[HOWTO] Debian y Netfilter ?

Support Debian
#9

Hello,

Merci pour le link en effet j’avais deja consulté ces pages :slightly_smiling:

#10

Hello,

De retour apres avoir installé correctement (j espere) ma Debian avec ces 2 cartes reseaux configurée ETH0 et ETH1

Je commence a etudier NetFilter et Iptable, et je me pose la question des tests.

La machine Debian qui va etre configurée avec NetFilter est sur le reseau local en DHCP sur ETH0 et ETH1 (comme n’importe laquelle des machines du reseau).

Je pense faire des tests a partir de mon poste de travail en lançant des requetes sur la Debian, qui au fur et a mesure devra reagir selon les regles appliquées au sein de IPTABLE. En théorie cela devrait fonctionner non ?

Mon premier test serait d’ecrire une regle de filtrage en utilisant la table FILTER avec les chaines INPUT et OUTPUT.

Quel type d’application locale tres simple et tres leger je pourrais installer pour mener a bien ces tests ? L’idée c’est simplement de pouvoir tester le filtrage local des paquets donc je cherche un truc vraiment des plus simples a installer (pas envie de passer 2 jours a configurer un Samba par exemple).

Merci de vos reponses

#11

Je n’ai pas bien compris ta config.
Ta machine à ses 2 cartes sur le même réseau ?

Pour faire des tests installe un serveur http et mysql sur ta debian. Pas compliqué à configurer.

#12

[quote=“piratebab”]Je n’ai pas bien compris ta config.
Ta machine à ses 2 cartes sur le même réseau ?[/quote]

C’est ça … les 2 en IP dynamique … Mon autre poste celui sur lequel je bosse, est egalement sur le mm reseau en IP dynamique. L’odée c est de rlancer des requetes depuis mon PC sur la Debian.

Y a vraiment rien de plus simple … mm pas un petit soft qui renvoie n importe quelle donnée, un truc a tracer quoi … ?

#13

Meme si je trouve comment logguer le filtrage des paquets qui entrent et qui sortent, me faut bien un process local pour traiter ma requete et renvoyer une reponse non ?

J essaye d aller pas a pas … mais j avoue que c’est un peu le brouillard …

#14

Si tu veux pouvoir échanger des trames TCP ou UDP, c’est une config simple!
Il te faut quelques applis qui écoutent sur des ports pour pouvoir faire des tests.
Installe ssh si tu veux.
Sinon tu as nmap qui permet de sonder les ports ouverts (et bien d’autres choses).
EtherApe ou wireshark permettent aussi de voir ce qui se passe.

Serveur local XAMPP - Page blanche
#15

[quote=“piratebab”]Si tu veux pouvoir échanger des trames TCP ou UDP, c’est une config simple!
Il te faut quelques applis qui écoutent sur des ports pour pouvoir faire des tests.
Installe ssh si tu veux.
Sinon tu as nmap qui permet de sonder les ports ouverts (et bien d’autres choses).
EtherApe ou wireshark permettent aussi de voir ce qui se passe.[/quote]

Ok je vais installer SSH, ça me parait le plus simple et ça sera utile pour ma config finale, de plus ça evite de “polluer” ma config toute propre avec des softs qui au final me seront pas utiles (comme le serveur web).

Merci je fais ça :slightly_smiling:

#16

Hello á tous,

Je continue d’avancer lentement mais surement dans la configuration de mon routeur.

Je suis pas a pas le tres bon site : http://christian.caleca.free.fr/netfilter/

La question du jour est :

[code]echo 1 > /proc/sys/net/ipv4/ip_forward

Ceci pour être certain que votre noyau autorise le routage. Vous n’en avez pas besoin, si votre machine est configurée par défaut pour assurer le routage. [/code]

Je ne comprend pas cette commande … echo est censé afficher qquechose a lecran mais apres l execution de la commande j aiu un retour au prompt … sans message particulier …

Qques explications seraient les bienvenues svp :slightly_smiling:

Comment savoir si mon noyau est configuré correctement pour le routage ?

Merci

#17

La sortie de la commande echo 1 est redirigé vers le fichier. Donc on charge 1 dans ce fichier en l’écrasant. Si tu avais eu >>, cela aurait ajouté 1 à la fin du fichier.

Tu as aussi une autre méthode pour affecter ces variables :

Et du coup tu peux regarder les modifications engendrées avec :

Je ne sais pas trop ce qu’ils entendent par “configuré pour le routage” :p!

#18

Merci pour ta reponse mais je ne comprend pas a quoi cela sert :blush:

#19

A autoriser les paquets de ton réseau privé à transiter vers le net et inversement. Les paquets passent dans la châine FORWARD de iptables.

#20

ok, cette commande

Sert donc a configurer le noyau afin qu’il joue le role de routeur et que donc IPTABLES puisse traiter les paquets via les ses tables et ses chaines.

en faisant un

j’affiche donc toute une serie de variables,

certaines sont notés “error” est-ce normal ?

error: "Success" reading key "dev.parport.parport0.autoprobe3"
error: "Success" reading key "dev.parport.parport0.autoprobe2"
error: "Success" reading key "dev.parport.parport0.autoprobe1"
error: "Success" reading key "dev.parport.parport0.autoprobe0"
error: "Success" reading key "dev.parport.parport0.autoprobe"

D’autre part, comment comprendre les données de ce fichier ?

net.ipv4.conf.eth0.forwarding =1
net.ipv4.conf.eth0.forwarding =1

ça ok ça veut dire que le noyau autorise le forwarding sur les 2 interfaces ?

mais les autres lignes sont plutot “obscures”

net.ipv4.conf.eth0.mc_forwarding =1
net.ipv4.conf.eth0.mc_forwarding =1
..

