Reseau Local / Dnat, pont, passerelle, proxy-arp? [Résolu]

[Djef-69]

Bonjours a tous !

Je fais appel a vous pour quelques éclaircissments... parceque là je pattauge un peu, j'ai pas mal RTFM... et je suis un peu paummé parmis tout ça, je m'explique :

- j'ai comme archi reseau :


(192.168.0.1/255.255.255.0)
Pc1
|
(eth0)
PcPass (eth2) ---------- Web
(eth1)
|
Pc2
ServeurWeb
(192.168.0.2/255.255.255.0)

- pour la config reseau de PcPass (GNU Linux distrib Debian Lenny)

eth0 : 0.0.0.0 promisc
eth1 : 0.0.0.0 promisc
eth2 : en dhcp
br0 : 192.168.0.4 (correction des addresses de configuration du pont

- mon objectif :

PcPass :
- s'occupe du routage, communication libre entre Pc1 & Pc2, et évidement filtré vers le web et du web vers le serveur web
- fera office de proxy/web/clamav
- serveur pop/smtp/spamassassin/clamav
- avec serveur ssh pour admin a distance (idem pour le serveur web)

- Et Mon/Mes Pb :
(j'ai laissé le détail de mes galères mais sans lien avec les autres mess )
- j'ai essayé de mettre en place une passerelle simple entre Pc1 et Pc2, activation du forwarding sur PcPass entre eth0/eth1, j'authorise tout
les pings passe pc1-pcpass, pcpass-pc2 mais pas pc1-pc2

- je rajoute des regles dnat prerouting eth0 --to-destination 192.168.1.2 / dnat prerouting eth1 --to-destination 192.168.0.1 toujours rien

- je rajoute postrouting masquerade pour les deux interfaces rien...
je doute de son utilité réelle vu que théoriquement cela ne devrais pas poser de probleme non?

- je me suis dis un probleme de route, apparement elle sont toutes renseigné sur PcPass, j'ai rajouté des routes vers les hotes Pc1/Pc2, toujours rien...

- et là c le début de la patauge, donc je RTFM un max et j'en arrive a plusieurs solutions telle que :

- je suppose que je peut faire un pont br0 entre eth0 / eth1, l'identifier avec une ip et faire passerelle entre br0 et eth2(internet) avec du masquerade pour que les deux Pc aient acces au web... ce qui me permetterais d'utiliser les proxy&Cie, parceque si j'ai bien compris je ne peut pas inclure eth2 dans le pont vu que son adresse est obtenu par dhcp, si je peut le faire... je ne pourrais pas utiliser le proxy, le pont ne fais que du routage non?

- et si je met en place un proxy-arp le probleme est le mm qu'avec le pont, non? ce sera qu'un simple routage...

- quelle solution est possible qui me permetterais de faire tout ça? (je n'ai ni switch, ni routeur, seulement mes 3 Pc!) la solution pont/passerelle est-elle envisageable? ou une simple idée de l'origine de mes malheurs...

[Djef-69]

Apres...
avoir recompiler le noyau...
tenté le pont...
testé le forwarding...
tenté du routage...

je retente de recreer un pont et... magie ... ca marche
ne me demandez pas pourquoi, a vrai dire j'en sais rien... je n'ai pas changé grand chose le basique :

ifconfig eth0 0.0.0.0 netmask 255.255.255.0
ifconfig eth1 0.0.0.0 netmask 255.255.255.0
brctl adbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 192.168.0.4 netmask 255.255.255.0
ifup br0

et maintenant pc1/pc2 communique!!! génial 48h pour arriver a ça... et sans savoir d'ou venais le bleme...

je vais maintenant pouvoir avancer un peu, je passe a la phase passerelle, je tient au courant si j'avance...

[DjinnS]

Le bridge, franchement, c'est compliqué pour pas grand chose

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo "1" > /proc/sys/net/ipv4/ip_forward

Suffit largement à faire de ton PcPass le "pont" entre tous les réseaux.

Tu rajoutes une touche d'iptables pour controler ce qu'il se passe, et c'est finit

[Djef-69]

Salut,

après maintes autres occupations..., pas mal de taf en ce moment, pas trop eu le temps de m'occuper de mon reseau... je refais un petit passage pour une petite M.A.J, je m'en suis a peu près tiré, pas vraiment eu le temps de tout tester, y'a surement des choses a revoir, mais ça fonctionne a peu prés,

je met les règles de forward, masquerade qui m'ont sortie d'affaire, enfin pas totalement, ça passe vers mon Pc principal, mais mon server web a encore quelques difficulté a communiquer avec le net,...

y'a surement des trucs a reprendre/corriger (d'ou mes problèmes)... Djinns, ip_forward avec deux cartes reseau ayant les mêmes adresses reseau, c possible??? juste une question... en bridje ça passe a peu près, pour le moment, si oui, explique je suis preneur, en configurant des routes avec des ip machine???et non des adresses reseau???(vu que les cartes ont la même adr reseau!!!) la passerelle vas pas savoir ou distribuer tout ça non?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
 
$IPTABLES -t nat -P PREROUTING  ACCEPT
$IPTABLES -t nat -P OUTPUT  ACCEPT
$IPTABLES -t nat -P POSTROUTING  ACCEPT
 
$IPTABLES -t mangle -P PREROUTING  ACCEPT
$IPTABLES -t mangle -P INPUT  ACCEPT
$IPTABLES -t mangle -P FORWARD 	 ACCEPT
$IPTABLES -t mangle -P POSTROUOTING  ACCEPT
 
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $INET_IFACE -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $S_WEB -o $INET_IFACE -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $PC_PERS -o $INET_IFACE -j MASQUERADE
 
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix " output pckets burst... "
 
$IPTABLES -A FORWARD -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -i $INET_IFACE -j tcp_packets
$IPTABLES -A FORWARD -p udp -i $INET_IFACE -j udp_packets
$IPTABLES -A FORWARD -p icmp -i $INET_IFACE -j icmp_packets
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix " frwd !corrsp mort pckets "

[Djef-69]

En fait, aucun problème avec le pont, très simple a mettre en place quand on sait utiliser ses dix doigts... pas comme moi par exemple...

je rajouterais,

une seule règle de masquerade, la première en postrouting devrais suffire!!!
activation du forwarding, pas besoin de configurer des routes,
pour mon dernier problème, j'avais juste mon fichiers resolv.conf vide
d'ou la difficulté d'acceder au net !!! cela reste un peu incompréhensible, je ne suis pas en dhcp, configuration ip fixe, mon fichier interfaces corectement renseigné et pourtant aucune adresse Dns dedans, donc rajout a la main, interdiction des droits d'écritures et depuis plus aucun problème, on va pouvoir passer a la vitesse supérieure !!! et surtout a autre chose !

Donc résolu et un Djef heureux ce soir, jusqu'a la prochaine Galère !!!

[corrector]

Citation:

Envoyé par DjinnS

Le bridge, franchement, c'est compliqué pour pas grand chose

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo "1" > /proc/sys/net/ipv4/ip_forward

Suffit largement à faire de ton PcPass le "pont" entre tous les réseaux.

Ça ne risque pas de fonctionner : Pc1 et Pc2 se croyant sur le même lien local, ils vont essayer de communiquer directement par Ethernet; ils vont donc chercheur leurs adresses Ethernet respectives, mais les requêtes arp vont se perdre dans la nature, parce qu'un routeur ne les transmet pas.