Suite de mes histoires de Freebox

29/12/2006, 01h03

Salut.

Suite à mes précédents échanges, j'ai regardé comment marchait
l'installation de la Freebox sous Debian (seule documentation disponible
avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS
pour les mémodéfaillants).

Bon, je suis en ethernet, mais ça me pose un problème. Que je vous
explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la
Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC
de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station
Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent
modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant
prise par la Freebox.

J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie :
il n'est pas routeur. Voici comment j'essaye de le faire marcher
maintenant (police à chasse fixe conseillée !) :

**************************
* * *
* LFS box * eth0 *---------|
* * * |
************************** |
| *********
|---* *
* *
************************** * *
* * * *
* Freebox eth *-------------* hub *
* * * *
************************** * *
* *
|---* *
| * *
************************** | *********
* * * |
* Winbeurk box * eth *---------|
* * *
**************************

Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de
ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
une daube Window$ qui a une autre adresse ?

Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
crois, routeur (c'est activable en ligne, il me semble), cela peut-il
aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
routeur (je sais pas, mais sans-doute beaucoup plus cher) ?

Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba
entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse
accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque
fois la prise de l'imprimante de PC.

Et si vous avez une solution qui fait en plus un petit café de temps en
temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes
choix ne sont pas forcément les meilleurs, j'aimerais faire avec les
moyens du bord si possible, avec le moins de frais possibles.

Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de
merde, une jolie station Linux, une daube Window$ et une Freebox pour les
crétins" en ligne en moins de 50 pages, avec tout bien décrit...

\bye

PS : et bien-sûr, bonnes fêtes de fin d'année ;-)

--

Nicolas FRANCOIS
http://nicolas.francois.free.fr
A TRUE Klingon programmer does NOT comment his code

29/12/2006, 01h18

Le 29/12/2006, Eul_Bofo a supposé :
> Salut.
>
> Suite à mes précédents échanges, j'ai regardé comment marchait
> l'installation de la Freebox sous Debian (seule documentation disponible
> avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS
> pour les mémodéfaillants).
>
> Bon, je suis en ethernet, mais ça me pose un problème. Que je vous
> explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la
> Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC
> de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station
> Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent
> modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant
> prise par la Freebox.
>
> J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie :
> il n'est pas routeur. Voici comment j'essaye de le faire marcher
> maintenant (police à chasse fixe conseillée !) :
>
> **************************
> * * *
> * LFS box * eth0 *---------|
> * * * |
> ************************** |
> | *********
> |---* *
> * *
> ************************** * *
> * * * *
> * Freebox eth *-------------* hub *
> * * * *
> ************************** * *
> * *
> |---* *
> | * *
> ************************** | *********
> * * * |
> * Winbeurk box * eth *---------|
> * * *
> **************************
>
> Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
> adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de
> ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
> une daube Window$ qui a une autre adresse ?
>
> Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
> avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
> crois, routeur (c'est activable en ligne, il me semble), cela peut-il
> aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
> ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
> routeur (je sais pas, mais sans-doute beaucoup plus cher) ?
>
> Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba
> entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse
> accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque
> fois la prise de l'imprimante de PC.
>
> Et si vous avez une solution qui fait en plus un petit café de temps en
> temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes
> choix ne sont pas forcément les meilleurs, j'aimerais faire avec les
> moyens du bord si possible, avec le moins de frais possibles.
>
> Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de
> merde, une jolie station Linux, une daube Window$ et une Freebox pour les
> crétins" en ligne en moins de 50 pages, avec tout bien décrit...

Le + simple et le + economique est de passer la Freebox en mode
routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout
compris...
....pour le café je n'ai po de solution... :/

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

29/12/2006, 01h22

pour l'impression partagée, jette un coup d'oeil la dessus
=>
http://fedoraforum.org/forum/showthr...share+printing

29/12/2006, 09h02

Eric G. wrote:

> Le 29/12/2006, Eul_Bofo a supposé :
>> Salut.
>>
>> Suite à mes précédents échanges, j'ai regardé comment marchait
>> l'installation de la Freebox sous Debian (seule documentation disponible
>> avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS
>> pour les mémodéfaillants).
>>
>> Bon, je suis en ethernet, mais ça me pose un problème. Que je vous
>> explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la
>> Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC
>> de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station
>> Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent
>> modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant
>> prise par la Freebox.
>>
>> J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie :
>> il n'est pas routeur. Voici comment j'essaye de le faire marcher
>> maintenant (police à chasse fixe conseillée !) :
>>
>> **************************
>> * * *
>> * LFS box * eth0 *---------|
>> * * * |
>> ************************** |
>> | *********
>> |---* *
>> * *
>> ************************** * *
>> * * * *
>> * Freebox eth *-------------* hub *
>> * * * *
>> ************************** * *
>> * *
>> |---* *
>> | * *
>> ************************** | *********
>> * * * |
>> * Winbeurk box * eth *---------|
>> * * *
>> **************************
>>
>> Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
>> adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de
>> ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
>> une daube Window$ qui a une autre adresse ?
>>
>> Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
>> avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
>> crois, routeur (c'est activable en ligne, il me semble), cela peut-il
>> aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
>> ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
>> routeur (je sais pas, mais sans-doute beaucoup plus cher) ?
>>
>> Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba
>> entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse
>> accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque
>> fois la prise de l'imprimante de PC.
>>
>> Et si vous avez une solution qui fait en plus un petit café de temps en
>> temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes
>> choix ne sont pas forcément les meilleurs, j'aimerais faire avec les
>> moyens du bord si possible, avec le moins de frais possibles.
>>
>> Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de
>> merde, une jolie station Linux, une daube Window$ et une Freebox pour les
>> crétins" en ligne en moins de 50 pages, avec tout bien décrit...
>
> Le + simple et le + economique est de passer la Freebox en mode
> routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout
> compris...
> ...pour le café je n'ai po de solution... :/
>

très simple :

la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas
dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway
de la freebox, à régler sur le site de free, compte perso)

une carte ethernet (ou le circuit ethernet de la carte mère, généralement un
realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub,

la win$box sur le hub en 192.168.10.2, câble ethernet droit.

les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès
pour faire faire le routage et les filtres iptables/netfilter par la
linuxbox.

activer les règles suivantes (au minimum) sur la linuxbox :

#!/bin/sh
# Le script commence par effacer les règles de filtrage actuelles
/sbin/iptables -F
/sbin/iptables -t nat -F

# Effacement des chaines existantes
/sbin/iptables -X

# on charge les modules NAT
modprobe iptable_nat
modprobe ip_nat_irc
modprobe iptable_filter
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_state
modprobe iptable_mangle
modprobe iptables_conntrack_rtsp

# on active l'IP-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# on accepte les paquets relatifs aux connexions déjà ouvertes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# on accepte tout ce qui se passe sur lo
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# on accepte tout ce qui se passe sur le reseau local 192.168.10.0
/sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

# dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le
POSTROUTING
/sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

# éventuellement, on autorise les requêtes dhcp
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j
ACCEPT
#/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j
ACCEPT

# on autorise les requêtes dns venat de 192.168.10.0
/sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT

# On DNAT la freebox
/sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d
212.27.38.253 -jDNAT-d192.168.0.250

# On autorise udp sur les ports utilisés par freeplayer
/sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000
-j ACCEPT

# On ouvre le port 8080 et le 1234
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT
/sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT
# ... ainsi que les réponses
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT

# On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et
192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment
192.168.10.0 )
/sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT

# On ouvre le port 631 pour cups sur le réseau local 192.168.10.0
/sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT

# ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET
/sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT
/sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT

# ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET
/sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP
/sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP

# INTERDICTION de ROUTAGE NETBIOS SUR INTERNET
/sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP
/sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP

sur les machines du réseau local, mettre l'adresse de la linuxbox
192.168.10.1 comme gateway.

inconvénient : la linuxbox doit être allumée pour que les autres machines
accèdent au net.
avantage : toutes les machines du segment 192.168.10.0 ont une protection
minimale contre les intrusions netbeui.
avantage : freeplayer sur le réseau local.

au passage, toutes remarques, observations, suggestions, des contributeurs
du forum sont acceptées avec plaisir.

bonnes fêtes, bonne année, et A+

29/12/2006, 09h17

On Fri, 29 Dec 2006 10:02:02 +0100, sansflotusspam
<sansalain.flotspam@free.fr>:

>avantage : toutes les machines du segment 192.168.10.0 ont une protection
>minimale contre les intrusions netbeui.

Je ne vois pas bien ce que ta solution apporte par rapport à une
config classique (tout en 192.168.0.x, et la freebox en routeur).

