logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-09-2018 15:19:56

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Souci avec le dhcp & routage en finition de iptables pour un routeur

Bonjour à tous smile

Voilà, je suis coincé sur une config que j'ai voulu faire juste pas curiosité mais tout ne fonctionne pas très bien, je trouve que tout est bancal :-/
Je vais vous détailler ma config avec mais fichier de conf je dois foirer sur un truc mais je tourne en rond ...

Pour commencer ma config réseaux :


cat /etc/network/interface
#############Carte principal ou est brancher l'ont
auto enp1s0
iface enp1s0 inet static
#
#####Interface virtual ou est reçu l'ipv4 de l'ONT
auto enp1s0.832
iface enp1s0.832 inet manual
pre-up sh /root/internet.sh
up dhclient -v -4 -cf /etc/dhcp/orange.conf -pf /run/dhclient.enp1s0.832.pid -lf /var/lib/dhcp/dhclient.enp1s0.832.leases enp1s0.832

#Deuxieme carte lan
auto enp3s0
iface enp3s0 inet static
        address 2.0.0.1
        netmask 255.255.255.248
        network 2.0.0.0
        broadcast 2.0.0.7
        gateway 2.0.0.6
 



- Pour l'ONT


cat /
#!/bin/bash
for i in 0 1 2 3 4 5 6 7; do
ONT=enp1s0.832
#on définit pour chaque file une priorité
vconfig set_egress_map $ONT $i $i >/dev/null
done
#On modifie la priorité de la file 1 à 0 c'est là qu'on renverra tout nos paquets, la file 0 qui est celle par défaut passe à 6
vconfig set_egress_map $ONT 1 0 >/dev/null
vconfig set_egress_map $ONT 0 6 >/dev/null
 



- Pour le DHCP Orange


cat /etc/dhcp/orange.conf
option rfc3118-auth code 90 = string;
send vendor-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, routers, broadcast-address;
 


Nb: les XXX je les est remplacer par mon fti

- Mon fichier dhcpd.conf


ddns-update-style none;
option domain-name "local.lan";
option domain-name-servers 1.1.1.1, 1.0.0.1;
default-lease-time 600;
max-lease-time 7200;
authoritative;
log-facility local7;

subnet 2.0.0.0 netmask 255.255.255.248 {
range 2.0.0.1 2.0.0.6;
option broadcast-address 2.0.0.7;
}
 




- Le script d'iptables que j'utilise bon je l'avoue c'est du C/C de un peu partout mais il ma l'air de fonctionner le ssh dans mon lan fonctionne en tout cas


#!/bin/bash
WAN=enp1s0.832
LAN=enp3s0

echo 1 > /proc/sys/net/ipv4/ip_forward

#On vide complètement les règles
iptables -t filter -F
iptables -t filter -X

iptables -N LOGNEW
iptables -A LOGNEW -j LOG --log-prefix 'inbound tcp' --log-level 4
iptables -A LOGNEW -j ACCEPT

iptables -N OUTPUT_LOG
iptables -A OUTPUT_LOG -j LOG --log-prefix 'OUTPUT_LOG' --log-level 4
iptables -A OUTPUT_LOG -j ACCEPT


#Drop par default
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

#On casse pas  connexions
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#On autorise le serveur a pouvoir communiquer avec lui même (la boucle locale)
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i $LAN -j ACCEPT
iptables -A OUTPUT -o $LAN -j ACCEPT

#SSH
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

#Route iptables
iptables -A FORWARD -i $WAN -o $LAN -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o $WAN -j ACCEPT
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

#Bloquage de certains scans de ports
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
echo 'Bloquage du scans de port [OK]'

# REJECT les fausses connexio, pretendues s'initialiser et sans syn
iptables -A INPUT -p tcp ! --syn -m state --state NEW,INVALID -j REJECT
echo 'Fausse connexion [OK]'

