Pont et iptables

[albertopisto]

Bonjour,

j'ai créer un pont pour relier eth0 (192.6.1.30) et eth1 (192.6.1.31), où circulent des flux UDPde eth0 vers eth1 et inversement


Pour créer le pont, j'ai juste fait, et les données transitent bien :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
sudo brctl addbr br0
sudo brctl addif br0 eth0
sudo brctl addif br0 eth1
ifconfig br0 up

Mais quand j'utilise mes regles iptables pour faire du filtrage ou du NAT, mes regles n'ont aucune influence sauf celle de la chaine FORWARD dans la table filter

Je suppose que cela vient du pont (mon code) qui est incompatible avec iptables

[Senaku-seishin]

Lors d'une redirection d'ip (comme un bridge), la chaine complète est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

PREROUTING -> FORWARD -> POSTROUTING

Le filtrage s'effectue dans la chaine FORWARD.
Le SNAT dans PREROUTING.
Le DNAT dans POSTROUTING

Quels sont les règles que tu as utilisé ?

[albertopisto]

dans la table FILTER, j'ai utilisé FORWARD INPUT et OUTPUT et seul FORWARD marche

dans la table NAT, j'ai utilisé PREROUTING POSTROUTING et OUTPUT mais rien ne marche


j'ai 3 interfaces avec le bridge : eth0 br0 eth1

dans mon cas eth0 et eth1 ont une @IPV4 (192.6.1.30 et 192.6.1.31) mais pas le br0

j'ai vu dans des doc que il fallait enlever les @ de eth0 eth1 pour en mettre à br0

[Senaku-seishin]

Citation:

dans la table FILTER, j'ai utilisé FORWARD INPUT et OUTPUT et seul FORWARD marche

Les chaines INPUT et OUTPUT sont pour les paquets à destination de sois-même. Donc normal que ces chaines ne fonctionne pas, lors d'une redirection ip.
Il faut utilisé FORWARD.

Je me répète, quel sont les règles utilisé?

Exemple de par-feu dans un bridge : http://www.debian.org/doc/manuals/se...dge-fw.en.html

[albertopisto]

Bonjour,

Sinon à part le pont quel est le meilleur moyen pour faire :



J'ai ma machine, sur eth2 je reçois des paquets dont la destination est l'@IP de la machine A (on regarde avec wireshark)

sur ma machine, je relie les machines A et B sur eth0 et eth1, je veux que A et B reçoivent le paquet dont la destination est l'@IP de A

quel est le moyen pont, routage?

[Senaku-seishin]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

man iptables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
   TEE
       The  TEE  target will clone a packet and redirect this clone to another machine on the local network
       segment. In other words, the nexthop must be the target, or you will have to configure  the  nexthop
       to forward it further if so desired.
 
       --gateway ipaddr
              Send  the  cloned  packet to the host reachable at the given IP address.  Use of 0.0.0.0 (for
              IPv4 packets) or :: (IPv6) is invalid.
 
       To forward all incoming traffic on eth0 to an Network Layer logging box:
 
       -t mangle -A PREROUTING -i eth0 -j TEE --gateway 2001:db8::1

Ou

http://www.snort.org/users/roesch/Si...monlogger.html

Citation:

Sinon à part le pont quel est le meilleur moyen pour faire
[...]

Bridge != Duplication paquet
Bridge == Interconnexion entre plusieurs interface réseau

[albertopisto]

Merci de m'avoir répondu, j'ai installé le logiciel que tu m'as indiqué


je vais mieux expliqer

A l'origine, sur eth0 j'avais des flux de la machine A et B

mais comme j'ai créé un pont pour relier eth0 à ath1 mes commandes iptables ne marchent plus


mais je peux installer une 3eme carte réseau et j'aurai

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
A(192.6.1.3)------------------eth0
                                        MOI eth2---------------------automate (192.6.1.59)
B(192.6.1.15)-----------------eth1

Mais pour que l'automate renvoie la requête à A et B (dont la destination est A) je devrais créer deux pont reliant :A et automate puis B et automate
y a-til d'autre moyen à part le pont pour relier des interfaces?

pour dupliquer une trame et l'envoyer à B, cela suppose t-til que l'adresse de destination sera changé?


pour dupliquer et envoyer à B je devrais faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

       -t mangle -A PREROUTING -i eth0 -j TEE --gateway 192.6.1.15

quels sont les autres moyens

désolé j'ai pas mal de questions car je suis débutant, et que c'est assez important

[Senaku-seishin]

Citation:

mais comme j'ai créé un pont pour relier eth0 à ath1 mes commandes iptables ne marchent plus

Si tu me fournie pas un exemple de règle utilisé, je ne peux aider.

Citation:

y a-til d'autre moyen à part le pont pour relier des interfaces?

C'est possible avec des règles Iptables. Son intérêt est limité : Plus complexe, moins souple, ...

Le bridge reste la meilleur solution.

