Re: Iptables eth0 eth1
Le mer 17/03/2004 à 17:13, Franck a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, j'ai un soucis avec iptables (qui n'en a pas :) ) Je m'explique eth0 = connecté vers Internet (192.168.0.20) eth1 = local (192.168.1.1) Il y a un point qui mérite quelques éclaircissements: si eth0 est reliée au net, il doit y avoir une autre passerelle qui doit au moins faire du NAT ou alors, l'IP en question n'est pas valide puisqu'elle correspond à celles définies par la RFC 1918. En clair, par convention, elle ne sera pas routée, une fois le paquet sorti de ton réseau. J'aimerais donc bien savoir le pourquoi du comment de cette adresse IP. J'ai activé pas mal de chose dans /etc/sysctl.conf et, depuis le net, eth0 est comme morte alros qu'elle fonctionne à merveille :) Peux-tu préciser ? Je souhaite faire de meme avec eth1 mais je n'ai pas trouvé d'exemple probant. Quand je lance un scan coté LAN (sur une machine 192.168.1.100), elle trouve et scan bien 192.168.1.1 :( De même. -- Raphaël SurcouF Bordet [EMAIL PROTECTED]
Re: Iptables eth0 eth1
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, j'ai un soucis avec iptables (qui n'en a pas :) ) Je m'explique eth0 = connecté vers Internet (192.168.0.20) eth1 = local (192.168.1.1) Il y a un point qui mérite quelques éclaircissements: si eth0 est reliée au net, il doit y avoir une autre passerelle qui doit au moins faire du NAT ou alors, l'IP en question n'est pas valide puisqu'elle correspond à celles définies par la RFC 1918. En clair, par convention, elle ne sera pas routée, une fois le paquet sorti de ton réseau. J'aimerais donc bien savoir le pourquoi du comment de cette adresse IP. Oui, j'ai ma passerelle en 192.168.0.1 qui sort sur le net mais dans mon cas, c'est eth0 (192.168.0.20) qui sort sur le net. Je me suis créé un LAN dans un LAN avec une autre classe d'IP J'ai activé pas mal de chose dans /etc/sysctl.conf et, depuis le net, eth0 est comme morte alros qu'elle fonctionne à merveille :) Peux-tu préciser ? kernel.grsecurity.grsec_lock=0 net.ipv4.ip_forward=1 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.ipv4.conf.all.log_martians=1 net.ipv4.icmp_echo_ignore_all=1 net.ipv4.tcp_syncookies=1 net.ipv4.tcp_abort_on_overflow=1 net.ipv4.tcp_timestamps=0 net.ipv4.tcp_ecn=0 net.ipv4.conf.all.accept_redirects=0 net.ipv4.ipfrag_high_thresh=524288 net.ipv4.ipfrag_low_thresh=2048 net.ipv4.ipfrag_time=5 Je souhaite faire de meme avec eth1 mais je n'ai pas trouvé d'exemple probant. Quand je lance un scan coté LAN (sur une machine 192.168.1.100), elle trouve et scan bien 192.168.1.1 :( De même. LAN1 = 192.168.0.0 LAN2 = 192.168.1.0 Quand je lance un nmap depuis une machine sur le LAN1, l'interface eth0 n'est pas visible. Or si je lance le meme scan depuis le LAN2, l'interface eth1 est visible et je vois les ports ouverts. Mon but est d'avoir eth1 comme eth0, c'est à dire ne répondant pas. ++ -- Franck http://www.linuxpourtous.com
Re: Iptables eth0 eth1
Le jeu 18/03/2004 à 14:11, Franck a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, j'ai un soucis avec iptables (qui n'en a pas :) ) Je m'explique eth0 = connecté vers Internet (192.168.0.20) eth1 = local (192.168.1.1) Il y a un point qui mérite quelques éclaircissements: si eth0 est reliée au net, il doit y avoir une autre passerelle qui doit au moins faire du NAT ou alors, l'IP en question n'est pas valide puisqu'elle correspond à celles définies par la RFC 1918. En clair, par convention, elle ne sera pas routée, une fois le paquet sorti de ton réseau. J'aimerais donc bien savoir le pourquoi du comment de cette adresse IP. Oui, j'ai ma passerelle en 192.168.0.1 qui sort sur le net mais dans mon cas, c'est eth0 (192.168.0.20) qui sort sur le net. Je me suis créé un LAN dans un LAN avec une autre classe d'IP Je pense que le problème est surtout au niveau de cette attribution arbitraire d'adresse IP définie par la RFC 1918. J'avoue avoir du mal à comprendre. Si cette passerelle permet de sortir en dehors de ton réseau, elle doit bien avoir une route par défaut, menant soit sur un routeur, soit une passerelle NAT car ce type d'adresses IP ne sera jamais routé sur le réseau des réseaux: c'est une convention. -- Raphaël SurcouF Bordet [EMAIL PROTECTED]
Re: Iptables eth0 eth1
