PHWinfo - Afficher un message - le nat marche plus en passant par le bridge !

08/04/2007, 01h42

LLogicoss a écrit :
>
>> Si oui, pourquoi cette architecture avec deux interfaces sur le WAN
>> plutôt que d'utiliser l'interface bridge à la place de eth0 ?
>
> Par méconnaissance :-)

Méconnaissance de quoi ?

>> Le pont a-t-il une adresse IP ?
>
> Le pont n'a pas d'IP.

Je m'en doutais, sinon il me semble qu'on n'aurait pas observé ce
comportement, les paquets ethernet n'auraient pas traversé le pont.

>> Si tu n'as pas besoin du filtrage d'iptables sur le pont (par exemple
>> ebtables suffit), tu peux recompiler le noyau sans l'option
>> CONFIG_BRIDGE_NETFILTER.
>
> Mais je ne suis pas chaud pour recompiler.

Je peux le comprendre, surtout si tu as besoin de cette option avec ton
pont filtrant.

> Je prefere deplacer le bridge sur un autre serveur.

Séparer le routage+NAT IP et le pontage ethernet sur des machines
différentes est une sage initiative, ça évite tout risque d'interférence
entre les deux fonctions. Au fait, quel genre de filtrage ce pont fait-il ?

>> Sinon, tu peux essayer de faire en sorte que les règles NAT soient
>> appliquées aussi lors de la traversée du pont (avec -m physdev), mais
>> je ne garantis rien.
>
> Je crois avoir déjà essayé...

En même temps, faire du NAT IP sur un pont ce serait plutôt crade.

> J'avais plutot dans l'idee de trouver des regles salvatrices avec
> 'ebtables' pour rendre le filtre plus ou moins poreux... mais sans
> succès pour l'instant.

Je ne vois guère en quoi ebtables pourrait aider, ni ce que tu entends
par "poreux". Ceci dit le pont filtrant est un domaine nouveau pour moi,
sur lequel je me suis penché seulement après avoir lu ton message
(j'avais un peu de temps). Et ma première impression après quelques
tests est que cette option CONFIG_BRIDGE_NETFILTER est un hack assez
immonde.

Ah, je viens d'avoir une autre idée. Si le problème est le suivi de
connexion IP dans le pont, si tu n'en as pas besoin pour tes règles de
pont filtrant, et si ton noyau supporte la cible iptables NOTRACK de la
table 'raw' (en standard à partir de la version 2.6.6), tu pourrais
tenter de l'utiliser pour inhiber le suivi de connexion IP lors de la
traversée du pont. Ça donnerait quelque chose comme ceci, si br0 est le
nom de l'interface bridge :

iptables -t raw -A PREROUTING -i br0 -j NOTRACK

08/04/2007, 01h42	#5
Pascal Hambourg Messages: n/a Hébergeur:	Re: le nat marche plus en passant par le bridge ! LLogicoss a écrit : > >> Si oui, pourquoi cette architecture avec deux interfaces sur le WAN >> plutôt que d'utiliser l'interface bridge à la place de eth0 ? > > Par méconnaissance :-) Méconnaissance de quoi ? >> Le pont a-t-il une adresse IP ? > > Le pont n'a pas d'IP. Je m'en doutais, sinon il me semble qu'on n'aurait pas observé ce comportement, les paquets ethernet n'auraient pas traversé le pont. >> Si tu n'as pas besoin du filtrage d'iptables sur le pont (par exemple >> ebtables suffit), tu peux recompiler le noyau sans l'option >> CONFIG_BRIDGE_NETFILTER. > > Mais je ne suis pas chaud pour recompiler. Je peux le comprendre, surtout si tu as besoin de cette option avec ton pont filtrant. > Je prefere deplacer le bridge sur un autre serveur. Séparer le routage+NAT IP et le pontage ethernet sur des machines différentes est une sage initiative, ça évite tout risque d'interférence entre les deux fonctions. Au fait, quel genre de filtrage ce pont fait-il ? >> Sinon, tu peux essayer de faire en sorte que les règles NAT soient >> appliquées aussi lors de la traversée du pont (avec -m physdev), mais >> je ne garantis rien. > > Je crois avoir déjà essayé... En même temps, faire du NAT IP sur un pont ce serait plutôt crade. > J'avais plutot dans l'idee de trouver des regles salvatrices avec > 'ebtables' pour rendre le filtre plus ou moins poreux... mais sans > succès pour l'instant. Je ne vois guère en quoi ebtables pourrait aider, ni ce que tu entends par "poreux". Ceci dit le pont filtrant est un domaine nouveau pour moi, sur lequel je me suis penché seulement après avoir lu ton message (j'avais un peu de temps). Et ma première impression après quelques tests est que cette option CONFIG_BRIDGE_NETFILTER est un hack assez immonde. Ah, je viens d'avoir une autre idée. Si le problème est le suivi de connexion IP dans le pont, si tu n'en as pas besoin pour tes règles de pont filtrant, et si ton noyau supporte la cible iptables NOTRACK de la table 'raw' (en standard à partir de la version 2.6.6), tu pourrais tenter de l'utiliser pour inhiber le suivi de connexion IP lors de la traversée du pont. Ça donnerait quelque chose comme ceci, si br0 est le nom de l'interface bridge : iptables -t raw -A PREROUTING -i br0 -j NOTRACK