29/12/2006, 12h17

sansflotusspam a pensé très fort :
> très simple :
>
> la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas
> dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway
> de la freebox, à régler sur le site de free, compte perso)
>
> une carte ethernet (ou le circuit ethernet de la carte mère, généralement un
> realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub,
>
> la win$box sur le hub en 192.168.10.2, câble ethernet droit.
>
> les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès
> pour faire faire le routage et les filtres iptables/netfilter par la
> linuxbox.
>
> activer les règles suivantes (au minimum) sur la linuxbox :
>
> #!/bin/sh
> # Le script commence par effacer les règles de filtrage actuelles
> /sbin/iptables -F
> /sbin/iptables -t nat -F
>
> # Effacement des chaines existantes
> /sbin/iptables -X
>
> # on charge les modules NAT
> modprobe iptable_nat
> modprobe ip_nat_irc
> modprobe iptable_filter
> modprobe ip_nat_ftp
> modprobe ip_conntrack
> modprobe ip_conntrack_ftp
> modprobe ipt_state
> modprobe iptable_mangle
> modprobe iptables_conntrack_rtsp
>
> # on active l'IP-forwarding
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> # on accepte les paquets relatifs aux connexions déjà ouvertes
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # on accepte tout ce qui se passe sur lo
> /sbin/iptables -A INPUT -i lo -j ACCEPT
> /sbin/iptables -A OUTPUT -o lo -j ACCEPT
>
> # on accepte tout ce qui se passe sur le reseau local 192.168.10.0
> /sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
> /sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT
> /sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
>
> # dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le
> POSTROUTING
> /sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
>
> # éventuellement, on autorise les requêtes dhcp
> #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j
> ACCEPT
> #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j
> ACCEPT
> #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j
> ACCEPT
> #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j
> ACCEPT
>
> # on autorise les requêtes dns venat de 192.168.10.0
> /sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT
> /sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT
>
> # On DNAT la freebox
> /sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d
> 212.27.38.253 -jDNAT-d192.168.0.250
>
> # On autorise udp sur les ports utilisés par freeplayer
> /sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000
> -j ACCEPT
>
> # On ouvre le port 8080 et le 1234
> /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT
> /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT
> /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT
> # ... ainsi que les réponses
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT
> /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT
>
> # On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et
> 192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment
> 192.168.10.0 )
> /sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT
>
> # On ouvre le port 631 pour cups sur le réseau local 192.168.10.0
> /sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT
> /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT
>
> # ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET
> /sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT
> /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT
> /sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT
> /sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT
> /sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT
> /sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT
>
> # ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET
> /sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP
> /sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP
> /sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP
>
> # INTERDICTION de ROUTAGE NETBIOS SUR INTERNET
> /sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP
> /sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP
>
> sur les machines du réseau local, mettre l'adresse de la linuxbox
> 192.168.10.1 comme gateway.
>
> inconvénient : la linuxbox doit être allumée pour que les autres machines
> accèdent au net.
> avantage : toutes les machines du segment 192.168.10.0 ont une protection
> minimale contre les intrusions netbeui.
> avantage : freeplayer sur le réseau local.
>
> au passage, toutes remarques, observations, suggestions, des contributeurs
> du forum sont acceptées avec plaisir.

euh...bah on n'a po la meme definition du mot "simple"... ;-)

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

29/12/2006, 13h57

Salut,

Fabien LE LEZ a écrit :
>
> Je ne vois pas bien ce que ta solution apporte par rapport à une
> config classique (tout en 192.168.0.x, et la freebox en routeur).

1) Le filtrage iptables par la machine Linux. La Freebox en mode routeur
NAT, on ne sait pas trop ce qu'elle filtre.

2) La machine Linux a l'adresse IP publique de la connexion et une
connectivité complète sans NAT.

29/12/2006, 14h32

Salut,

Eul_Bofo a écrit :
>
> **************************
> * LFS box * eth0 *---------|
> ************************** |
> | *********
> |---* *
> ************************** * *
> * Freebox eth *-------------* hub *
> ************************** * *
> |---* *
> | * *
> ************************** | *********
> * Winbeurk box * eth *---------|
> **************************
>
> Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son
> adresse IP, quoi),

Tu veux dire que la machine connectée à internet via la Freebox récupère
sa configuration IP par DHCP. Comment la Freebox récupère cette
configuration auprès de Free est une autre histoire, et sans importance
de toute façon.

> j'ai donc du modifier la config de la liaison eth0 de
> ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0
> une daube Window$ qui a une autre adresse ?
>
> Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre,
> avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je
> crois, routeur (c'est activable en ligne, il me semble), cela peut-il
> aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte
> ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub
> routeur (je sais pas, mais sans-doute beaucoup plus cher) ?

"Tout est possible, tout est réalisable", comme dirait l'autre. Mais
toutes les solutions ne se valent pas.