Y’a une aide dispo quelquepart ?

Merci pour vos reponses

#21

[quote=“Soyouz”]ok, cette commande

Sert donc a configurer le noyau afin qu’il joue le role de routeur et que donc IPTABLES puisse traiter les paquets via les ses tables et ses chaines.
[/quote]

Oui.

Oui, mais je ne sais plus pourquoi :p!

Oui.

Tu installes la doc du noyau : linux-doc-2.6.22 par exemple. Ensuite tu vas faire un petit tour dans /usr/share/doc/linux-doc-2.6.22/Documentation/networking/

Et là un petit :

Et tu trouveras les réponses à tes questions et même plus.

#22

Super merci bcp mais … comment j installe la doc de mon noyau (uname -r = 2.6.18-4-486) ?

J ai essayé un apt-get install linux-doc-2.6.18-4-486 mais ça marche pas … :blush:

#23
#24

ah … :blush: :blush: :blush:

Desolé j ai pas encore tout les reflexes … merci encore , que ferais-je sans ton aide devouée :slightly_smiling:

#25

Bonjour á tous,

Voila j’ai maintenant mes 2 interfaces reseaux connectés et fonctionnelles :

eth0 : LAN - DHCP
eth1 : INTERNET - IP STATIQUE

Petite question au passage, lors des modifications du fichier etc/network/interface , j’ai remarqué (et lu) qu’il est necessaire de redemarrer les interfaces afin que les modifications soient prises en charge.

la commande networking restart ne fonctionne pas pas plus que network restart

j’ai un command not found

Je passe donc par ifdown ethx et tout de suite apres ifup ethx

Une idée de pourquoi les commandes Network ne fonctionne pas ?

Merci

#26

Autre question, cette fois sur le NAT d’IPTABLES :

sur cette page : http://christian.caleca.free.fr/netfilter/nat.htm

Il est expliqué qu’on peut faire du NAT sur la chaine OUTPUT (paquets issus d’un processus local du routeur), mais les explications ne sont pas tres claires.

L’auteur explique que l’interet reside dans le fait de modifier les socket destinataires lorsque les paquets issus de OUTPUT sont a destination d’un process local externe.

[quote]La chaîne OUTPUT, quant-à elle, permet de modifier le socket de destination d’un paquet issu d’un processus local. L’utilité de cette chaîne n’est pas évidente, dans la mesure où, normalement, les paquets sortant d’un processus local devraient aussi passer par POSTROUTING.
La seule possibilité supplémentaire est de pouvoir rediriger les paquets qui sortent d’un processus local à destination d’une cible extérieure, vers un autre processus local (127.0.0.1).[/quote]

Je ne comprend pas le terme d’externe ici … s’agit-il d’un process serveur externe a mon reseau local ex . un serveur web situé sur Internet ?

Ou bien un process serveur situé sur mon reseau local

ou encore un process different sur mon routeur ???

Merci de vos reponses

#27

un petit Up car je n’ai pas eu de reponses á mes questions… :frowning:

#28

[quote=“Soyouz”]
Il est expliqué qu’on peut faire du NAT sur la chaine OUTPUT (paquets issus d’un processus local du routeur), mais les explications ne sont pas tres claires.

L’auteur explique que l’interet reside dans le fait de modifier les socket destinataires lorsque les paquets issus de OUTPUT sont a destination d’un process local externe.

[quote]La chaîne OUTPUT, quant-à elle, permet de modifier le socket de destination d’un paquet issu d’un processus local. L’utilité de cette chaîne n’est pas évidente, dans la mesure où, normalement, les paquets sortant d’un processus local devraient aussi passer par POSTROUTING.
La seule possibilité supplémentaire est de pouvoir rediriger les paquets qui sortent d’un processus local à destination d’une cible extérieure, vers un autre processus local (127.0.0.1).[/quote]

Je ne comprend pas le terme d’externe ici … [/quote]

Ce qui me gêne plus c’est de parler de la chaîne POSTROUTING. La modification de la destination d’un paquet ne peut être fait que en PREROUTING pour les paquets entrants, et en OUTPUT pour les paquets sortants, toutes deux avant le routage. En POSTROUTING, on ne peut faire que du SNAT.

Pour le DNAT en OUTPUT, il y a deux possibilités :

  • les paquets générés localement ayant pour destination une machine différente de la machine locale : On peut alors rediriger ces paquets vers la machine locale.
  • les paquets générés localement ayant pour destination localhost peuvent être redirigés vers une machine extérieur.

En espérant avoir été assez clair.

Quant à la mise en place de telles règles, je n’ai pas d’idées.

Si quelqu’un voit une erreur dites le moi.

Pour ton problème réseau mets cela dans un autre thread avec les messages d’erreurs obtenus, les commandes exactes, la sortie de dmesg | grep -i eth et de ifconfig -a