêt.

On Fri, 29 Dec 2006 14:57:54 +0100, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org>:

1) Le filtrage iptables par la machine Linux. La Freebox en mode routeur
NAT, on ne sait pas trop ce qu'elle filtre.

Yep, mais avec la solution de "sansflotusspam", le PC Windows est
physiquement branché sur la freebox. Donc, soit on fait confiance à la
freebox et on n'a pas besoin d'un truc aussi compliqué, soit on ne lui
fait pas confiance et la solution est mauvaise.

Si on veut utiliser une machine Linux pour filtrer et protéger une
machine Windows, il faut AMHA que la passerelle Linux ait deux cartes
réseau, et que les deux sous-réseaux soient physiquement séparés.

On Fri, 29 Dec 2006 15:32:01 +0100, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org>:

Inconvénient éventuel (pour d'autres c'est un avantage), la
machine Linux n'a plus l'adresse IP publique ni de connectivité directe
à internet. Solution propre, mais on ne sait pas trop ce que filtre la
Freebox en mode routeur NAT.

Reste à savoir si la machine Linux, configurée par l'OP, est plus ou
moins fiable que la freebox.

- Si le hub est en réalité un switch qui supporte les VLAN 802.1q (on
peut toujours rêver) :

J'avais oublié cette solution dans mon autre message, mais c'est
effectivement peu probable. Et il y a des chances pour que l'achat
d'un tel switch soit largement plus onéreux que l'ajout d'une carte
réseau dans le PC Linux...