Raphaël \SurcouF\ Bordet a écrit : Le jeu 18/03/2004 à 14:11, Franck a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, j'ai un soucis avec iptables (qui n'en a pas :) ) Je m'explique eth0 = connecté vers Internet (192.168.0.20) eth1 = local (192.168.1.1) Il y a un point qui mérite quelques éclaircissements: si eth0 est reliée au net, il doit y avoir une autre passerelle qui doit au moins faire du NAT ou alors, l'IP en question n'est pas valide puisqu'elle correspond à celles définies par la RFC 1918. En clair, par convention, elle ne sera pas routée, une fois le paquet sorti de ton réseau. J'aimerais donc bien savoir le pourquoi du comment de cette adresse IP. Oui, j'ai ma passerelle en 192.168.0.1 qui sort sur le net mais dans mon cas, c'est eth0 (192.168.0.20) qui sort sur le net. Je me suis créé un LAN dans un LAN avec une autre classe d'IP Je pense que le problème est surtout au niveau de cette attribution arbitraire d'adresse IP définie par la RFC 1918. J'avoue avoir du mal à comprendre. Si cette passerelle permet de sortir en dehors de ton réseau, elle doit bien avoir une route par défaut, menant soit sur un routeur, soit une passerelle NAT car ce type d'adresses IP ne sera jamais routé sur le réseau des réseaux: c'est une convention. sisi, ça marche et ça marche meme bien :) Internet 192.168.0.1 -- LAN1 (192.168.0.0) Boitier routeur interne : 192.168.0.20(eth0) -- 192.168.1.1(eth1) -- 192.1468.1.0 eth0 Link encap:Ethernet HWaddr 00:00:24:C1:54:C0 inet addr:192.168.0.20 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:31679 errors:0 dropped:0 overruns:0 frame:0 TX packets:20206 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:8391992 (8.0 MiB) TX bytes:3246038 (3.0 MiB) Interrupt:10 Base address:0x3000 eth1 Link encap:Ethernet HWaddr 00:00:24:C1:54:C1 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15333 errors:0 dropped:0 overruns:0 frame:0 TX packets:13281 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1510595 (1.4 MiB) TX bytes:5003880 (4.7 MiB) Interrupt:10 Base address:0x5000 Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 * 255.255.255.0 U 0 00 eth1 192.168.0.0 * 255.255.255.0 U 0 00 eth0 default admin 0.0.0.0 UG0 00 eth0 -- Franck http://www.linuxpourtous.com
Re: Iptables eth0 eth1
Le 12495ième jour après Epoch, [EMAIL PROTECTED] écrivait: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, j'ai un soucis avec iptables (qui n'en a pas :) ) Je m'explique eth0 = connecté vers Internet (192.168.0.20) eth1 = local (192.168.1.1) Il y a un point qui mérite quelques éclaircissements: si eth0 est reliée au net, il doit y avoir une autre passerelle qui doit au moins faire du NAT ou alors, l'IP en question n'est pas valide puisqu'elle correspond à celles définies par la RFC 1918. En clair, par convention, elle ne sera pas routée, une fois le paquet sorti de ton réseau. J'aimerais donc bien savoir le pourquoi du comment de cette adresse IP. Oui, j'ai ma passerelle en 192.168.0.1 qui sort sur le net mais dans mon cas, c'est eth0 (192.168.0.20) qui sort sur le net. Je comprends pas bien là... Tu peux essayer de faire un schéma ? J'ai activé pas mal de chose dans /etc/sysctl.conf et, depuis le net, eth0 est comme morte alros qu'elle fonctionne à merveille :) Peux-tu préciser ? kernel.grsecurity.grsec_lock=0 [...] net.ipv4.ipfrag_time=5 Je pense que la demande de précision était plutôt: Que signifie eth0 est comme morte ... -- Someone on IRC was very sad about the uptime of his machine wrapping from 497 days to 0. -- linux-kernel
Re: Iptables eth0 eth1
Oui, j'ai ma passerelle en 192.168.0.1 qui sort sur le net mais dans mon cas, c'est eth0 (192.168.0.20) qui sort sur le net. Je comprends pas bien là... Tu peux essayer de faire un schéma ? Internet - passerelle 0.1 puis réseau LAN1 (192.168.0.0) J'ai une machine pour mon LAN2 192.168.0.20(eth0) et 192.168.1.1(eth1) et ensuite j'ai mon laptop en 192.168.1.100 qui surf sans soucis sur le web J'ai activé pas mal de chose dans /etc/sysctl.conf et, depuis le net, eth0 est comme morte alros qu'elle fonctionne à merveille :) Peux-tu préciser ? kernel.grsecurity.grsec_lock=0 [...] net.ipv4.ipfrag_time=5 Je pense que la demande de précision était plutôt: Que signifie eth0 est comme morte ... nmap -sS -O 192.168.0.20 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Note: Host seems down. If it is really up, but blocking our ping probes, try -P0 Nmap run completed -- 1 IP address (0 hosts up) scanned in 31 seconds -- Franck http://www.linuxpourtous.com
