PHWinfo - Afficher un message - le nat marche plus en passant par le bridge !

08/04/2007, 11h25

LLogicoss a écrit :
>
>> Au fait, quel genre de filtrage ce pont fait-il ?
>
> Aprés le hack d'un serveur qu'on heberge (et que nous n'administrons
> pas), le bridge controle juste l'association IP et adresse MAC avec
> 'ebtables'.
> Avec IpTables, on DROP certains ports pour les serveurs Windows, et on
> applique un QoS a 2 cents.

ebtables peut filtrer sur les ports TCP et UDP. Si la QoS est basée sur
le marquage de paquets (cible MARK), ebtables le permet aussi. Tout ça
pour dire que dans ton cas le filtrage par iptables dans le pont (et
donc l'option CONFIG_BRIDGE_NETFILTER) n'est peut-être pas indispensable.

>> iptables -t raw -A PREROUTING -i br0 -j NOTRACK
>
> BRAVO !
> Ca resout mon problème.

J'aime les histoires qui finissent bien. C'est mon côté midinette. :')

Je n'avais pas testé, il était tard, j'allais me coucher et j'aurais
attendu le lendemain pour répondre si cette idée ne m'était pas venue
subitement. Non pas que ce soit urgent, mais j'avais peur de l'oublier
pendant mon sommeil. ;-)

> En plus ca rejoint ma premiere analyse du problème ;-)

Oui, bonne intuition que je n'ai fait qu'étayer.

> J'etais passé a côté de cette table 'raw'... comme quoi, j'ai bien des
> lacunes sur le sujet ;-)

A ta décharge, je crois que la table 'raw' et sa cible NOTRACK sont très
peu connues. J'en profite pour mentionner que la cible NOTRACK introduit
un nouvel état de suivi connexion (si on peut dire) des paquets qu'elle
traite : UNTRACKED.

08/04/2007, 11h25	#7
Pascal Hambourg Messages: n/a Hébergeur:	Re: le nat marche plus en passant par le bridge ! LLogicoss a écrit : > >> Au fait, quel genre de filtrage ce pont fait-il ? > > Aprés le hack d'un serveur qu'on heberge (et que nous n'administrons > pas), le bridge controle juste l'association IP et adresse MAC avec > 'ebtables'. > Avec IpTables, on DROP certains ports pour les serveurs Windows, et on > applique un QoS a 2 cents. ebtables peut filtrer sur les ports TCP et UDP. Si la QoS est basée sur le marquage de paquets (cible MARK), ebtables le permet aussi. Tout ça pour dire que dans ton cas le filtrage par iptables dans le pont (et donc l'option CONFIG_BRIDGE_NETFILTER) n'est peut-être pas indispensable. >> iptables -t raw -A PREROUTING -i br0 -j NOTRACK > > BRAVO ! > Ca resout mon problème. J'aime les histoires qui finissent bien. C'est mon côté midinette. :') Je n'avais pas testé, il était tard, j'allais me coucher et j'aurais attendu le lendemain pour répondre si cette idée ne m'était pas venue subitement. Non pas que ce soit urgent, mais j'avais peur de l'oublier pendant mon sommeil. ;-) > En plus ca rejoint ma premiere analyse du problème ;-) Oui, bonne intuition que je n'ai fait qu'étayer. > J'etais passé a côté de cette table 'raw'... comme quoi, j'ai bien des > lacunes sur le sujet ;-) A ta décharge, je crois que la table 'raw' et sa cible NOTRACK sont très peu connues. J'en profite pour mentionner que la cible NOTRACK introduit un nouvel état de suivi connexion (si on peut dire) des paquets qu'elle traite : UNTRACKED.