PHWinfo - Afficher un message

29/12/2006, 10h02

Eric G. wrote:

> Le 29/12/2006, Eul_Bofo a supposé :
>> Salut.
>>
>> Suite à mes précédents échanges, j'ai regardé comment marchait
>> l'installation de la Freebox sous Debian (seule documentation disponible
>> avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS
>> pour les mémodéfaillants).
>>
>> Bon, je suis en ethernet, mais ça me pose un problème. Que je vous
>> explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la
>> Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC
>> de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station
>> Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent
>> modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant
>> prise par la Freebox.
>>
>> J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie :
>> il n'est pas routeur. Voici comment j'essaye de le faire marcher
>> maintenant (police à chasse fixe conseillée !) :
>>
>> **************************
>> * * *
>> * LFS box * eth0 *---------|
>> * * * |
>> ************************** |
>> | *********
>> |---* *
>> * *
>> ************************** * *
>> * * * *
>> * Freebox eth *-------------* hub *
>> * * * *
>> ************************** * *
>> * *
>> |---* *
>> | * *
>> ************************** | *********
>> * * * |
>> * Winbeurk box * eth *---------|
>> * * *
>> **************************
>>
>> Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
>> adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de
>> ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
>> une daube Window$ qui a une autre adresse ?
>>
>> Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
>> avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
>> crois, routeur (c'est activable en ligne, il me semble), cela peut-il
>> aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
>> ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
>> routeur (je sais pas, mais sans-doute beaucoup plus cher) ?
>>
>> Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba
>> entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse
>> accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque
>> fois la prise de l'imprimante de PC.
>>
>> Et si vous avez une solution qui fait en plus un petit café de temps en
>> temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes
>> choix ne sont pas forcément les meilleurs, j'aimerais faire avec les
>> moyens du bord si possible, avec le moins de frais possibles.
>>
>> Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de
>> merde, une jolie station Linux, une daube Window$ et une Freebox pour les
>> crétins" en ligne en moins de 50 pages, avec tout bien décrit...
>
> Le + simple et le + economique est de passer la Freebox en mode
> routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout
> compris...
> ...pour le café je n'ai po de solution... :/
>

très simple :

la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas
dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway
de la freebox, à régler sur le site de free, compte perso)

une carte ethernet (ou le circuit ethernet de la carte mère, généralement un
realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub,

la win$box sur le hub en 192.168.10.2, câble ethernet droit.

les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès
pour faire faire le routage et les filtres iptables/netfilter par la
linuxbox.

activer les règles suivantes (au minimum) sur la linuxbox :

#!/bin/sh
# Le script commence par effacer les règles de filtrage actuelles
/sbin/iptables -F
/sbin/iptables -t nat -F

# Effacement des chaines existantes
/sbin/iptables -X

# on charge les modules NAT
modprobe iptable_nat
modprobe ip_nat_irc
modprobe iptable_filter
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe iptable_mangle
modprobe iptables_conntrack_rtsp

# on active l'IP-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# on accepte les paquets relatifs aux connexions déjà ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# on accepte tout ce qui se passe sur lo
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# on accepte tout ce qui se passe sur le reseau local 192.168.10.0
/sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

# dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le
POSTROUTING
/sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

# éventuellement, on autorise les requêtes dhcp
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j
ACCEPT

# on autorise les requêtes dns venat de 192.168.10.0
/sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT

# On DNAT la freebox
/sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d
212.27.38.253 -jDNAT-d192.168.0.250

# On autorise udp sur les ports utilisés par freeplayer
/sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000
-j ACCEPT

# On ouvre le port 8080 et le 1234
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT
# ... ainsi que les réponses
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT

# On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et
192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment
192.168.10.0 )
/sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT

# On ouvre le port 631 pour cups sur le réseau local 192.168.10.0
/sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT

# ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET
/sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT

# ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET
/sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP

# INTERDICTION de ROUTAGE NETBIOS SUR INTERNET
/sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP
/sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP

sur les machines du réseau local, mettre l'adresse de la linuxbox
192.168.10.1 comme gateway.

inconvénient : la linuxbox doit être allumée pour que les autres machines
accèdent au net.
avantage : toutes les machines du segment 192.168.10.0 ont une protection
minimale contre les intrusions netbeui.
avantage : freeplayer sur le réseau local.

au passage, toutes remarques, observations, suggestions, des contributeurs
du forum sont acceptées avec plaisir.

