RE: Pont filtrant
Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :) As-tu essayé plutôt un apt-get clean ? :) >Attention quand même , parce que la (si la règle matche) tu autorise la >totalité du réseau 192.168.0.X, et pas seulement le proxy. Oui je m'en suis aperçu après, j'avais fait une sorte de passoire. >"ebtables" serait surement plus approprié. Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant "+ à l'aise avec iptables", je suis plutôt parti la dessus. >Le forward est il activé ? Est-ce vraiment utile d'activer le forward dans une configuration de pont ? La passerelle n'est pas le pont mais le routeur derrière Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché à la conf du bridge qui est bonne, et je me suis inspiré d'un post sur léa-linux pour la conf iptable. La voici : #!/bin/bash iptables -F iptables -X LANS="192.168.0.0/255.255.255.0" PROXY="192.168.0.5" WEB="192.168.0.6" modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -N KEEP_STATE iptables -F KEEP_STATE iptables -A KEEP_STATE -m state --state INVALID -j DROP iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j KEEP_STATE #règles persos iptables -A FORWARD -p tcp -d $WEB --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s $LANS --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT # iptables -A FORWARD -s $PROXY -j ACCEPT iptables -A FORWARD -j DROP -- Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi empêcher la connexion directe. J'espère que ces règles tiennent la route. Re, Le 11/03/2014 15:04, sylv raou a écrit : > > Au lieu de faire une règle de redirection de port, je préfère bloquer > le port 80 pour le lan, et n'autoriser que le proxy. > je configure les règles suivantes : > > #! /bin/sh > iptables -F > iptables -X > PROXY="192.168.0.5/255.255.225.0"; > iptables -F FORWARD > iptables -P FORWARD DROP > iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID > -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j > ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT > > Le proxy ne veut pas sortir ? > Ai-je commis une erreur quelque part ? > Question con, mais des fois ... Le forward est il activé ? *Méthode bourrin* : echo 1 > /proc/sys/net/ipv4/ip_forward *Méthode plus douce* : sysctl net.ipv4.ip_forward=1 *Méthode permanente* : retirer le # dans le fichier /etc/sysctl.conf #net.ipv4.ip_forward=1 @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f7ea3.2030...@stuxnet.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/d88d0d07a51e40809e09d2b4a7ed7...@db4pr01mb175.eurprd01.prod.exchangelabs.com
Re: Pont filtrant
On Tue, 11 Mar 2014 22:05:12 +0100 Christophe wrote: > Que veux tu bridger, si c'est pas sur le même segment ? > (n'est-ce pas le principe même du bridge ???) Je parle du fait qu'il bridge des segments de la même plage d'adresses IP. > Cette conf me parait tout ce qu'il y a de plus légitime. Je n'ai pas dis le contraire, seulement qu'il était rare de bridger entre 2 segments de la même plage d'adresses IP. -- TooTo: Par exemple si tu mets le chien dans le micro onde, tu perds la garantie Manny: Pour le chien ou pour le micro onde? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140311224756.7233c58b@anubis.defcon1
Re: Pont filtrant
Re, Le 11/03/2014 15:04, sylv raou a écrit : > > Au lieu de faire une règle de redirection de port, je préfère bloquer > le port 80 pour le lan, et n'autoriser que le proxy. > je configure les règles suivantes : > > #! /bin/sh > iptables -F > iptables -X > PROXY="192.168.0.5/255.255.225.0"; > iptables -F FORWARD > iptables -P FORWARD DROP > iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID > -j DROP > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT > > Le proxy ne veut pas sortir ? > Ai-je commis une erreur quelque part ? > Question con, mais des fois ... Le forward est il activé ? *Méthode bourrin* : echo 1 > /proc/sys/net/ipv4/ip_forward *Méthode plus douce* : sysctl net.ipv4.ip_forward=1 *Méthode permanente* : retirer le # dans le fichier /etc/sysctl.conf #net.ipv4.ip_forward=1 @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f7ea3.2030...@stuxnet.org
Re: Pont filtrant