#Syn-floof et UDP flood
iptables -A INPUT -i $WAN -p tcp --syn -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -i $WAN -p udp -m limit --limit 10/s -j ACCEPT
iptables -A FORWARD -i $WAN -p tcp --syn -m limit --limit 3/s -j ACCEPT
iptables -A FORWARD -i $WAN -p udp -m limit --limit 10/s -j ACCEPT
echo 'Syn Flood & UDP Flood [OK]'

# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
echo 'Syn Flood [OK]'

# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo 'Anti Spoofing [OK]'

#Balayage de ports furtif :
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
echo 'Balayage de ports furtif [OK]'

#Paquets corrompus
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
echo 'Paquets corrompus [OK]'

#Ping Flood
iptables -A INPUT -i $WAN -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i $WAN -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 'Ping Flood [OK]'

#Loggin
iptables -A INPUT -p tcp -j LOGNEW
iptables -A OUTPUT -p tcp -j OUTPUT_LOG
 



- Je vous avoue que je ne l'aime pas du tout, je n'ai pas la sensation qui bloque quoi que se soit vu que le nmap passe :-/
Auriez vous des conseil à me donner j'ai lu bon nombre de forum/tuto/site mais presque tout le monde se contredit un dit faut tout bloquer et ouvrir un autre tout ouvrir et bloquer bref ça me paume

- Pareil au niveaux des interfaces je suis correct ? je cherche a être le plus safe "


Dans mon fichier log de dhcp j'ai une erreur qui reviens en constant je trouve pas le moyen de la debug si vous pouvez mi aider un coup ^^


Sep 13 15:57:37 l1l1 dhcpd[436]: DHCPREQUEST for 2.0.0.2 from MAC (HOST) via enp3s0
Sep 13 15:57:37 l1l1 dhcpd[436]: DHCPACK on 2.0.0.2 to MAC (HOSTS) via enp3s0
Sep 13 16:02:11 l1l1 dhcpd[436]: DHCPREQUEST for 2.0.0.2 from MAC (lHOSTS) via enp3s0
Sep 13 16:02:11 l1l1 dhcpd[436]: DHCPACK on 2.0.0.2 to MAC (HOSTS) via enp3s0
Sep 13 16:07:10 l1l1 dhcpd[436]: DHCPREQUEST for 2.0.0.2 from MAC (HOSTS) via enp3s0
Sep 13 16:07:10 l1l1 dhcpd[436]: DHCPACK on 2.0.0.2 to MAC (HOSTS) via enp3s0
Sep 13 16:12:07 l1l1 dhcpd[436]: DHCPREQUEST for 2.0.0.2 from MAC (HOSTS) via enp3s0
Sep 13 16:12:07 l1l1 dhcpd[436]: DHCPACK on 2.0.0.2 to MAC (HOSTS) via enp3s0
 


PS: Mon fichier  /etc/default/isc-dhcp-server => INTERFACESv4="enp3s0"

- Je comprend bien que la résolution ne se fait pas mais je trouve pas comment y faire si c'est le routage ou l'iptables ...



Mon ip route du routeur debian 9:


default via 2.0.0.6 dev enp3s0 onlink
2.0.0.0/29 dev enp3s0 proto kernel scope link src 2.0.0.1
 



Mon ip route du pc brancher sur la deuxieme carte ''enp3s0'


default via 2.0.0.6 dev enp3s0 onlink
2.0.0.0/29 dev enp3s0 proto kernel scope link src 2.0.0.1
 




Désolé je suis ni pro/expert & navré pour mais grosse faute par avance.
Nb: Merci d'avance






#####################################################################
:Update des fichiers de config ;
#


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

################### DHCP tempo
# The loopback network interface
auto lo
iface lo inet loopback

#############Carte principal ou est brancher l'ont
auto enp1s0
iface enp1s0 inet static

#####Interface virtual ou est reçu l'ipv4 de l'ONT
auto enp1s0.832
iface enp1s0.832 inet manual
pre-up sh /root/internet.sh
up dhclient -v -4 -cf /etc/dhcp/orange.conf -pf /run/dhclient.enp1s0.832.pid -lf /var/lib/dhcp/dhclient.enp1s0.832.leases enp1s0.832