- Passer la Freebox en mode routeur NAT :
Les deux machines récupèrent une adresses IP privée dans le même
sous-réseau par DHCP auprès de la Freebox et peuvent donc communiquer
entre elles. Inconvénient éventuel (pour d'autres c'est un avantage), la
machine Linux n'a plus l'adresse IP publique ni de connectivité directe
à internet. Solution propre, mais on ne sait pas trop ce que filtre la
Freebox en mode routeur NAT.

- Remplacer le hub par un routeur NAT avec switch intégré ou insérer un
routeur NAT entre le hub et la Freebox :
Comme le passage de la Freebox en mode routeur NAT, mais éventuellement
on peut avoir un contrôle plus fin sur le filtrage et le NAT du routeur.

- Ajouter une seconde interface ethernet à la machine Linux :
Relier le hub à l'une et la Freebox en mode simple à l'autre. Pour les
détails, voir la réponse de "sansflotusspam". Solution propre, la
machine Linux conserve l'adresse IP publique et gère le filtrage et le
NAT pour elle-même et la machine Windows derrière elle.

- Ne rien changer au niveau matériel ni dans la Freebox :
La machine Linux reçoit l'adresse IP publique par DHCP sur son interface
eth0. Définir un sous-réseau IP privé entre la machine Linux et la
machine Windows. Attribuer statiquement une des adresses privées à la
machine Windows et une autre à un alias de l'interface ethernet de la
machine Linux (eth0:1 par exemple). Activer le routage et le NAT comme
précédemment mais c'est la même interface eth0 qui sert à la fois de LAN
et de WAN. Solution sale puisque les deux réseaux se partagent le même
support ethernet. A éviter si possible.

- Si le hub est en réalité un switch qui supporte les VLAN 802.1q (on
peut toujours rêver) :
Créer deux VLAN sur le switch, que j'appellerai LAN et WAN. Associer le
port sur lquel est branchée la Freebox au VLAN WAN non taggé. Associer
le port sur lequel est branchée la machine Windows au VLAN LAN non
taggé. Associer le port sur lequel est branchée la machine Linux aux
deux VLAN en mode taggué 802.1q. Définir sur la machine Linux deux
interfaces VLAN liées à eth0 associées à chaque VLAN (man vconfig), que
j'appellerai eth0.LAN et eth0.WAN. Pour la configuration IP, ça revient
au même que la solution avec une interface ethernet supplémentaire.
Solution propre puisque les deux réseaux sont séparés logiquement au
niveau du switch.

29/12/2006, 01h03	#1
Eul_Bofo Messages: n/a Hébergeur:	Suite de mes histoires de Freebox Salut. Suite à mes précédents échanges, j'ai regardé comment marchait l'installation de la Freebox sous Debian (seule documentation disponible avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS pour les mémodéfaillants). Bon, je suis en ethernet, mais ça me pose un problème. Que je vous explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant prise par la Freebox. J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie : il n'est pas routeur. Voici comment j'essaye de le faire marcher maintenant (police à chasse fixe conseillée !) : ************************** * * * * LFS box * eth0 ---------\| * * \| ************************ \| \| ******* \|---* * * * ************************** * * * * * * * Freebox eth ------------- hub * * * * * ************************** * * * * \|---* * \| * * ************************ \| ******* * * * \| * Winbeurk box * eth ---------\| * * ************************** Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0 une daube Window$ qui a une autre adresse ? Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre, avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je crois, routeur (c'est activable en ligne, il me semble), cela peut-il aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub routeur (je sais pas, mais sans-doute beaucoup plus cher) ? Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque fois la prise de l'imprimante de PC. Et si vous avez une solution qui fait en plus un petit café de temps en temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes choix ne sont pas forcément les meilleurs, j'aimerais faire avec les moyens du bord si possible, avec le moins de frais possibles. Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de merde, une jolie station Linux, une daube Window$ et une Freebox pour les crétins" en ligne en moins de 50 pages, avec tout bien décrit... \bye PS : et bien-sûr, bonnes fêtes de fin d'année ;-) -- Nicolas FRANCOIS http://nicolas.francois.free.fr A TRUE Klingon programmer does NOT comment his code

