Dossiers win à win via debian - Divers - Linux et OS Alternatifs
Marsh Posté le 15-12-2010 à 12:19:23
Oui, personne n'est disponible H24
Questions :
- pourquoi 2 réseaux ? (Un switch n'aurait pas été mieux ?)
- tu as utilisé quoi pour faire tes partages réseaux ? (indique notamment l'éventuel fichier de configuration ) quels droits as-tu mis notamment ?
Marsh Posté le 15-12-2010 à 15:06:41
bonjour
je sais que personne n'est dispo 24h/24h et heureusement
2 reseaux pour bien les separer physiquement car ils sont tt les deux wifi
Pour le partage reseau, il a été fait via iptable voila son contenu actuel:
#bin/bash
### DECLARATION DES VARIABLES ###
IPTABLES=/sbin/iptables
IFWAN=eth0
IFSTAGE=eth1
IFADMIN=eth2
IFLO=lo
LANSTAGE=192.168.85.0/24
LANADMIN=192.168.125.0/24
### PURGE DES REGLES ###
$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -F FORWARD
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t nat -F PREROUTING
$IPTABLES -t nat -F OUTPUT
$IPTABLES -t nat -F POSTROUTING
### FIN PURGE DES REGLES ###
### DEFINITION STRATEGIES PAR DEFAUT ###
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -P OUTPUT DROP
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
### FIN DEFINITION STRATEGIES PAR DEFAUT ###
### REGLES ###
# on autorise les reponses
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# on autorise le traffic sur interface lo
$IPTABLES -A INPUT -i $IFLO -j ACCEPT
$IPTABLES -A OUTPUT -o $IFLO -j ACCEPT
# on autorise certaines connexions sur l'interface WAN
## PORT 22 SSH
$IPTABLES -A INPUT -i $IFWAN -p tcp -m multiport --dports 22 -j ACCEPT
# on autorise le traffic sortant du routeur sur toutes les interfaces
$IPTABLES -A OUTPUT -j ACCEPT
$IPTABLES -t nat -A OUTPUT -j ACCEPT
# on autorise le traffic des 2 LANS vers le routeur
## On accepte la connexion sur tous les ports en provenance du lan admin sur le serveur
$IPTABLES -A INPUT -m state --state NEW -i $IFADMIN -j ACCEPT
## la ligne ci-dessous permet a la machine 105.22 d'avoir un full access sur l'interface administrative
##$IPTABLES -A INPUT -m state --state NEW -i $IFADMIN -s 192.168.125.22/32 -j ACCEPT
## la ligne ci-dessous permet d'autoriser certains ports a se connecter sur l'interface administrative
##$IPTABLES -A INPUT -m state --state NEW -i $IFADMIN -p tcp -m multiport --dports 53,80,139,22 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -o $IFADMIN -j ACCEPT
## Cote stagiaire le serveur ne sera accessible que sur les ports 139 (SAMBA), XXX ...
$IPTABLES -A INPUT -m state --state NEW -i $IFSTAGE -p tcp -m multiport --dports 139 -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -o $IFSTAGE -j ACCEPT
# on autorise le forward des 2 LANS vers l'exterieur
$IPTABLES -A FORWARD -m state --state NEW -i $IFADMIN -o $IFWAN -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -i $IFSTAGE -o $IFWAN -j ACCEPT
# on autorise le forward depuis le reseau administratif vers le reseau stagiaire
$IPTABLES -A FORWARD -m state --state NEW -i $IFADMIN -o $IFSTAGE -j ACCEPT
# on active le masquerade
$IPTABLES -t nat -A POSTROUTING -s $LANADMIN -o $IFWAN -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $LANSTAGE -o $IFWAN -j MASQUERADE
Marsh Posté le 16-12-2010 à 20:21:37
J'ai effacé mon post, j'étais à côté
Si les équipements des deux réseaux peuvent aller sur internet, c'est que le routage fonctionne.
Si tu veux que des équipements du réseau 1 aient accès au réseau 2 tu dois autoriser dans la chaine FORWARD les flux, je ne vois rien dans ton script. Les règles seront similaires à ta ligne
$IPTABLES -A INPUT -m state --state NEW -i $IFSTAGE -p tcp -m multiport --dports 139 -j ACCEPT |
sauf que c'est dans la chaine forward. A toi de jouer avec la source/destination, sur les interfaces in et out et sur le stateful.
Concernant le NAT, ce que je disais, c'est qu'il ne faut pas l'utiliser pour se simplifier la vie, généralement ça apporte de la complexité. Regarde sur la livebox si tu peux rajouter des routes pour tes deux réseaux, en mettant comme next-hop l'adresse de ton IFWAN.
Marsh Posté le 14-12-2010 à 17:35:03
Bonjour
je viens de finir la mise en place de la base de mon serveur.
La config
1 serveur sous debian
1 carte reseau direct sur la livebox
1 carte reseau pour le reseau 1 (machines sous windows derriere, xp pro pour le moment et 7 pro fin de semaine)
1 carte reseau pour le reseau 2 (machines sous windows derriere, xp pro pour le moment et 7 pro fin de semaine)
j'ai configuré Debian sans soucis, les deux reseaux fonctionnent et le reseau 1 peut communiquer avec le 2 et le 2 ne peut pas communiquer avec le 1 (c'est voulu comme tel). Les deux reseaux ont accés au net et ont des repertoires specifiques sur le serveur via samba.
Les "reseaux 1" ont bien accés au serveur et a son dossier partagé sur le serveur, ils voient bien tous les pc du reseau 1 et 2, seulement je n'arrive pas a faire qu'ils aient accés aux dossiers partagés presents sur chacune des machines du "reseau 2"
les machines du reseau 2 ont bien accés aux dossiers partagés du reseau 2, et idem du reseau 1 vers le reseau 1.
Bref comment faire pour que le reseau 1 puisse avoir accés en direct aux dossiers partagés du reseau 2.
merci