Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Mise en place d´un pont avec Centos

mahu_1

Bonjour à tous ,
Par curiosité et afin d´accroître la sécurité de mon réseau , je cherche à mettre en place un pont firewall avec un p4 avec deux cartes réseau.
Ma config réseau est la suivante :

Cable modem- routeur wifi - ( sur lequel se conecte plusieurs clients) - eth0 192.168.1.34 ( attribuée par dhcp)- p4 -eth1- ip? masque de sous réseau?- laptop

Je ne souhaite pas que eth1 agisse comme serveur dhcp puisqu´en définitive je ne connecterais qu´un seul laptop en ip fixe.
Comment faire en sorte que les paquets de eth0 soit redirigé vers eth1 et inversement , dois je installer un nat ? comment dois je configurer eth1??
j´ai désactivé le firewall ainsi que selinux et je souhaite affiner ces règles de filtrage aprés...
Tous les conseils seront les bienvenus . Je crois que centos et Fedora sont basés sur la même architecture , raison de mon post ici ( j ´espère ne pas m être planté de forum et si oui désolé) , mais aussi parce que j e n ai rien trouvé sur google....
Tous les conseils seront les bienvenus . Merci à tous .

Nours féroce

Ton problème doit être un problème de routage. Il faut je pense que tu utilise la commande route pour éditer la table de routage du pont. Je ne peux pas t'en dire tellement plus, je ne connais que très peu ce domaine. Mais si tu n'as jamais fait de routage bon courage perso je ne trouve pas ça simple.

mahu_1

Merci Nours Féroce pour ta réponse .
J ai en effet utilisé la commande add route mais j ai du me planter dans le routage ...

pour la création du pont j ai trouvé des infos sur un autre poste :

sbin/ifconfig eth0 0.0.0.0
/usr/sbin/brctl addbr br0
/usr/sbin/brctl addif br0 eth0
/sbin/ifconfig br0 192.168.1.103 up
/sbin/route add default gw 192.168.1.1

que j ´ai modifié avec mes données persos mais bon j ai du me planter quelque part parce que Ça ne marche pas.

Mon plan est :

Routeur . 192.168.1.1 Eth1 192.168.1.35 gw 192.168.1.1 ( attribué par dhcp) eth0 192.168.2.1 gw 192.168.1.35 - laptop 192.168.2.2

En fait j ´ai créé le pont sur eth0 alors que j aurais du le créer sur eth1 ...
comment modifier la table routage du noyau maintenant ? Comment modifier le pont ou annuler le pont créé pour un créé un nouveau .

Une question : Si je créé un pont sur eth1 avec la commande :/usr/sbin/brctl addbr br0 /usr/sbin/brctl addif br0 eth1
puis que j´ajoute : route add -net 192.168.2.1 gw 192.168.1.35 mon routage serait correct non ?? Je pédale pas mal dans la semoule actuellement ,
je précise que je débute sur centos mais pas sur linux, donc toute aide sera la bienvenue .
Merci

philippe_PMA

Je ne connais pas encore tout a fait bien les ponts. Je suis en train de voir ça pour Xen.

De ce que j'en ai compris et par rapport à ton problème, il te faut créer un pont, y "intégrer" eth0 et eth1 et la communication se fera toute seule puisque tout ce qui transite dans un pont est vu de toute les interfaces.

Je te conseille de consulter ce doc : http://www.linux-foundation.org/en/Net:Bridge
Entre autre, tu y verras ceci qui devrait répondre à ton besoin (faire en sorte que les paquets de eth0 soit redirigé vers eth1 et inversement) :

# ifconfig eth0 0.0.0.0
# ifconfig eth1 0.0.0.0
# brctl addbr mybridge
# brctl addif mybridge eth0
# brctl addif mybridge eth1
# ifconfig mybridge up

Pas d'adresse IP => impossible de se connecter dessus par le réseau donc sécurité maximum.
Tout ce qui est vue par eth0 est vue par eth1 et inversement.

Pas besoin de routage.

Par contre, c'est potentiellement bavard (mode promiscuous oblige ...), surtout s'il y a du Windows sur ton réseau.
Mais, tu peux faire du filtrage via ebtable / iptable, cf ici http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html

Donnes nous des nouvelles sur le résultat final (éventuellement intermédiaire si tu as des problèmes).
Ca m'interresse et je pense que d'autre aussi.

Merci.

Atchoum

Il faut bien différencier un "pont" d'un "firewall" ou d'un "routeur".

Pour faire un pont les adresses "derrières" eth0 et eth1 doivent être sur le même réseau.

Pour faire du routage il faut que eth0 et eth1 soient sur un réseau différent (ex eth0 192.168.0.1 et eth1 192.168.1.1).

bochecha

En fait, je crois pas que mahu_1 souhaite faire un bridge mais uniquement que son laptop soit derriere son CentOS (qui serait alors simplement un routeur NAT).

Si tel est le cas, deux choses :
1. sur le routeur CentOS :
- configurer eth0 correctement pour ton reseau a gauche.
- configurer eth1 correctement pour ton reseau a droite
- activer le forwarding de paquets en faisant un echo 1 > /je/sais/plus/quel/fichier/car/je/suis/sous/wondows/actuellement/ip_forward

2. sur ton client :
- configurer eth0 correctement en lui attribuant une IP fixe, le meme masque de sous reseau que le eth1 du routeur CentOS et en definissant comme passerelle l'IP du routeur CentOS.

Ca devrait etre tout bon.