Re: Iptables eth0 eth1
Le jeu 18/03/2004 à 16:04, Franck a écrit : Oui, j'ai ma passerelle en 192.168.0.1 qui sort sur le net mais dans mon cas, c'est eth0 (192.168.0.20) qui sort sur le net. Je me suis créé un LAN dans un LAN avec une autre classe d'IP Je pense que le problème est surtout au niveau de cette attribution arbitraire d'adresse IP définie par la RFC 1918. J'avoue avoir du mal à comprendre. Si cette passerelle permet de sortir en dehors de ton réseau, elle doit bien avoir une route par défaut, menant soit sur un routeur, soit une passerelle NAT car ce type d'adresses IP ne sera jamais routé sur le réseau des réseaux: c'est une convention. sisi, ça marche et ça marche meme bien :) Internet 192.168.0.1 -- LAN1 (192.168.0.0) Boitier routeur interne : 192.168.0.20(eth0) -- 192.168.1.1(eth1) -- 192.1468.1.0 Ton schéma n'est pas très clair mais il s'en dégage au moins une chose: tu as donc un équipement réseau (communément appelé routeur) qui se charge de traduire les adresses IP de ton réseau local (192.168.0.0/24) par la sienne. Il y a donc de fortes chances pour que cet équipement ne connaisse pas ton second réseau local (192.168.1.0/24) afin de faire la même opération. -- Raphaël SurcouF Bordet [EMAIL PROTECTED]
Re: Iptables eth0 eth1
sisi, ça marche et ça marche meme bien :) Internet 192.168.0.1 -- LAN1 (192.168.0.0) Boitier routeur interne : 192.168.0.20(eth0) -- 192.168.1.1(eth1) -- 192.1468.1.0 ADSL | Beswan 6104W 192.168.0.1 (channel 12) | --LAN1 | | | | 0.2 0.30.22 192.168.0.20 (eth0) 192.168.1.1 (eth1) | --LAN2--- | AP WiFi 192.168.1.50 (channel 1) | laptop 192.168.1.100 Il est plus clair mon réseau :) Le laptop connecté en WiFi sur l'AP surf sans soucis sur le net :) Ton schéma n'est pas très clair mais il s'en dégage au moins une chose: tu as donc un équipement réseau (communément appelé routeur) qui se charge de traduire les adresses IP de ton réseau local (192.168.0.0/24) par la sienne. Il y a donc de fortes chances pour que cet équipement ne connaisse pas ton second réseau local (192.168.1.0/24) afin de faire la même opération. Mon réseau fonctionne à merveille, c'est pas le soucis. Je veux juste que eth1 ne soit pas trouvé par nmap -sS -O 192.168.1.1 comme l'est 192.168.0.20 Le routage marche TRES bien et je surf sans soucis depuis mon LAN2 -- Franck http://www.linuxpourtous.com
Iptables eth0 eth1
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello, j'ai un soucis avec iptables (qui n'en a pas :) ) Je m'explique eth0 = connecté vers Internet (192.168.0.20) eth1 = local (192.168.1.1) J'ai activé pas mal de chose dans /etc/sysctl.conf et, depuis le net, eth0 est comme morte alros qu'elle fonctionne à merveille :) Je souhaite faire de meme avec eth1 mais je n'ai pas trouvé d'exemple probant. Quand je lance un scan coté LAN (sur une machine 192.168.1.100), elle trouve et scan bien 192.168.1.1 :( Voici mon 1er jet : # #!/bin/sh # Internet Configuration. INET_IP=192.168.0.20 INET_IFACE=eth0 INET_BROADCAST=192.168.0.255 # Local Area Network configuration. LAN_IP=192.168.1.1 LAN_IP_RANGE=192.168.1.0/24 LAN_IFACE=eth1 LAN_BROADCAST=192.168.1.255 # Localhost Configuration. LO_IFACE=lo # IPTables Configuration. IPTABLES=/sbin/iptables # Nettoyage des regles $IPTABLES -F $IPTABLES -t nat -F $IPTABLES -t mangle -F $IPTABLES -X $IPTABLES -t nat -X $IPTABLES -t mangle -X # Regles par defaut $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT ACCEPT # Ajouter le filtre entrant $IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT # Stop les scannings $IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP $IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j DROP # Autoriser les ports revenant de tes requetes sortantes $IPTABLES -A INPUT -m state --state INVALID -j DROP $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT $IPTABLES -A INPUT -p tcp --dport ssh -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP # Merci - -- Franck http://www.linuxpourtous.com -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFAWHkt1zwfep5k9qERAp8rAJ9dZz0Swtt4z7RI1dTXDo6gTpaSRgCgi+rk HuYSRmQEkuSYlKP3gx7vKzE= =YhHs -END PGP SIGNATURE-