Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
3 réponses
fra-duf-no-spam
Salut.
Pour diverses raisons, j'aimerais transformer mon actuel serveur qui
fait fw, passerelle, dns, patin-coufin... en un simple serveur DMZ
derri=C3=A8re ma Freebox.
Comme je sais que je vais oublier des trucs, je suis en train de
pr=C3=A9parer un petit script qui va g=C3=A9rer les deux situations. Genre
"boxmode fw" ou "boxmode dmz"...
Ma question est: J'ai 3 cartes r=C3=A9seau, dont deux seulement sont
actives. L'une sur la FBX, et l'autre sur mon r=C3=A9seau local. Mes r=C3=
=A8gles
iptables sont pour le moment bas=C3=A9e sur l'interface, je veux donc
pouvoir continuer =C3=A0 les utiliser ainsi.
Je vais donc avoir 2 interfaces physiques sur le m=C3=AAme r=C3=A9seau, l'u=
ne
avec une seule IP, correspondant =C3=A0 l'information "DMZ" de la freebox,
et l'autre avec les adresses IP de l'ancien r=C3=A9seau local.
Sachant que j'utilise une table de routage qui int=C3=A8gre le p=C3=A9riph=
=C3=A9rique
(en gros, routage par source, et routage par d=C3=A9faut sur ethX), quels
sont les soucis que je peux avoir lors de la bascule ?
D'autre part, je suis preneur de toute information sur ce type de
manip.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
François TOURDE a écrit :
Je vais donc avoir 2 interfaces physiques sur le même réseau, l'une avec une seule IP, correspondant à l'information "DMZ" de la freebox, et l'autre avec les adresses IP de l'ancien réseau local.
Sachant que j'utilise une table de routage qui intègre le périphérique (en gros, routage par source, et routage par défaut sur ethX), quels sont les soucis que je peux avoir lors de la bascule ?
Ce n'est généralement pas une bonne idée d'avoir plusieurs interfaces sur le même réseau, et ça ne sert pas à grand chose. Tu risques notamment de rencontrer des problèmes à cause de la résolution ARP. Par défaut, Linux considère que les adresses IP locales appartiennent à la machine, et pas à une interface en particulier. Donc les deux interfaces répondent aux requêtes ARP pour n'importe quelle adresse IP de la machine. Par conséquent, il y a une chance sur deux que les paquets reçus soient envoyés à la "mauvaise" interface, ce qui est gênant si le filtrage d'entrée est différent sur chaque interface. Pour éviter ça, il faut modifier la façon dont le noyau gère les requêtes ARP sur chaque interface avec les paramètres arp_filter et/ou arp_ignore dans /proc/sys/net/ipv4/conf/<interface>/. On doit aussi pouvoir faire la même chose avec des règles arptables.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
François TOURDE a écrit :
Je vais donc avoir 2 interfaces physiques sur le même réseau, l'une
avec une seule IP, correspondant à l'information "DMZ" de la freebox,
et l'autre avec les adresses IP de l'ancien réseau local.
Sachant que j'utilise une table de routage qui intègre le périphérique
(en gros, routage par source, et routage par défaut sur ethX), quels
sont les soucis que je peux avoir lors de la bascule ?
Ce n'est généralement pas une bonne idée d'avoir plusieurs interfaces
sur le même réseau, et ça ne sert pas à grand chose. Tu risques
notamment de rencontrer des problèmes à cause de la résolution ARP. Par
défaut, Linux considère que les adresses IP locales appartiennent à la
machine, et pas à une interface en particulier. Donc les deux interfaces
répondent aux requêtes ARP pour n'importe quelle adresse IP de la
machine. Par conséquent, il y a une chance sur deux que les paquets
reçus soient envoyés à la "mauvaise" interface, ce qui est gênant si le
filtrage d'entrée est différent sur chaque interface. Pour éviter ça, il
faut modifier la façon dont le noyau gère les requêtes ARP sur chaque
interface avec les paramètres arp_filter et/ou arp_ignore dans
/proc/sys/net/ipv4/conf/<interface>/. On doit aussi pouvoir faire la
même chose avec des règles arptables.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je vais donc avoir 2 interfaces physiques sur le même réseau, l'une avec une seule IP, correspondant à l'information "DMZ" de la freebox, et l'autre avec les adresses IP de l'ancien réseau local.
Sachant que j'utilise une table de routage qui intègre le périphérique (en gros, routage par source, et routage par défaut sur ethX), quels sont les soucis que je peux avoir lors de la bascule ?