Reste plus qu'a trouver ou est ce fameux fichier, mais je mme rappelle plus osn nom et je peux pas verifier avant ce soir.

mahu_1

Merci Philipe pour ta réponse,
J ai voulu sauter les étapes je crois...
Je vais lire le lien que tu m´as donné .
Windows j´évite le plus possible en fait je le conserve juste pour Itunes ...
Il n´y aura pas de windows derrière le pont mais probablement une kubuntu (personne n´est parfait.:lol:..) ou une distribution plus minimaliste afin d ´éviter de faire tourner des applications inutiles ... Ce n ´est encore qu´un projet ...
Pour les règles du pare feu je verrai plus tard .
Merci de l´intéret porté à mon post.

mahu_1

Merci Atchoum et Bochecha ,
je vais faire un plan plus précis de mon réseau et définir plus en détail les attentes de mon serveur .
En fait c est un pont filtrant que je souhaiterais mettre en place mais encore une fois , j en suis au stade du projet
Je m ´y remets ce soir .

J ai lu la doc de Philippe et un pont donc fonctionnant au niveau 2 de la couche Osi, au niveau des trames , peut aussi effectuer un filtrage au niveau Ip . Les deux documents étant en Anglais et assez difficiles je pense que ça me prendra pas mal de temps avant de les traduire totalement .
merci encore Philipe pour les liens:-)

Bearnaise

ATTENTION !
Tu risque de tomber dans la poubelle du forum avec CentOS !

bochecha

Bearnaise wrote:ATTENTION !
Tu risque de tomber dans la poubelle du forum avec CentOS !

Bah, sa question concerne pas directement CentOS mais la conf reseau sous Linux...

Il aurait dit que son routeur etait une Debian, une Ubuntu ou une Fedora, tout aurait ete la meme chose...

En revanche, demander comment ajouter le depot Extras a CentOS 5, ca c'est reellement du support CentOS 😉

Apres, il se trouve que les admins ne veulent pas que l'on parle CentOS ici... C'est pas forcement mon opinion, mais ce n'est pas a moi de decider...

De toutes facons, la communaute centos-fr.org est en train de se monter non ?

mahu_1

Merci pour la mise en garde Béarnaise , mais je pense que si mon post dérange les admins du Forum ils me le feront probablement savoir...
En ce qui concerne le pont , malgré le fait que j ai suivi les infos des documents de Philippe , si je connecte un pc sur eth0 le pont ne laisse rien passer , la carte réseau ne reconnait pas mon pc ... Je vais chercher plus de doc.
Merci

philippe_PMA

mahu_1 wrote:...
En ce qui concerne le pont , malgré le fait que j ai suivi les infos des documents de Philippe , si je connecte un pc sur eth0 le pont ne laisse rien passer , la carte réseau ne reconnait pas mon pc ... Je vais chercher plus de doc.
Merci

As tu essayer de voir avec tcpdump ce qui passe sur eth0 et eth1 ?

As tu essayés ça ?

No traffic gets trough (except ARP and STP)

Your kernel might have ethernet filtering (ebtables, bridge-nf, arptables) enabled, and traffic gets filtered. The easiest way to disable this is to go to /proc/sys/net/bridge. Check if the bridge-nf-* entries in there are set to 1; in that case, set them to zero and try again.

# cd /proc/sys/net/bridge
# ls
bridge-nf-call-arptables bridge-nf-call-iptables
bridge-nf-call-ip6tables bridge-nf-filter-vlan-tagged
# for f in bridge-nf-*; do echo 0 > $f; done

mahu_1

Salut ,
Merci Philippe pour les infos , j´ai trouvé aussi un autre tutorial pour la mise en place du pont . Je suis en train de faire une petite synthèse, traduction , de tous les documents trouvés.Pour le moment entre mes exams qui approchent à grand pas et mon taf je suis légèrement surchargé mais je m ´y remets ce soir.
A +

philippe_PMA

mahu_1 wrote:Salut ,
Merci Philippe pour les infos , j´ai trouvé aussi un autre tutorial pour la mise en place du pont . Je suis en train de faire une petite synthèse, traduction , de tous les documents trouvés.Pour le moment entre mes exams qui approchent à grand pas et mon taf je suis légèrement surchargé mais je m ´y remets ce soir.
A +

A l'occasion, mets nous le lien sur l'autre tutorial, en attendant le tiens 😉

Bon courage pour tes exam.

philippe_PMA

Ici http://vincentxavier.free.fr/?Pont-filtrant je viens de voir ça :

# ifconfig eth1 0.0.0.0 promisc
# ifconfig dlanusb0 0.0.0.0 promisc
# brctl addbr monpont
# brctl addif monpont eth1
# brctl addif monpont dlanusb0
# ifconfig monpont 192.168.0.1 netmask 255.255.255.0

Le paramètre promisc d'ifconfig me parait bigrement important / nécessaire / utile / sine qua non par rapport à ce que j'avais déja indiqué ...

Donc à ajouter.

philippe_PMA

Ce tuto http://www.lea-linux.org/cached/index/Reseau-secu-pont-filtrant.html aussi parle du paramètre promisc sur ifconfig ...
Et autres petites choses.

mahu_1

On m'a orienté vers ce tuto sur le site de Centos : http://tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html .
Plein d infos supplémentaires...
Bien que j ai activé le mode promiscious sur les deux interfaces , si je connecte un pc sur eth0 toujours rien. J ai fait un petit test avec wireshark pour voir le traffic entre les deux interfaces : rien . J en arrive à la conclusion que mes cartes ne sont pas compatibles avec le bridge .

please try (after the reboot of the system if necessary) before starting any bridge stuff at all a

root@mbb-1:~ # ifconfig ethn promisc up

If again your system is frozen it's you NIC's driver you have to blame, not the bridging code.

J attendrai vendredi pour me procurer deux cartes réseau (mais je vais quand meme essayer d utiliser des drivers différents pour mes deux cartes réseau), car ce jeudi en Espagne c´est férié :-D.
Merci encore Philippe pour toutes les infos .