Bonsoir, Le 11/03/2014 15:14, Bzzz a écrit : > Déjà, tu bridges sur le même segment, ce qui relativement peu > courant, ensuite, tu n'as pas séparé tes segments (adresses de > broadcast différentes, masques différents), donc c'est peu > étonnant que ça NMP. > Que veux tu bridger, si c'est pas sur le même segment ? (n'est-ce pas le principe même du bridge ???) Cette conf me parait tout ce qu'il y a de plus légitime. @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f7a88.9090...@stuxnet.org
Re: Pont filtrant
Bonsoir, Le 11/03/2014 15:35, RAOULT sylvain a écrit : > Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , > l'erreur ne figure pas dans le vrai script > PROXY="192.168.0.5/255.255.255.0"; au lieu de > PROXY="192.168.0.5/255.255.225.0"; > Attention quand même , parce que la (si la règle matche) tu autorise la totalité du réseau 192.168.0.X, et pas seulement le proxy. PROXY="192.168.0.5/255.255.255.255"; ou PROXY="192.168.0.5/32"; ou (encore plus simple) PROXY="192.168.0.5" Me paraissent plus adaptés. > > Au lieu de faire une règle de redirection de port, je préfère bloquer le > port 80 pour le lan, et n'autoriser que le proxy. > je configure les règles suivantes : > > #! /bin/sh > iptables -F > iptables -X > PROXY="192.168.0.5/255.255.225.0"; > iptables -F FORWARD > iptables -P FORWARD DROP > iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT > Le proxy ne veut pas sortir ? > Ai-je commis une erreur quelque part ? Je te conseille un (de mémoire) : iptables -A FORWARD -j LOG --log-prefix "Forward DROP:" En toute dernière règle de la chaine FORWARD, pour voir si effectivement tes paquets se font jeter (à regarder dans le syslog). Et donc voir s'il s'agit d'un problème de firewalling ou de routage/bridging. Mais au final, je pense que le problème est tout autre : je ne suis pas sur qu'iptables soit le bon outil dans le cas présent (s'agissant d'un bridge, il me semble que ca ne passe pas dans la chaine FORWARD). "ebtables" serait surement plus approprié. @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f76f3.4070...@stuxnet.org
Re: Pont filtrant les UV
On Tue, 11 Mar 2014 17:16:27 +0100 Philippe Gras wrote: > > -- apt-get install yeux Marche pô, pourtant j'avais bien tapé: apt-get purge nœils-fatigués, mais j'ai pas pu taper le reste, j'y voyais plus rien ;-p (et pourtant, j'avais lu au moins 3 fois son post, justement pour éviter un commentaire à côté de la plaque) -- Au fait! J'ai trouvé le concept qui tue. Faut que je dépose mon idée. J'suis parti de deux constats. 1) Un geek mange sur la table de son bureau et fait des miettes. 2) Un geek à la flemme de netoyer. ouais =) D'ou l'invention de la souris ramasse miette ! LE concept -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140311172205.7572c5b5@anubis.defcon1
Re: Pont filtrant les UV
Le 11 mars 14 à 16:45, Daniel Huhardeaux a écrit : Change de yeux alors ;-) -- apt-get install yeux -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f2f8f.7000...@tootai.net
Re: Pont filtrant
On Tue, 11 Mar 2014 15:26:52 + RAOULT sylvain wrote: > Non non pas le masque Faut vraiment que je dorme plus de 4H moi :( -- Je crois que la plus grosse surprise que j'ai eu, c'était à mon anniversaire des 22 ans cet été. Mais attends, t'as pas 20 ans toi? Et ton anniv est en Avril oO Oui oui, c'est ça qui m'a surpris. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140311164925.760963c2@anubis.defcon1
Re: Pont filtrant
Le 11/03/2014 16:19, Bzzz a écrit : On Tue, 11 Mar 2014 14:35:59 + RAOULT sylvain wrote: PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/255.255.225.0"; Heu, j'veux pas dire, mais c'est la même ligne. Change de yeux alors ;-) -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f2f8f.7000...@tootai.net
RE: Pont filtrant
Non non pas le masque -Message d'origine- De : Bzzz [mailto:lazyvi...@gmx.com] Envoyé : mardi 11 mars 2014 16:19 À : debian-user-french@lists.debian.org Objet : Re: Pont filtrant On Tue, 11 Mar 2014 14:35:59 + RAOULT sylvain wrote: > PROXY="192.168.0.5/255.255.255.0"; au lieu de > PROXY="192.168.0.5/255.255.225.0"; Heu, j'veux pas dire, mais c'est la même ligne. -- Damien: Au lit ma copine dit que je suis un athlète olympique ! Yoann: Oui, t'es bon une fois tous les 4 ans. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140311161926.2173adf9@anubis.defcon1
Re: Pont filtrant