29/12/2006, 01h18	#2
Eric G. Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox Le 29/12/2006, Eul_Bofo a supposé : > Salut. > > Suite à mes précédents échanges, j'ai regardé comment marchait > l'installation de la Freebox sous Debian (seule documentation disponible > avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS > pour les mémodéfaillants). > > Bon, je suis en ethernet, mais ça me pose un problème. Que je vous > explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la > Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC > de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station > Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent > modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant > prise par la Freebox. > > J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie : > il n'est pas routeur. Voici comment j'essaye de le faire marcher > maintenant (police à chasse fixe conseillée !) : > > ************************** > * * * > * LFS box * eth0 ---------\| > * * \| > ************************ \| > \| ******* > \|---* * > * * > ************************** * * > * * * * > * Freebox eth ------------- hub * > * * * * > ************************** * * > * * > \|---* * > \| * * > ************************ \| ******* > * * * \| > * Winbeurk box * eth ---------\| > * * > ************************** > > Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son > adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de > ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0 > une daube Window$ qui a une autre adresse ? > > Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre, > avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je > crois, routeur (c'est activable en ligne, il me semble), cela peut-il > aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte > ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub > routeur (je sais pas, mais sans-doute beaucoup plus cher) ? > > Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba > entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse > accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque > fois la prise de l'imprimante de PC. > > Et si vous avez une solution qui fait en plus un petit café de temps en > temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes > choix ne sont pas forcément les meilleurs, j'aimerais faire avec les > moyens du bord si possible, avec le moins de frais possibles. > > Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de > merde, une jolie station Linux, une daube Window$ et une Freebox pour les > crétins" en ligne en moins de 50 pages, avec tout bien décrit... Le + simple et le + economique est de passer la Freebox en mode routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout compris... ....pour le café je n'ai po de solution... :/ -- @+ ERIC http://ericzworkz.free.fr Spam protected, click here to answer : http://cerbermail.com/?tVjLN6N0wM

29/12/2006, 01h22	#3
chalten Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox pour l'impression partagée, jette un coup d'oeil la dessus => http://fedoraforum.org/forum/showthr...share+printing

29/12/2006, 09h02	#4
sansflotusspam Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox Eric G. wrote: > Le 29/12/2006, Eul_Bofo a supposé : >> Salut. >> >> Suite à mes précédents échanges, j'ai regardé comment marchait >> l'installation de la Freebox sous Debian (seule documentation disponible >> avec la bête), puis j'ai trouvé comment faire sur ma distrib à moi (LFS >> pour les mémodéfaillants). >> >> Bon, je suis en ethernet, mais ça me pose un problème. Que je vous >> explique : j'ai un PC, qui tourne sous Linux, auquel est rattaché la >> Freebox (en ethernet, oeuf corse). Mais il y a dans la même pièce le PC >> de ma femme, sous XP, que j'alimentais avant en NAT depuis ma station >> Linux, par l'intermédiaire d'une liaison ethernet directe, mon précédent >> modem étant un speedtouch USB. Donc, ma prise ethernet est maintenant >> prise par la Freebox. >> >> J'ai acheté un hub ethernet, mais je crois que j'ai fait une connerie : >> il n'est pas routeur. Voici comment j'essaye de le faire marcher >> maintenant (police à chasse fixe conseillée !) : >> >> ************************** >> * * * >> * LFS box * eth0 ---------\| >> * * \| >> ************************ \| >> \| ******* >> \|---* * >> * * >> ************************** * * >> * * * * >> * Freebox eth ------------- hub * >> * * * * >> ************************** * * >> * * >> \|---* * >> \| * * >> ************************ \| ******* >> * * * \| >> * Winbeurk box * eth ---------\| >> * * >> ************************** >> >> Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son >> adresse IP, quoi), j'ai donc du modifier la config de la liaison eth0 de >> ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0 >> une daube Window$ qui a une autre adresse ? >> >> Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre, >> avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je >> crois, routeur (c'est activable en ligne, il me semble), cela peut-il >> aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte >> ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub >> routeur (je sais pas, mais sans-doute beaucoup plus cher) ? >> >> Je précise qu'en plus du NAT pour l'accès à l'internet, je fais du Samba >> entre mes deux PC, et que j'aimerais bien que ma station Window$ puisse >> accéder à mon serveur CUPS pour pouvoir imprimer sans changer à chaque >> fois la prise de l'imprimante de PC. >> >> Et si vous avez une solution qui fait en plus un petit café de temps en >> temps... et bin, OK, pourquoi pas ! Nan, je plaisante, je sais que mes >> choix ne sont pas forcément les meilleurs, j'aimerais faire avec les >> moyens du bord si possible, avec le moins de frais possibles. >> >> Merci pour toute idée, ou bien conseil du genre "le réseau avec un hub de >> merde, une jolie station Linux, une daube Window$ et une Freebox pour les >> crétins" en ligne en moins de 50 pages, avec tout bien décrit... > > Le + simple et le + economique est de passer la Freebox en mode > routeur, puis de connecter les 2 PC sur le hub...m'enfin si j'ai tout > compris... > ...pour le café je n'ai po de solution... :/ > très simple : la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway de la freebox, à régler sur le site de free, compte perso) une carte ethernet (ou le circuit ethernet de la carte mère, généralement un realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub, la win$box sur le hub en 192.168.10.2, câble ethernet droit. les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès pour faire faire le routage et les filtres iptables/netfilter par la linuxbox. activer les règles suivantes (au minimum) sur la linuxbox : #!/bin/sh # Le script commence par effacer les règles de filtrage actuelles /sbin/iptables -F /sbin/iptables -t nat -F # Effacement des chaines existantes /sbin/iptables -X # on charge les modules NAT modprobe iptable_nat modprobe ip_nat_irc modprobe iptable_filter modprobe ip_nat_ftp modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ipt_state modprobe iptable_mangle modprobe iptables_conntrack_rtsp # on active l'IP-forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # on accepte les paquets relatifs aux connexions déjà ouvertes iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # on accepte tout ce qui se passe sur lo /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # on accepte tout ce qui se passe sur le reseau local 192.168.10.0 /sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT /sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT /sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT # dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le POSTROUTING /sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE # éventuellement, on autorise les requêtes dhcp #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j ACCEPT #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j ACCEPT #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j ACCEPT #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j ACCEPT # on autorise les requêtes dns venat de 192.168.10.0 /sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT /sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT # On DNAT la freebox /sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d 212.27.38.253 -jDNAT-d192.168.0.250 # On autorise udp sur les ports utilisés par freeplayer /sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000 -j ACCEPT # On ouvre le port 8080 et le 1234 /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT # ... ainsi que les réponses /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT # On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et 192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment 192.168.10.0 ) /sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT # On ouvre le port 631 pour cups sur le réseau local 192.168.10.0 /sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT # ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET /sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT /sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT /sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT /sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT /sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT # ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET /sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP /sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP /sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP # INTERDICTION de ROUTAGE NETBIOS SUR INTERNET /sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP /sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP sur les machines du réseau local, mettre l'adresse de la linuxbox 192.168.10.1 comme gateway. inconvénient : la linuxbox doit être allumée pour que les autres machines accèdent au net. avantage : toutes les machines du segment 192.168.10.0 ont une protection minimale contre les intrusions netbeui. avantage : freeplayer sur le réseau local. au passage, toutes remarques, observations, suggestions, des contributeurs du forum sont acceptées avec plaisir. bonnes fêtes, bonne année, et A+