#Deuxieme carte lan
auto enp3s0
iface enp3s0 inet static
        address 2.0.0.1
        netmask 255.255.255.248
        network 2.0.0.0
        broadcast 2.0.0.7

 




ddns-update-style none;
option domain-name "home.lan";
option domain-name-servers 1.1.1.1, 1.0.0.1;
default-lease-time 86400;
max-lease-time 172800;
authoritative;
update-static-leases off;
log-facility local7;

subnet 2.0.0.0 netmask 255.255.255.248 {
range 2.0.0.2 2.0.0.6;
option routers 2.0.0.1;
option broadcast-address 2.0.0.7;
}
 

Dernière modification par BoxBox (14-09-2018 11:42:34)

Hors ligne

#2 13-09-2018 16:43:14

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

BoxBox a écrit :

gateway 2.0.0.6


Pourquoi définir une route par défaut sur l'interface LAN ? La route par défaut ne devrait pas être par l'ONT ?
2.0.0.6 est un autre routeur (ou box) avec un autre accès internet ?
Rappel : il ne doit y avoir qu'une seule route par défaut. Si une des interfaces est configurée en DHCP, c'est généralement elle qui a une route par défaut fournie par le serveur DHCP.

BoxBox a écrit :

range 2.0.0.1 2.0.0.6;


Il est préférable d'exclure de la plage DHCP les adresses déjà attribuées statiquement comme la propre adresse du routeur 2.0.0.1, sa passerelle par défaut 2.0.0.6.

BoxBox a écrit :

Le script d'iptables que j'utilise (...) Je vous avoue que je ne l'aime pas du tout


Tu as raison de ne pas l'aimer. Il est incohérent, des chaînes sont définies mais pas utilisées, les commentaires ne correspondent pas aux règles (signe que les règles n'ont pas été comprises)...
Néanmoins il suffit à autoriser les connexions depuis et vers le LAN, et les connexions depuis le LAN vers l'extérieur.

BoxBox a écrit :

Dans mon fichier log de dhcp j'ai une erreur qui reviens


Il n'y a aucune erreur dans cet extrait. Ce sont des renouvellements de bail normaux puisque tu as défini une durée de bail par défaut de 10 minutes (600 secondes) dans dhcpd.conf donc le client demande le renouvellement à la moitié de cette durée, soit toutes les 5 minutes.

BoxBox a écrit :

Mon ip route du routeur debian 9:


Il manque les routes associées à l'interface connectée à l'ONT, qui devraient être configurées en DHCP. Quel est son statut ?


Il vaut mieux montrer que raconter.

Hors ligne

#3 13-09-2018 17:55:01

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Salut raleur.

1) Pour la route, je ne sais pas trop, j'ai fait tout sa vite sans trop comprendre. (j'ai tout de même fouiner partout, mais bon pas très utile les recherche pour moi ^^)
- Du coup & je suppose même que je doit supprimer cette ligne ?

2)Dac merci pour éclaircissement maintenant que tu le dit c'est vrais que j'ai mis 2.0.0.1 en address du routeur du coup commencer par .2 ?
tu me dit 2.0.0.6 c'est ma passerelle de la carte pas plutôt .7 ?


subnet 2.0.0.0 netmask 255.255.255.248
range 2.0.0.2 2.0.0.6; #J'ai un doute avec l'histoire de la passerelle
option broadcast-address 2.0.0.7 #La aussi du coup je sais pas trop
#Cette option spécifie l'adresse de diffusion à utiliser pour le sous-réseau du client. Les valeurs légale sont spécifiées dans la section 3.2.1.3 du STD 3 (RFC 1122).
 