On Tue, 11 Mar 2014 14:35:59 + RAOULT sylvain wrote: > PROXY="192.168.0.5/255.255.255.0"; au lieu de > PROXY="192.168.0.5/255.255.225.0"; Heu, j'veux pas dire, mais c'est la même ligne. -- Damien: Au lit ma copine dit que je suis un athlète olympique ! Yoann: Oui, t'es bon une fois tous les 4 ans. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140311161926.2173adf9@anubis.defcon1
RE: Pont filtrant
Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , l'erreur ne figure pas dans le vrai script PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/255.255.225.0"; -Message d'origine- De : Bzzz [mailto:lazyvi...@gmx.com] Envoyé : mardi 11 mars 2014 15:15 À : debian-user-french@lists.debian.org Cc : sylv raou Objet : Re: Pont filtrant On Tue, 11 Mar 2014 14:04:42 + (GMT) sylv raou wrote: > routeur(192.168.0.1)<-->pont > (eth1 - br0 - eth2)--->lan (192.168.0.0/24) > > Proxy (192.168.0.5/24). > Voici le pont : > > brctl addbr brbrctl addif br0 eth0 > brctl addif br0 eth1 > ifconfig eth0 0.0.0.0 > ifconfig eth1 0.0.0.0 > ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast > 192.168.0.255 Déjà, tu bridges sur le même segment, ce qui relativement peu courant, ensuite, tu n'as pas séparé tes segments (adresses de broadcast différentes, masques différents), donc c'est peu étonnant que ça NMP. -- Je suis tellement un no-life que quand je sors de chez moi on me prend pour un nouveau voisin --'
RE: Pont filtrant
Merci de ta réponse. En fait j'ai suivi la documentation officielle ici: http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html Je voulais faire en sorte que le lan soit obligé de passer par le proxy ; je n'ai absolument pas la main sur le routeur du fai, et j'ai donc abandonné l'idée du proxy transparent. -Message d'origine- De : Bzzz [mailto:lazyvi...@gmx.com] Envoyé : mardi 11 mars 2014 15:15 À : debian-user-french@lists.debian.org Cc : sylv raou Objet : Re: Pont filtrant On Tue, 11 Mar 2014 14:04:42 + (GMT) sylv raou wrote: > routeur(192.168.0.1)<-->pont > (eth1 - br0 - eth2)--->lan (192.168.0.0/24) > > Proxy (192.168.0.5/24). > Voici le pont : > > brctl addbr brbrctl addif br0 eth0 > brctl addif br0 eth1 > ifconfig eth0 0.0.0.0 > ifconfig eth1 0.0.0.0 > ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast > 192.168.0.255 Déjà, tu bridges sur le même segment, ce qui relativement peu courant, ensuite, tu n'as pas séparé tes segments (adresses de broadcast différentes, masques différents), donc c'est peu étonnant que ça NMP. -- Je suis tellement un no-life que quand je sors de chez moi on me prend pour un nouveau voisin --'
Re: Pont filtrant
On Tue, 11 Mar 2014 14:04:42 + (GMT) sylv raou wrote: > routeur(192.168.0.1)<-->pont > (eth1 - br0 - eth2)--->lan (192.168.0.0/24) > > Proxy (192.168.0.5/24). > Voici le pont : > > brctl addbr brbrctl addif br0 eth0 > brctl addif br0 eth1 > ifconfig eth0 0.0.0.0 > ifconfig eth1 0.0.0.0 > ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast > 192.168.0.255 Déjà, tu bridges sur le même segment, ce qui relativement peu courant, ensuite, tu n'as pas séparé tes segments (adresses de broadcast différentes, masques différents), donc c'est peu étonnant que ça NMP. -- Je suis tellement un no-life que quand je sors de chez moi on me prend pour un nouveau voisin --' -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140311151442.3d931635@anubis.defcon1
Pont filtrant
Bonjour, Je suis en train de monter un pont filtrant entre un lan et un routeur (sur lequel je n'ai pas la main). Le but est d'interdire le surf en bloquant le trafic web sur le pont, et n'y autoriser que le proxy. routeur(192.168.0.1)<-->pont (eth1 - br0 - eth2)--->lan (192.168.0.0/24) Proxy (192.168.0.5/24). Voici le pont : brctl addbr brbrctl addif br0 eth0 brctl addif br0 eth1 ifconfig eth0 0.0.0.0 ifconfig eth1 0.0.0.0 ifconfig br0 192.168.0.12 netmask 255.255.255.0 broadcast 192.168.0.255 Au lieu de faire une règle de redirection de port, je préfère bloquer le port 80 pour le lan, et n'autoriser que le proxy. je configure les règles suivantes : #! /bin/sh iptables -F iptables -X PROXY="192.168.0.5/255.255.225.0"; iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT Le proxy ne veut pas sortir ? Ai-je commis une erreur quelque part ?