Ce n'est généralement pas une bonne idée d'avoir plusieurs interfaces sur le même réseau, et ça ne sert pas à grand chose. Tu risques notamment de rencontrer des problèmes à cause de la résolution ARP. Par défaut, Linux considère que les adresses IP locales appartiennent à la machine, et pas à une interface en particulier. Donc les deux interfaces répondent aux requêtes ARP pour n'importe quelle adresse IP de la machine. Par conséquent, il y a une chance sur deux que les paquets reçus soient envoyés à la "mauvaise" interface, ce qui est gênant si le filtrage d'entrée est différent sur chaque interface. Pour éviter ça, il faut modifier la façon dont le noyau gère les requêtes ARP sur chaque interface avec les paramètres arp_filter et/ou arp_ignore dans /proc/sys/net/ipv4/conf/<interface>/. On doit aussi pouvoir faire la même chose avec des règles arptables.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bon, du coup je vais plutôt refaire un pack de règles avec -i qua nd la machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus simple et je pense tout aussi efficace.
Bon, du coup je vais plutôt refaire un pack de règles avec -i qua nd la
machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus
simple et je pense tout aussi efficace.
Bon, du coup je vais plutôt refaire un pack de règles avec -i qua nd la machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus simple et je pense tout aussi efficace.
J'ai le vague souvenir d'une attaque de ce type là sur des modems ADSL de type SpeedTouch.
Pascal Hambourg
François TOURDE a écrit :
Par défaut, Linux considère que les adresses IP locales appartiennent à la machine, et pas à une interface en particulier. Donc les deux interfaces répondent aux requêtes ARP pour n'importe quelle adresse IP de la machine. Par conséquent, il y a une chance sur deux que les paquets reçus soient envoyés à la "mauvaise" interface, ce qui est gênant si le filtrage d'entrée est différent sur chaque interface.
Même si la machine n'est pas configurée pour faire de l'ip_forwarding?
Pour autant que je sache ip_forward n'a pas d'influence sur la couche ARP, sauf peut-être en combinaison avec proxy_arp (mais ce n'est pas le sujet).
Bon, du coup je vais plutôt refaire un pack de règles avec -i quand la machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus simple et je pense tout aussi efficace.
Subsiste tout de même le risque de recevoir des paquets forgés avec l'adresse émettrice en .42 (ip choisie sur la FBX pour faire DMZ), et qui dont seront "répondus" depuis ma machine locale vers l'IP .42, du coup acceptés parce que venant du réseau local.
Ce risque (pour autant que ça représente vraiment un risque) existe dans tous les cas à partir du moment où il n'y a qu'un seul réseau. Tu peux filtrer sur l'adresse MAC.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François TOURDE a écrit :
Par défaut, Linux considère que les adresses IP locales
appartiennent à la machine, et pas à une interface en
particulier. Donc les deux interfaces répondent aux requêtes ARP pour
n'importe quelle adresse IP de la machine. Par conséquent, il y a une
chance sur deux que les paquets reçus soient envoyés à la "mauvaise"
interface, ce qui est gênant si le filtrage d'entrée est différent sur
chaque interface.
Même si la machine n'est pas configurée pour faire de l'ip_forwarding?
Pour autant que je sache ip_forward n'a pas d'influence sur la couche
ARP, sauf peut-être en combinaison avec proxy_arp (mais ce n'est pas le
sujet).
Bon, du coup je vais plutôt refaire un pack de règles avec -i quand la
machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus
simple et je pense tout aussi efficace.
Subsiste tout de même le risque de recevoir des paquets forgés avec
l'adresse émettrice en .42 (ip choisie sur la FBX pour faire DMZ), et
qui dont seront "répondus" depuis ma machine locale vers l'IP .42, du
coup acceptés parce que venant du réseau local.
Ce risque (pour autant que ça représente vraiment un risque) existe dans
tous les cas à partir du moment où il n'y a qu'un seul réseau. Tu peux
filtrer sur l'adresse MAC.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Par défaut, Linux considère que les adresses IP locales appartiennent à la machine, et pas à une interface en particulier. Donc les deux interfaces répondent aux requêtes ARP pour n'importe quelle adresse IP de la machine. Par conséquent, il y a une chance sur deux que les paquets reçus soient envoyés à la "mauvaise" interface, ce qui est gênant si le filtrage d'entrée est différent sur chaque interface.
Même si la machine n'est pas configurée pour faire de l'ip_forwarding?
Pour autant que je sache ip_forward n'a pas d'influence sur la couche ARP, sauf peut-être en combinaison avec proxy_arp (mais ce n'est pas le sujet).
Bon, du coup je vais plutôt refaire un pack de règles avec -i quand la machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus simple et je pense tout aussi efficace.
Subsiste tout de même le risque de recevoir des paquets forgés avec l'adresse émettrice en .42 (ip choisie sur la FBX pour faire DMZ), et qui dont seront "répondus" depuis ma machine locale vers l'IP .42, du coup acceptés parce que venant du réseau local.
Ce risque (pour autant que ça représente vraiment un risque) existe dans tous les cas à partir du moment où il n'y a qu'un seul réseau. Tu peux filtrer sur l'adresse MAC.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