Citation:

pour dupliquer et envoyer à B je devrais faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

-t mangle -A PREROUTING -i eth2 -j TEE --gateway 192.6.1.15

Citation:

quels sont les autres moyens

• Sniffer le réseau à partir de «MOI»
• Adapter l'application pour du multicast
• D'autres solutions que je n'ai en tête

[albertopisto]

Merci de m'avoir répondu

Ma config actuelle :

A et B ---------------------eth0 MOI eth1 -------------------------automate

un bridge br0 relie eth0 et eth1

les regles iptables avec le FORWARD marchent exemple (je vérifie si cela marche en utilisant wireshark apres) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A FORWARD -br0 -s 192.6.1.3 -j DROP
iptables -A FORWARD -br0 -s 192.6.1.3 -j DROP

INPUT et OUTPUT ne marche pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth0 -s 192.6.1.3 -j DROP

Pour réaliser la duplication et l'envoyer à B, je pensais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -d 192.6.1.3 -j DNAT --to-destination 192.6.1.3-192.6.1.15

sans succès

quand je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

-t mangle -A PREROUTING -i eth1 -j TEE --gateway 192.6.1.15

j'ai sur le terminal : iptables: No chain/target/match by that name.

j'ai installé daemonlogguer mais je ne vois pas les commandes pour dupliquer

mon code du bridge est sur mon premier post

voila merci pour ta disponiblité

[Senaku-seishin]

Le forward sont les packets à destination de A, B et automate.
Input et output sont les packets à destination de «MOI».

Avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -i eth0 -s 192.6.1.3 -j DROP

Un ping fonctionne t'il depuis 192.6.1.3 vers «MOI» ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -d 192.6.1.3 -j DNAT --to-destination 192.6.1.3-192.6.1.15

Ceci ne fonctionnera pas. Netfilter (=Iptables) avec cette règle va envoyer les packets à destination de 192.168.1.3, vers l'adresse la moins utilisé de la plage 192.6.1.3-192.6.1.15.
Pour faire simple c'est du load balancing, pour les (très) pauvres.
Pour se que tu souhaite faire, il faut réalisé du port mirroring.

Citation:

j'ai sur le terminal : iptables: No chain/target/match by that name.

Installe les extensions de xtables. Plusieurs solutions s'offre à toi :

• Selon ta distribution, un paquet est disponible. Sous Debian (/!\ Attention testing) : http://packages.debian.org/wheezy/iptables
• Compilation des extensions
• Ces extensions ont était ajouté au kernel récemment. Donc utiliser un kernel récent. Debian : linux-image-2.6 (wheezy)

[albertopisto]

Merci de la réponse !

en fait je ne controle pas les machines A et B, je suis juste un intermediare qui doit rediriger et dupliquer les paquets, toutes les regles sont realisées sur MOI

La regle suivante n'a aucune influence aussi

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -d 192.6.1.3 -j DNAT --to-destination 192.6.1.15

Si j'ai bien compris la table Nat ne marche pas car les paquets ne sont pas à destination de MOI, cette regne ne marcherait que si on ll'execute sur 192.6.1.3,



sur wireshark je vois les réponses aux requetes de 192.6.1.3

paquet : @source 192.6.1.59 @dest 192.6.1.3

je veux en plus obtenir ce même paquet avec @source 192.6.1.59 @dest 192.6.1.15


le port mirroring on l'utilise comment?

[Senaku-seishin]

Citation:

Si j'ai bien compris la table Nat ne marche pas car les paquets ne sont pas à destination de MOI, cette regne ne marcherait que si on ll'execute sur 192.6.1.3,

Ne confond pas chaine et table.

La CHAINE INPUT et OUPUT pour «MOI»
La CHAINE FORWARD les autres passant par «MOI»

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -d 192.6.1.3 -j DNAT --to-destination 192.6.1.15

On pourrait traduire cette règle en : Tout les packets à destination de 192.6.1.3, aurons pour nouveau destinataire 192.6.1.15.

Citation:

Le port mirroring on l'utilise comment?

Installe les extensions de xtables. Plusieurs solutions s'offre à toi :

• Selon ta distribution, un paquet est disponible. Sous Debian (/!\ Attention testing) : http://packages.debian.org/wheezy/iptables
• Compilation des extensions
• Ces extensions ont était ajouté au kernel récemment. Donc utiliser un kernel récent. Debian : linux-image-2.6 (wheezy)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t mangle -A PREROUTING -i eth1 -j TEE --gateway 192.6.1.15

[albertopisto]

Bonjour en installant xtables la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -d 192.6.1.3 -j DNAT --to-destination 192.6.1.15

fonctionne, c'est à dire que le message est cloné, le clone est identique au message sauf qu'il change l'adresse mac source et de destination dans la trame

avant : mac source automate
mac destination A

apres : mac source MOI
mac destination B

on peut voir le clone sur B avec wireshark

mais je pense qu'il ne va pas le traiter car l'adresse de destination est toujours 192.6.1.3

peut-on modifier le clone pour qu'il mette maintenant la bonne adresse IP et le bon port de B

Merci