IPCOP 1.3 & les sous-réseaux

[remi]

C reparti pour un tour ! <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>1. Ajout des Routes <BR> <BR>La commande reste identique, mais elles doivent etre mise dans le fichier /etc/rc.d/rc.local <BR> <BR>Ex : route add -net 192.168.2.0/24 gw 192.168.1.253 eth0 <BR> <BR> <BR>2. L'autorisation des sous-reseaux... <BR> <BR>IPCOP les considèrent toujours comme "des méchants", le récapitulatif des connexions iptables (tres bien fait d'ailleurs) le montre. <BR> <BR>J'ai pas encore trouvais ou je pouvez mettre la ligne IPTABLE et quelle ligne il faut mettre exactement. <BR> <BR>Les idées sont les biens venues.

[remi]

Retournement de situation !!! <BR> <BR>Meme si les sous reseaux apparaissent rouge dans "original <BR>Adresse IP et porte d'origine", IPCOP ne les bloque pas... <BR> <BR> <BR> <BR>Terminé... <BR> <BR>La seul manip à faire désormais c de mettre les routes dans le rc.local <BR> <BR> <BR> <BR> <BR>C fini <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif"> <IMG SRC="images/smiles/icon_up.gif">

[antolien]

Mort de Rire ! <BR> <BR>ça me parraît bizarre... <BR> <BR>ils sont où les 300 messages pour passer à iptables <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>sympa, simple , mais c'est étonnant, et l'antispoof, le masquage des sous-réseaux ? <IMG SRC="images/smiles/icon_eek.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR> <BR>argh faudrait bien regarder le rc.firewall...

[remi]

je suis en train d'eplucher le rc.firewall... <BR> <BR>Ca me parait aussi etrange...mais c marche et c l'essentiel.

[tomtom]

Un petit <BR>iptables -L <BR>te donnera la liste des règles appliquées.... <BR> <BR>iptables -t nat -L pour la liste des translations d'addresses... <BR> <BR>Thomas <BR> <BR>

[antolien]

Chain RED (1 references) <BR>target prot opt source destination <BR>MASQUERADE all -- anywhere anywhere <BR> <BR>il y a 3 règles : <BR>/sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE <BR>/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT <BR> <BR>c'est quoi $IFACE ?<BR><BR><font size=-2></font>

[tomtom]

héhé <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Ne t'affoles pas trop ! <BR> <BR>La chaine RED est une chaine utilisateur, créée par IPCop... <BR> <BR>Ce qu'il faut savoir, c'est ce qu'il envoie dedans.... <BR>Peux-tu me dire les lignes avec -j RED ? <BR> <BR>En effet, tous les paquets traversant cette chaine seront nattés, mais lesquels sont-ils ?? <BR> <BR>Thomas <BR>

[antolien]

bof, je m'affoles pas,j'ai quand même confiance <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>regardes le message précédent qu j'ai modifié ,sinon, il y a ça aussi: <BR> <BR># RED chain, used for the red interface <BR> /sbin/iptables -N RED <BR> /sbin/iptables -A INPUT -j RED <BR> /sbin/iptables -t nat -N RED <BR> /sbin/iptables -t nat -A POSTROUTING -j RED <BR> <BR>et <BR> <BR>IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` <BR> <BR>j'avoues que je comprend pas tout là... <BR>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-23 14:57, antolien a écrit: <BR>Chain RED (1 references) <BR>target prot opt source destination <BR>MASQUERADE all -- anywhere anywhere <BR> <BR>il y a 3 règles : <BR>/sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE <BR>/sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT <BR>/sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT <BR> <BR>c'est quoi $IFACE ? <BR> <BR><font size=-2></font> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>La table nat s'occupe ... du NAT ! <BR>Elle comprte trois chaines : <BR>PREROUTING OUTPUT POSTROUTING <BR> <BR>La premiere regle ci-dessus ajoute à la chaine RED (cree par IPCop...) une règle. <BR>$IFACE, c'est une variable.. Vu la tête que ca a, ca doit servir à recuperer le nom de l'interface RED. <BR>Cette regle noue raconte donc que tous les paquets à destination du net doivent etre natés en postrouting (apres traitement du routage). C'est normal. <BR>Par contra rien n'est indiqué sur la source, donc que ca vienne du orange ou du vert et quelle que soit l'addresse, ca natte... <BR> <BR>La deuxieme règle accepte pour le local tout ce qui vient du green (donc si tu fais un ssh vers ipcop depuis le green ca doit marcher !) <BR> <BR>La dernière autorise tout ce qui est sortant à aller vers internet. <BR> <BR>Thomas <BR>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-04-23 15:09, antolien a écrit: <BR>bof, je m'affoles pas,j'ai quand même confiance <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>regardes le message précédent qu j'ai modifié ,sinon, il y a ça aussi: <BR> <BR># RED chain, used for the red interface <BR> /sbin/iptables -N RED <BR> /sbin/iptables -A INPUT -j RED <BR> /sbin/iptables -t nat -N RED <BR> /sbin/iptables -t nat -A POSTROUTING -j RED <BR> <BR>et <BR> <BR>IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` <BR> <BR>j'avoues que je comprend pas tout là... <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>/sbin/iptables -N RED -> creation de la chaine RED dans la table FILTER (table par defaut s'il n'y a pas le -t) <BR> <BR>/sbin/iptables -A INPUT -j RED -> les paquets à destination de IPCop sont envoyes à la chaine RED <BR> <BR>/sbin/iptables -t nat -N RED -> creation de la chaine RED dans la table NAT <BR> <BR>/sbin/iptables -t nat -A POSTROUTING -j RED -> apres routage, tous les paquets sont envoyés à la chaine RED pour savoir quoi en faire.. Et nous avons vu plus haut que dans la chaine RED tout ce qui part sur Internet est natté. <BR> <BR>IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` -> Ca doit recuperer tout simplement le nom de l'interface connectée à internet (je parie pour ppp0 dans ton cas... sinon ca peut etre eth1 par exemple). <BR>Tu peux verifier en tapant sur ta ligne de commande : <BR> <BR>echo `/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '012'` <BR> <BR>Voila voila... <BR> <BR>Le problème c'est que IPCop s'amuse à ajouter une table utilisateur à chaque fois, donc on sait pas trop où on en est.... <BR> <BR>Il faut faire attention en rajoutant par exmple des règles dans INPUT vu que les paquets risquent de traverser la chaine RED avant d'arriver à votre règle... <BR> <BR>Thomas <BR> <BR>

[tomtom]

Pour Antolien, et lea autres qui passent de IPChains à IPTables, je vous conseille à nouveau vivement le site de Christian CALECA : <BR> <BR><!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/" target="_blank">http://christian.caleca.free.fr/netfilter/</a><!-- BBCode auto-link end --> <BR> <BR>Excellente introduction (et même un peu plus) à netfilter et son outil IPTables <BR> <BR>Thomas <BR> <BR>