3) Merci de me supporter dans la protection tongue
- Un autre exemple :


#!/bin/bash
#Les interfaces
#Interface brancher direct sur l'ont
WAN=enp1s0.832
#La deuxieme carte qui me sert de lan
LAN=enp3s0
#La config de l'ip de la deuxieme carte
IP_LAN=2.0.0.0/29

# Flush iptables
iptables -F
iptables -F
# Zero all packets and counters.
iptables -Z
iptables -Z
# Set POLICY DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Autres protections réseau
# (certaines ne fonctionneront que pour certaines versions de noyau)
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route  
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

#Interface $LAN
iptables -A INPUT -i $LAN -j ACCEPT
iptables -A OUTPUT -o $LAN -j ACCEPT

# Allow related connections
iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow loopback interface to do anything
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

###############################################
#
#Le NAT
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE
#LAN->WAN
iptables -t filter -A FORWARD -i $LAN -o $WAN -s $IP_LAN -d 0.0.0.0/0 -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
#WAN->LAN
iptables -t filter -A FORWARD -i $WAN -o $LAN -s 0.0.0.0/0 -d $IP_LAN -p  tcp -m state --state ESTABLISHED -j ACCEPT
#LAN
iptables -t filter -A FORWARD -i $LAN -o $WAN -s $IP_LAN -d 0.0.0.0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i $WAN -o $LAN -s 0.0.0.0/0 -d $IP_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
#############################################
## On accepte ssh
iptables -t filter -A INPUT -p tcp -m state --state NEW --dport 22 -j LOG --log-prefix "Tentative Test/Connexion SSH "
iptables -t filter -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 160 --hitcount 2 --name SSH -j LOG --log-prefix "Attaque SSH "
iptables -t filter -A INPUT -p tcp --dport 22 -m recent --update --seconds 160 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT



## Permettre à une connexion ouverte de recevoir du trafic en entrée.
iptables -t filter -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
## Permettre à une connexion ouverte de recevoir du trafic en sortie.
iptables -t filter -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT
## On log les paquets en entrée.
ptables -t filter -A INPUT -i $WAN ! -s 0.0.0.0 ! -j LOG --log-prefix "Attaques "
## On log les paquets forward.
iptables -t filter -A FORWARD -j LOG --log-prefix "Forward "
 



- Si tu aurais un exemple de pare-feu concret qui bloque tout de tout (Routeur config .. Je te jure, je prends, j'ai eu l'occasion de test de drop tout input, j'ai étais CHOQUER par toutes ses tentatives de scan bot & autre venant du 4 coin du globe o_O ... Je n'ai pas compris ma vie ) & je trouve sa ultra badant ....

4)Oui mais normalement il devrais pas me retourner un bound renewal pour me dire que la connexion est bien faite ?

5) Yep je l'avais pas en ON.
Pour l'extrait avec l'ipv4 je refais un poste plus tard j'ai plus ax sur la ligne la femme au balais^^


Si jamais j'ai omis un truc navré & merci encore une fois.

Hors ligne

#4 13-09-2018 18:20:21

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Salut,

juste pour comprendre, ton ONT est en mode bridge ?  c a d c'est ta machine qui a l'ip publique ? ou t'es en dhcp, et tu as mis en dmz ta machine 2.0.0.1 ?
et ta machine en 2.0.0.2 peut-il sortir sur net ?

o_O

Hors ligne

#5 13-09-2018 18:37:01

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Salut Freelaster,

hum je branche mon ONT directement sur ma tour Debian9 qui est en vlan832 sur l'interface enp1s0 virtuellement enp1s0.832 (si j'ai bien tout saisie moi aussi ^^)

Ensuite, une deuxième carte rajouter en plus en dur sur le pc ou de la, je voudrais faire partir le LAN et vu que cette machine fera office de routeur, je voudrais un iptables ou toute autre chose de vraiment costaux dans le sens ou tout doit être bloqué que sa soit ping tout type de scan et tout quoi  hormis mon LAN ^^ vraiment autoriser le nécessaire

Merci pour ta réponse
j’espère t’avoir bien répondu ^^

Dernière modification par BoxBox (13-09-2018 18:38:47)

Hors ligne

#6 13-09-2018 18:43:44

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

ok donc t'as pas paramétré de dmz... mais est-ce en bridge ?
que donne la commande :

ifconfig enp1s0.832



sinon la machine cliente, en 2.0.0.2 il a bien accès à internet actuellement ?


