besoin d'un coup de main pour config d'un pont

[gnoorod]

Voila, <BR> <BR>j'essais de configurer un pont "firewallant" afin de protèger mon réseau. Je me suis basé sur cet exemple: <BR> <BR><!-- BBCode auto-link start --><a href="http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html" target="_blank">http://www.debian.org/doc/manuals/securing-debian-howto/ap-bridge-fw.en.html</a><!-- BBCode auto-link end --> <BR> <BR>et aussi celui-ci: <BR> <BR><!-- BBCode auto-link start --><a href="http://lea-linux.org/reseau/pont-filtrant.php3" target="_blank">http://lea-linux.org/reseau/pont-filtrant.php3</a><!-- BBCode auto-link end --> <BR> <BR>La compilation du noyau s'est bien déroulé. Et la config de mon pont me paraît "ok". <BR> <BR>Si je fais "ifconfig": <BR>j'ai bien une eth0 et une eth1 en mode promisc. Elles sont fonctionnelles puisque si je mets DHCP elles recoivent une adresse. <BR> <BR>De plus, si je fais: <BR>"brctl show" je vois mon pont ainsi que les 2 interfaces avec STP enabled <BR> <BR>Enfin bref, tout paraît ok mais le pont marche pas! <IMG SRC="images/smiles/icon_confused.gif"> Comment je peux tester ou valider la création d'un pont? <BR> <BR>Voila le shéma de mon réseau (la structure n'est effective que pour faire des tests. Il sera ensuite branché directement sur le routeur (ADSL) <BR> <BR> ------- ------- ------- ------- <BR>|DHCP|----| HUB |----droit--------| pont |-----Xover-------| W2k| <BR> ------- ------- ------- ------- <BR> <BR> <BR>Le test qui ne marche pas: w2k (ip fixe: 192.168.10.244) essait de pigner DHCP (ip fixe: 192.168.10.1) <BR> <BR>Merci de votre aide <BR> <BR>Un gars qui en a bien de besoin! <BR> <IMG SRC="images/smiles/icon_help.gif"> <BR> <BR> <BR>Edit: <BR>On remarque un p'tit bug dans le traitemetn de chaîne sur le forum. Regarder les "guillmet"<BR><BR><font size=-2></font>

[gnoorod]

Donc tu me dis que je peux pas mettre un pont sur le même segment? <BR> <BR>Comment faire alors si j'ai: <BR> <BR> <BR> <BR>|Internet| ------ |ROUTEUR|----| SWITCH |-----|pontFW|-----Xover-------| IIS| <BR> |---------Xover-------| mysql| <BR> <BR>edit: le mysql est lié sur le pont <BR> <BR>Mon fournisseur d'accès internet me permet d'avoir 4 adresses ip fixes. Donc une pour le routeur, une pour IIS et une autre pour mysql. Par contre ils seront tous sur le même segment puisque les adresse sont tous dans le même segment. Le pont n'aura pas d'addresses IP public. Seulement une ip privé avec de le configuré à distance avec ssh et le lier sur avec un IDS<BR><BR><font size=-2></font>

[wann]

<!-- BBCode auto-link start --><a href="http://www.via.ecp.fr/~alexis/formation-linux/bridge.html" target="_blank">http://www.via.ecp.fr/~alexis/formation-linux/bridge.html</a><!-- BBCode auto-link end --> <BR> <BR>certainement intéressant également...

[gnoorod]

en effet, mais dans cet exemple le pont recoit son adresse IP par DHCP et moi je ne veux pas que celui-ci ait une ip publique

[tomtom]

J vois pas l'interet d'un pont si il est sur deux segments différents ??? <BR> <BR>Par contre ta config devrait fonctionner... <BR> <BR>Tu as essayer de capturer les paquets sur les interfaces pour voir ce qu'il s'y passe ??? <BR> <BR>Thomas <BR>

[gnoorod]

ok et je fais ca comment <IMG SRC="images/smiles/icon_smile.gif"> (capturer des paquets) <BR> <BR>tcpdump marche seulement si la carte est lié avec ip. Dans ce cas-ci la carte n'a aucune adresse.<BR><BR><font size=-2></font>

[tomtom]

avec etherall par exemple.... <BR> <BR><!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=42&ttitle=ethereal" target="_blank">http://www.ixus.net/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=42&ttitle=ethereal</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.ethereal.com" target="_blank">http://www.ethereal.com</a><!-- BBCode auto-link end --> <BR> <BR>Il y a quelques autres sniffer je crois dans les liens d'ixus, masi celui-là est très performant... <BR> <BR>J'aime bien aussi tcpdump... <BR> <BR>Tu installes ça sur ton linux et tu regardes un peu ce qui se passe.... <BR> <BR>Tiens une présentation des siniffers, en français et par les meilleurs : hsc ! <BR><!-- BBCode auto-link start --><a href="http://www.hsc.fr/ressources/breves/sniffers.html" target="_blank">http://www.hsc.fr/ressources/breves/sniffers.html</a><!-- BBCode auto-link end --> <BR> <BR>Thomas <BR>

[tomtom]

Oups j'ai aps vu la fin.... <BR> <BR>Pourquoi la carte n'aurait pas d'ip ??? <BR> <BR>De toute façon, ethereal n'a pas besoin d'une ip pour ecouter.... enfin je pense <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR> <BR>_________________ <BR>"Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie<BR><BR><font size=-2></font>

[gnoorod]

car un pont par définition n'a pas d'ip. Sur un réseau la meilleur comparaison est un "gros fil" <BR> <BR>Il n'agit pas sur les même couches OSI que le protocole TCP/IP. <BR> <BR>On peut rajouter une ip à un pont pour des fins de gestion mais cette adresse reste inutile pour le fonctionnement de celui-ci

[tomtom]

Je ne suis pas d'accord, tu peux parfaitement lui donner une IP sans en altérer le fonctionnement.... <BR> <BR>Je dirais plutot qu'il s'agit d'un commutateur à deux interfaces que d'un fil mais enfin, on peut voir ça comme ça.... <BR> <BR> <BR>Tom <BR> <BR>

[gnoorod]

en effet tu n'altère par le fonctionnement du pont mais tu ouvres une porte. Car avec une ip sur un pont, une personne peut accèder le pont directement avec cette ip par ssh (par exemple)

[tomtom]

Si tu mets un serveur ssh certes oui <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Ceci dit, je te signale que tout le matériel professionnel fonctionne avec une ip d'administration (minimum), ne serait-ce que pour la configuration à distance. <BR> <BR>De plus, rien ne t'empêche de la mettre, faire tes tests, et l'enlever si tu ne t'en sers pas.... <BR> <BR>Enfin, ceci dit, je pense que ethereal peut se passer d'addrese ip definie... <BR>Reste à savoir si il sait écouter sir une interface de type brx, mais je pense que oui.... <BR> <BR>Thomas <BR>

[gnoorod]

il y a une ip privé sur une 4ieme carte qui sera utilisé avec un IDS et pour des fins d'administration <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Je vais essayer etherreal. Merci de ton aide. Enfin <IMG SRC="images/smiles/icon_smile.gif"> Si vous avez d'autres suggestions n'hésitez pas

[gnoorod]

ethereal marche en mode console? <BR> <BR>car je n'ai pas de X <IMG SRC="images/smiles/icon_frown.gif">

[tomtom]

<BR> <BR>oui -> tethereal <BR> <BR>J'avais oublié de te signaler ça .. désolé ! <BR> <BR> <BR> <BR>Thomas <BR> <BR>