PHWinfo - Afficher un message - le nat marche plus en passant par le bridge !

08/04/2007, 02h35

Pascal Hambourg wrote:

> Méconnaissance de quoi ?

Du réseau tout simplement

)

> Au fait, quel genre de filtrage ce pont fait-il ?

Aprés le hack d'un serveur qu'on heberge (et que nous n'administrons
pas), le bridge controle juste l'association IP et adresse MAC avec
'ebtables'.
Avec IpTables, on DROP certains ports pour les serveurs Windows, et on
applique un QoS a 2 cents.

> Je ne vois guère en quoi ebtables pourrait aider, ni ce que tu entends
> par "poreux".

"poreux" parce que la 1er fois que j'ai vu un paquet passant par le
bridge et atterissant dans ma table INPUT, alors que rien ne l'y invite,
je me suis dit qu'il y avait un trou quelque part ;-)

> Ah, je viens d'avoir une autre idée. Si le problème est le suivi de
> connexion IP dans le pont, si tu n'en as pas besoin pour tes règles de
> pont filtrant, et si ton noyau supporte la cible iptables NOTRACK de la
> table 'raw' (en standard à partir de la version 2.6.6), tu pourrais
> tenter de l'utiliser pour inhiber le suivi de connexion IP lors de la
> traversée du pont. Ça donnerait quelque chose comme ceci, si br0 est le
> nom de l'interface bridge :
>
> iptables -t raw -A PREROUTING -i br0 -j NOTRACK

BRAVO !
Ca resout mon problème.
En plus ca rejoint ma premiere analyse du problème ;-)
Et encore en plus, ca me soulage du tracking du bridge, dont je n'ai que
faire.

J'etais passé a côté de cette table 'raw'... comme quoi, j'ai bien des
lacunes sur le sujet ;-)

Encore Merci

--
c'est pas moi

08/04/2007, 02h35	#6
LLogicoss Messages: n/a Hébergeur:	Re: le nat marche plus en passant par le bridge ! Pascal Hambourg wrote: > Méconnaissance de quoi ? Du réseau tout simplement ) > Au fait, quel genre de filtrage ce pont fait-il ? Aprés le hack d'un serveur qu'on heberge (et que nous n'administrons pas), le bridge controle juste l'association IP et adresse MAC avec 'ebtables'. Avec IpTables, on DROP certains ports pour les serveurs Windows, et on applique un QoS a 2 cents. > Je ne vois guère en quoi ebtables pourrait aider, ni ce que tu entends > par "poreux". "poreux" parce que la 1er fois que j'ai vu un paquet passant par le bridge et atterissant dans ma table INPUT, alors que rien ne l'y invite, je me suis dit qu'il y avait un trou quelque part ;-) > Ah, je viens d'avoir une autre idée. Si le problème est le suivi de > connexion IP dans le pont, si tu n'en as pas besoin pour tes règles de > pont filtrant, et si ton noyau supporte la cible iptables NOTRACK de la > table 'raw' (en standard à partir de la version 2.6.6), tu pourrais > tenter de l'utiliser pour inhiber le suivi de connexion IP lors de la > traversée du pont. Ça donnerait quelque chose comme ceci, si br0 est le > nom de l'interface bridge : > > iptables -t raw -A PREROUTING -i br0 -j NOTRACK BRAVO ! Ca resout mon problème. En plus ca rejoint ma premiere analyse du problème ;-) Et encore en plus, ca me soulage du tracking du bridge, dont je n'ai que faire. J'etais passé a côté de cette table 'raw'... comme quoi, j'ai bien des lacunes sur le sujet ;-) Encore Merci -- c'est pas moi