Re: Pont filtrant et redondances
Salut,
si j'ai bien tout compris, en fait c'est tres simple a expliquer.
Ton FW1 est la passerelle par defaut pour tes machines. Scénario classique.
Sur FW1 ET FW2 tu a un système genre keepalived (c'est un exemple mais il en
existe d'autre comme HeartBeat) qui s'occupe de savoir si la voisine est UP. Il
a une notion de maitre(FW1)/eslace(FW2).
Si l'eslave(FW2) detecte que le maitre(fw1) n'est plus dispo il va faire en
sorte que les machines l'utilise comme passerelle par défaut. Pour se controler
l'un l'autre, Keepalived utilise le protocole VRRP.
Quand l'esclave decide de prendre la main, il va dire aux clients que c'est lui
la passerelle par défaut, tout en gardant la meme IP. Parce qu'en fait, c'est
une IP virtuelle ta passerelle. Donc l'esclave recupere l'IP virtuelle et
SURTOUT, faut une annonce gratuite ARP pour faire en sorte que les tables arp
des clients se mettent a jour, GRATUITOUSARP que ca s'appele :)
Ca marche relativement bien sous linux, meme a la perfection.
Attention toute fois avec des machines sous Windows, parfois, le gratuitousarp
ne passe pas ... il faut ettendre les timeout de la table ARP pour utiliser la
nouvelle passerelle.
Enjoy.
Guillaume.
Sébastien CRAMATTE wrote:
Bonjour à tous
Je voudrais installer des ponts filtrants redondants
J'ai trouvé un archi + ou - comme celle ci sur la liste. Je l'ai à
peine modifié
| routeur |-/swicth matériel 2 \
||
| |
____|_ __|___
/pont filtrant linux1\ /pont filtrant linux2
\ | |
| |
|_ |__
/switch matériel 1 \
|| |
___|______|___ __|_ ___
/serveur 1\ /serveur 2\ /serveur X\
Ce que je n'arrive pas a comprendre est comment les paquets passe sur un
pont filtrant plutot qu'un autre ?
Normalement les deux serveurs ponts filtrant sont actifs en permanences ?
Je dispose d'un switch qui supporte STP et RSTP (HP ProvCurve 2824)
Dans 1er temps Je voudrais diviser mon unique switch en 2 Vlans ( 1
correpond au switch matériel 1 et l'autre swicth matériel 2)
Ensuite j'instalerai certainement plus de switch physiques a proprement
parlé.
Fais-je fausse route ? Peut être n'est-ce pas la meilleure methode ?
Merci d'avance si quelqu'un est capable d'eclaircir mes lanternes car là
c'est plus qu'obscur ... ;)
Cdt.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Pont filtrant et redondances
Bonjour à tous Je voudrais installer des ponts filtrants redondants J'ai trouvé un archi + ou - comme celle ci sur la liste. Je l'ai à peine modifié | routeur |-/swicth matériel 2 \ || || |_ __|___ /pont filtrant linux1\ /pont filtrant linux2 \ | | | | |_ |__ /switch matériel 1 \ || | ___|______|___ __|_ ___ /serveur 1\ /serveur 2\ /serveur X\ Ce que je n'arrive pas a comprendre est comment les paquets passe sur un pont filtrant plutot qu'un autre ? Normalement les deux serveurs ponts filtrant sont actifs en permanences ? Je dispose d'un switch qui supporte STP et RSTP (HP ProvCurve 2824) Dans 1er temps Je voudrais diviser mon unique switch en 2 Vlans ( 1 correpond au switch matériel 1 et l'autre swicth matériel 2) Ensuite j'instalerai certainement plus de switch physiques a proprement parlé. Fais-je fausse route ? Peut être n'est-ce pas la meilleure methode ? Merci d'avance si quelqu'un est capable d'eclaircir mes lanternes car là c'est plus qu'obscur ... ;) Cdt. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
