Bridge et iptables - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 06-09-2007 à 09:59:38
Taz a écrit : utilise ebtables |
parce que j'ai pas le choix ou parce que c'est mieux ?
Marsh Posté le 06-09-2007 à 10:03:45
ReplyMarsh Posté le 06-09-2007 à 10:07:20
Taz a écrit : parce qu'iptables c'est au niveau IP et qu'un pont c'est pas au niveau IP ? |
bah mon pont il a quand même une adresse IP... Et mes règles de pare-feux, je les fais au niveau IP...
Mon problème là, c'est pas mon pare-feux pour le LAN, c'est juste que ma DMZ, qui n'est pas bridgée, ne marche plus...
Marsh Posté le 06-09-2007 à 10:09:37
_p1c0_ a écrit : |
Ton pont n'a pas d'adresse IP, c'est une fonctionnalité supplémentaire. pont = câble.
Alors question : pour t'as un pont ?
Marsh Posté le 06-09-2007 à 10:16:01
Taz a écrit : |
Si, mon pont a une adresse IP mais elle est "invisible".
Pour etre clair, on a un boitier de sécurité avec 3 interfaces LAN WAN et DMZ. Quand on voulait le placer chez les clients, on était souvenht confrontés à des problèmes avec le NAT et puis des changements d'ip et de passerelle sur les postes. Pour faire plus simple, on est passés au bridge transparent. On ne change plus la configuration chez les clients et pour autant, on peut placer le boitier entre le routeur et le réseau. Ca fonctionnait très bien jusque là.
Maintenant, on vient de changer de boitier (niveau hardware) et pour pouvoir installer notre OS, il a fallu passer en kernel 2.6 et je me retrouve confronté à ce problème. Je cherche donc une solution simple (pour rappel j'ai démissioné et je finis mon boulot en fin de mois) pour finir mon projet avant mon départ. Visiblement, j'aurais du mal à m'en sortir avec iptables et je ne suis même pas sur que je pourrais m'en sortir avec...
Marsh Posté le 06-09-2007 à 10:31:13
(fallait avoir un DHCP )
tu n'aurais jamais du travailler avec iptables pour ça dès le début.
Marsh Posté le 06-09-2007 à 10:38:45
Taz a écrit : tu n'aurais jamais du travailler avec iptables pour ça dès le début. |
j'aurais jamais du travailler ici dés le début... ca fait un mois que deux techniciens font des tests sur la nouvelle version du boitier et c'est moi qui me suis rendu compte de ca hier...
maintenant, faut que je trouve une solution à mon problème. c'est pas jouable avec iptables ? ou dans l'autre sens, c'est sur que c'est jouable avec ebtables ? ou avec une combinaison des deux ?
Marsh Posté le 06-09-2007 à 10:42:45
ReplyMarsh Posté le 06-09-2007 à 10:45:34
Taz a écrit : combinaison comme toujours. Montre ton ancien ruleset iptables |
euh moui, je suis pas sur que ca plaira à mon chef... En plus, il est tout dégueux mais j'ai jamais eu le temps de faire un truc propre...
Par MP ca te va ?
Marsh Posté le 06-09-2007 à 11:14:58
peut être du devrais déjà commencer par travailler avec une version simplifiée, voire repartir de zéro pour revalider ?
Marsh Posté le 06-09-2007 à 11:22:19
Taz a écrit : peut être du devrais déjà commencer par travailler avec une version simplifiée, voire repartir de zéro pour revalider ? |
le problème c'est que c'est pas moi qui devrait faire ca. mon chef n'est pas là, je vois avec lui dés qu'il revient et puis j'aviserais à ce moment là...
merci pour tes conseils.
Marsh Posté le 06-09-2007 à 17:39:26
J'ai eu la solution sur la mailing list de netfilter:
utiliser iptables et ebtables ensemble à l'aide de la cible MARK. ca fait pas mal de boulot tout ca!
merci à Taz quand meme
Marsh Posté le 06-09-2007 à 09:09:10
Bonjour à tous,
je vous explique la chose:
j'ai un linux 2.4.27 patché pour le bridge avec iptables 1.2.11. Dessus, 3 cartes réseaux, eth0 et eth2 sont bridgées et eth1 sert de DMZ. Tout marche nickel.
Aujourd'hui, on me demande de passer en kernel 2.6.21.5 avec iptables 1.3.7. Toujours le même truc pour les interfaces réseaux. Avec le même pare-feux, ca marche plus!
J'ai pu voir dans mes logs :
kernel: physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore.
j'ai cru remarquer que ca arrive quand je place une règle en spécifiant eth1 (mais ca reste une hypothèse).
Bon du coup, j'ai cherché un peu, je suis retombé sur ebtables dont je n'avais pas besoin avec mon ancien système.
Dois je comprendre là qu'il faut que je passe à ebtables ? Ou est ce que ce que je veux faire est possible avec iptables et c'est seulement mes règles qui sont mal écrites ?
Merci
---------------
-_- http://www.scienceshopping.com -_-