29/12/2006, 09h17	#5
Fabien LE LEZ Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox On Fri, 29 Dec 2006 10:02:02 +0100, sansflotusspam <sansalain.flotspam@free.fr>: >avantage : toutes les machines du segment 192.168.10.0 ont une protection >minimale contre les intrusions netbeui. Je ne vois pas bien ce que ta solution apporte par rapport à une config classique (tout en 192.168.0.x, et la freebox en routeur).

29/12/2006, 12h17	#6
Eric G. Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox sansflotusspam a pensé très fort : > très simple : > > la freebox sur la linuxbox en ethernet, eth0 et 192.168.0.1 (static, pas > dhcp, dans ifcfg-eth0), en câble droit, gateway 192.168.0.250 (= la gateway > de la freebox, à régler sur le site de free, compte perso) > > une carte ethernet (ou le circuit ethernet de la carte mère, généralement un > realtek ou un via-rhine) en eth1 192.168.10.1, un câble droit sur le hub, > > la win$box sur le hub en 192.168.10.2, câble ethernet droit. > > les deux segments de réseau (192.168.0.0 et 192.168.10.0) , c'est exprès > pour faire faire le routage et les filtres iptables/netfilter par la > linuxbox. > > activer les règles suivantes (au minimum) sur la linuxbox : > > #!/bin/sh > # Le script commence par effacer les règles de filtrage actuelles > /sbin/iptables -F > /sbin/iptables -t nat -F > > # Effacement des chaines existantes > /sbin/iptables -X > > # on charge les modules NAT > modprobe iptable_nat > modprobe ip_nat_irc > modprobe iptable_filter > modprobe ip_nat_ftp > modprobe ip_conntrack > modprobe ip_conntrack_ftp > modprobe ipt_state > modprobe iptable_mangle > modprobe iptables_conntrack_rtsp > > # on active l'IP-forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > # on accepte les paquets relatifs aux connexions déjà ouvertes > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > # on accepte tout ce qui se passe sur lo > /sbin/iptables -A INPUT -i lo -j ACCEPT > /sbin/iptables -A OUTPUT -o lo -j ACCEPT > > # on accepte tout ce qui se passe sur le reseau local 192.168.10.0 > /sbin/iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT > /sbin/iptables -A OUTPUT -s 192.168.10.0/24 -j ACCEPT > /sbin/iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT > > # dans la table NAT (-t nat), on ajoute une règle (-A) pour masquer le > POSTROUTING > /sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE > > # éventuellement, on autorise les requêtes dhcp > #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootpc --dport bootps -j > ACCEPT > #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootpc --dport bootps -j > ACCEPT > #/sbin/iptables -A INPUT -i eth1 -p udp --sport bootps --dport bootpc -j > ACCEPT > #/sbin/iptables -A INPUT -i eth1 -p tcp --sport bootps --dport bootpc -j > ACCEPT > > # on autorise les requêtes dns venat de 192.168.10.0 > /sbin/iptables -A INPUT -i eth1 -p udp --dport domain -j ACCEPT > /sbin/iptables -A INPUT -i eth1 -p tcp --dport domain -j ACCEPT > > # On DNAT la freebox > /sbin/iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -d > 212.27.38.253 -jDNAT-d192.168.0.250 > > # On autorise udp sur les ports utilisés par freeplayer > /sbin/iptables -A INPUT -p udp -m udp -s 192.168.0.250 --dport 32000:34000 > -j ACCEPT > > # On ouvre le port 8080 et le 1234 > /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 8080 -j ACCEPT > /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 8080 -j ACCEPT > /sbin/iptables -A INPUT -p tcp -s 192.168.0.1 --dport 1234 - ACCEPT > /sbin/iptables -A INPUT -o udp -s 192.168.0.1 --dport 1234 -j ACCEPT > # ... ainsi que les réponses > /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 8080 -j ACCEPT > /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 8080 -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.1 --sport 1234 -j ACCEPT > /sbin/iptables -A OUTPUT -p udp -d 192.168.0.1 --sport 1234 -j ACCEPT > > # On ouvre le port 445 pour smb sur 192.168.10.2, 192.168.10.10 et > 192.168.10.20 (adresses fixes, mais on peut écrire la règle pour le segment > 192.168.10.0 ) > /sbin/iptables -A INPUT -p tcp -s 192.168.10.10 --dport 445 -j ACCEPT > /sbin/iptables -A INPUT -p tcp -s 192.168.10.20 --dport 445 -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.10 --sport 445 -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.20 --sport 445 -j ACCEPT > /sbin/iptables -A INPUT -p tcp -s 192.168.10.2 --dport 445 -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp -d 192.168.10.2 --sport 445 -j ACCEPT > > # On ouvre le port 631 pour cups sur le réseau local 192.168.10.0 > /sbin/iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 631 -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 631 -j ACCEPT > > # ON REFUSE TOUT CE QUI VIENDRAIT D'UN LAN PRIVE EN PROVENANCE D'INTERNET > /sbin/iptables -A FORWARD -s 10.0.0.0/8 -i eth0 -j REJECT > /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j REJECT > /sbin/iptables -A FORWARD -s 172.16.0.0/12 -i eth0 -j REJECT > /sbin/iptables -A INPUT -s 172.16.0.0/12 -i eth0 -j REJECT > /sbin/iptables -A FORWARD -s 192.168.0.0/16 -i eth0 -j REJECT > /sbin/iptables -A INPUT -s 192.168.0.0/16 -i eth0 -j REJECT > > # ON REFUSE TOUT CE QUI IRAIT VERS UN LAN PRIVE EN DIRECTION D'INTERNET > /sbin/iptables -A FORWARD -d 10.0.0.0/8 -o eth0 -j DROP > /sbin/iptables -A FORWARD -d 172.16.0.0/12 -o eth0 -j DROP > /sbin/iptables -A FORWARD -d 192.168.10.0/16 -o eth0 -j DROP > > # INTERDICTION de ROUTAGE NETBIOS SUR INTERNET > /sbin/iptables -A FORWARD -m tcp -p tcp --dport 137:139 -o eth0 -j DROP > /sbin/iptables -A FORWARD -m udp -p udp --dport 137:139 -o eth0 -j DROP > > sur les machines du réseau local, mettre l'adresse de la linuxbox > 192.168.10.1 comme gateway. > > inconvénient : la linuxbox doit être allumée pour que les autres machines > accèdent au net. > avantage : toutes les machines du segment 192.168.10.0 ont une protection > minimale contre les intrusions netbeui. > avantage : freeplayer sur le réseau local. > > au passage, toutes remarques, observations, suggestions, des contributeurs > du forum sont acceptées avec plaisir. euh...bah on n'a po la meme definition du mot "simple"... ;-) -- @+ ERIC http://ericzworkz.free.fr Spam protected, click here to answer : http://cerbermail.com/?tVjLN6N0wM

29/12/2006, 13h57	#7
Pascal Hambourg Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox Salut, Fabien LE LEZ a écrit : > > Je ne vois pas bien ce que ta solution apporte par rapport à une > config classique (tout en 192.168.0.x, et la freebox en routeur). 1) Le filtrage iptables par la machine Linux. La Freebox en mode routeur NAT, on ne sait pas trop ce qu'elle filtre. 2) La machine Linux a l'adresse IP publique de la connexion et une connectivité complète sans NAT.