bonnes fêtes, bonne année, et A+

29/12/2006, 10h02	#4
sansflotusspam Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox Eric G. wrote: > Le 29/12/2006, Eul_Bofo a supposé : >> Salut. >> >> Suite à mes précédents échanges, j'ai regardé comment marchait >> l'installation de la Freebox sous Debian (seule documentation disponible >> avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS >> pour les mémodéfaillants). >> >> Bon, je suis en ethernet, mais ça me pose un problème. Que je vous >> explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la >> Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC >> de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station >> Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent >> modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant >> prise par la Freebox. >> >> J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie : >> il n'est pas routeur. Voici comment j'essaye de le faire marcher >> maintenant (police à chasse fixe conseillée !) : >> >> ************************** >> * * * >> * LFS box * eth0 ---------\| >> * * \| >> ************************ \| >> \| ******* >> \|---* * >> * * >> ************************** * * >> * * * * >> * Freebox eth ------------- hub * >> * * * * >> ************************** * * >> * * >> \|---* * >> \| * * >> ************************ \| ******* >> * * * \| >> * Winbeurk box * eth ---------\| >> * * >> ************************** >> >> Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son >> adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de >> ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0 >> une daube Window$ qui a une autre adresse ? >> >> Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre, >> avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je >> crois, routeur (c'est activable en ligne, il me semble), cela peut-il >> aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte >> ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub >> routeur (je sais pas, mais sans-doute beaucoup plus cher) ? >> >> Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba >> entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse >> accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque >> fois la prise de l'imprimante de PC. >> >> Et si vous avez une solution qui fait en plus un petit café de temps en >> temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes >> choix ne sont pas forcément les meilleurs, j'aimerais faire avec les >> moyens du bord si possible, avec le moins de frais possibles. >> >> Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de >> merde, une jolie station Linux, une daube Window$ et une Freebox pour les >> crétins" en ligne en moins de 50 pages, avec tout bien décrit... > > Le + simple et le + economique est de passer la Freebox en mode > routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout > compris... > ...pour le café je n'ai po de solution... :/ > très simple : la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway de la freebox, à régler sur le site de free, compte perso) une carte ethernet (ou le circuit ethernet de la carte mère, généralement un realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub, la win$box sur le hub en 192.168.10.2, câble ethernet droit. les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès pour faire faire le routage et les filtres iptables/netfilter par la linuxbox. activer les règles suivantes (au minimum) sur la linuxbox : #!/bin/sh # Le script commence par effacer les règles de filtrage actuelles /sbin/iptables -F /sbin/iptables -t nat -F # Effacement des chaines existantes /sbin/iptables -X # on charge les modules NAT modprobe iptable_nat modprobe ip_nat_irc modprobe iptable_filter modprobe ip_nat_ftp modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_state modprobe iptable_mangle modprobe iptables_conntrack_rtsp # on active l'IP-forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # on accepte les paquets relatifs aux connexions déjà ouvertes iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # on accepte tout ce qui se passe sur lo /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # on accepte tout ce qui se passe sur le reseau local 192.168.10.0 /sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT /sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT /sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT # dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le POSTROUTING /sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE # éventuellement, on autorise les requêtes dhcp #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j ACCEPT #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j ACCEPT #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j ACCEPT #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j ACCEPT # on autorise les requêtes dns venat de 192.168.10.0 /sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT /sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT # On DNAT la freebox /sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 212.27.38.253 -jDNAT-d192.168.0.250 # On autorise udp sur les ports utilisés par freeplayer /sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000 -j ACCEPT # On ouvre le port 8080 et le 1234 /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT # ... ainsi que les réponses /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT # On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et 192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment 192.168.10.0 ) /sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT # On ouvre le port 631 pour cups sur le réseau local 192.168.10.0 /sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT # ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET /sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT /sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT /sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT /sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT /sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT # ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET /sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP /sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP /sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP # INTERDICTION de ROUTAGE NETBIOS SUR INTERNET /sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP /sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP sur les machines du réseau local, mettre l'adresse de la linuxbox 192.168.10.1 comme gateway. inconvénient : la linuxbox doit être allumée pour que les autres machines accèdent au net. avantage : toutes les machines du segment 192.168.10.0 ont une protection minimale contre les intrusions netbeui. avantage : freeplayer sur le réseau local. au passage, toutes remarques, observations, suggestions, des contributeurs du forum sont acceptées avec plaisir. bonnes fêtes, bonne année, et A+