29/12/2006, 14h32	#8
Pascal Hambourg Messages: n/a Hébergeur:	Re: Suite de mes histoires de Freebox Salut, Eul_Bofo a écrit : > > ************************** > * LFS box * eth0 ---------\| > *********************** \| > \| ******* > \|---* * > ************************** * * > * Freebox eth ------------- hub * > ************************** * * > \|---* * > \| * * > ************************ \| ******* > * Winbeurk box * eth ---------\| > ************************* > > Le problème : la Freebox se connecte avec DHCP (c'est elle qui dit son > adresse IP, quoi), Tu veux dire que la machine connectée à internet via la Freebox récupère sa configuration IP par DHCP. Comment la Freebox récupère cette configuration auprès de Free est une autre histoire, et sans importance de toute façon. > j'ai donc du modifier la config de la liaison eth0 de > ma boite Linux. Mais comment dire alors qu'il y a aussi sur le port eth0 > une daube Window$ qui a une autre adresse ? > > Ai-je vraiment merdé, et ce cablage n'est-il plus possible ? Un autre, > avec la config actuelle, marchera-t-il ? Sinon, la Freebox peut faire, je > crois, routeur (c'est activable en ligne, il me semble), cela peut-il > aider ? Et sinon encore, vaut-il mieux que j'installe une autre carte > ethernet sur ma boite Linux (8 euros chez Aat), ou que j'achète un hub > routeur (je sais pas, mais sans-doute beaucoup plus cher) ? "Tout est possible, tout est réalisable", comme dirait l'autre. Mais toutes les solutions ne se valent pas. - Passer la Freebox en mode routeur NAT : Les deux machines récupèrent une adresses IP privée dans le même sous-réseau par DHCP auprès de la Freebox et peuvent donc communiquer entre elles. Inconvénient éventuel (pour d'autres c'est un avantage), la machine Linux n'a plus l'adresse IP publique ni de connectivité directe à internet. Solution propre, mais on ne sait pas trop ce que filtre la Freebox en mode routeur NAT. - Remplacer le hub par un routeur NAT avec switch intégré ou insérer un routeur NAT entre le hub et la Freebox : Comme le passage de la Freebox en mode routeur NAT, mais éventuellement on peut avoir un contrôle plus fin sur le filtrage et le NAT du routeur. - Ajouter une seconde interface ethernet à la machine Linux : Relier le hub à l'une et la Freebox en mode simple à l'autre. Pour les détails, voir la réponse de "sansflotusspam". Solution propre, la machine Linux conserve l'adresse IP publique et gère le filtrage et le NAT pour elle-même et la machine Windows derrière elle. - Ne rien changer au niveau matériel ni dans la Freebox : La machine Linux reçoit l'adresse IP publique par DHCP sur son interface eth0. Définir un sous-réseau IP privé entre la machine Linux et la machine Windows. Attribuer statiquement une des adresses privées à la machine Windows et une autre à un alias de l'interface ethernet de la machine Linux (eth0:1 par exemple). Activer le routage et le NAT comme précédemment mais c'est la même interface eth0 qui sert à la fois de LAN et de WAN. Solution sale puisque les deux réseaux se partagent le même support ethernet. A éviter si possible. - Si le hub est en réalité un switch qui supporte les VLAN 802.1q (on peut toujours rêver) : Créer deux VLAN sur le switch, que j'appellerai LAN et WAN. Associer le port sur lquel est branchée la Freebox au VLAN WAN non taggé. Associer le port sur lequel est branchée la machine Windows au VLAN LAN non taggé. Associer le port sur lequel est branchée la machine Linux aux deux VLAN en mode taggué 802.1q. Définir sur la machine Linux deux interfaces VLAN liées à eth0 associées à chaque VLAN (man vconfig), que j'appellerai eth0.LAN et eth0.WAN. Pour la configuration IP, ça revient au même que la solution avec une interface ethernet supplémentaire. Solution propre puisque les deux réseaux sont séparés logiquement au niveau du switch.

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email