o_O

Hors ligne

#7 13-09-2018 18:56:23

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

nop dans l’immédiat j'ai pas de "dmz" un bridge je pense pas vu que je récupe mon préfix ipv4 avec dhclient

j'ai pas net-tools d'installé ip a donne enp1s0 ... enp1s0.832 ..... enp3s0 .... je mettrais les Screenshots se soir/demain

j'ai pas testé mais au début je me connecté du lan au routeur en ssh  sur 2.0.0.1 ça passer ni quelle, mais du coup vu que j'ai modifier j'ai pas testé je reviendrait plus tard dans la soirée ou demain j'y suis depuis hier dessus  ou j'ai tenter plein de truc +/- voilà quoi ^^

Merci

nb: et comme un abruti j'ai posté mon poste au mauvais moment ^^

Dernière modification par BoxBox (13-09-2018 18:57:50)

Hors ligne

#8 13-09-2018 21:23:29

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

BoxBox a écrit :

tu me dit 2.0.0.6 c'est ma passerelle de la carte pas plutôt .7 ?


Ce n'est pas moi qui le dis, c'est l'option "gateway" de ton fichier interfaces. Mais si en fait il n'y a pas machine servant de passerelle avec cette adresse, tu dois supprimer cett option et tu peux laisser l'adresse dans la plage DHCP. L'adresse 2.0.0.7 n'a rien à voir avec une adresse de passerelle : c'est l'adresse de broadcast (diffusion à toutes les machines) du sous-réseau, que tu n'as pas vraiment besoin de déclarer où que ce soit car c'est géré automatiquement.

Une remarque : pourquoi utilises-tu le préfixe 2.0.0.0/29 ? Il fait partie d'un bloc d'adresses publiques attribué à Orange, on ne devrait pas les utiliser sur un réseau privé connecté à l'internet public. Il y a suffisamment de plages d'adresses privées en libre usage.

BoxBox a écrit :

- Un autre exemple :


Je n'ai pas vocation à analyser et commenter tous les scripts iptables mal fichus, mal compris ou mal utilisés qu'on peut trouver...

BoxBox a écrit :

Si tu aurais un exemple de pare-feu concret qui bloque tout de tout


Pas besoin de pare-feu pour tout bloquer : il suffit de débrancher les câbles réseau.

BoxBox a écrit :

4)Oui mais normalement il devrais pas me retourner un bound renewal pour me dire que la connexion est bien faite ?


C'est ce que fait la réponse DHCPACK.

Freemaster a écrit :

juste pour comprendre, ton ONT est en mode bridge ?


Si j'ai bien compris ce que m'avait expliqué un ami, l'ONT est juste un convertisseur fibre-ethernet. Normalement on y branche la box. L'objectif des bidouilles avec l'interface VLAN et les options de DHCP est de se brancher directement à l'ONT en se passant de la box. Le mode bridge, la DMZ... qui sont des fonctions de la box sont sans objet.

Dernière modification par raleur (13-09-2018 21:24:51)


Il vaut mieux montrer que raconter.

Hors ligne

#9 13-09-2018 21:42:07

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

raleur a écrit :

Le mode bridge, la DMZ... qui sont des fonctions de la box sont sans objet.


oh que si, c'est tout l'objet du sujet... avoir un firewall qui bloque tout de tout, alors qu'il y aurait un routeur en amont... sans nat de port, ou dmz, je ne vois pas comment il recevrait une attaque extérieur sur le pc routeur, ni lui même accéder à son ssh hors de chez lui...


o_O

Hors ligne

#10 13-09-2018 21:49:17

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Il n'y a pas de box donc pas de NAT, ni de DMZ, ni de pare-feu en amont du PC routeur.

Il vaut mieux montrer que raconter.

Hors ligne

#11 14-09-2018 07:43:26

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Re bonjour

@raleur
Pour répondre, je te poste l'ip route avec mon ONT de brancher au sujet de l'ONT, c'est bien le convertisseur Fibre/Ethernet où je branche la sortie ethernet sur le pc et fait sortie le lan sur une autre carte de brancher sur le pc

Désolé pour mes question qui peuve te paraître débile futile pour toi j'ai pas cette logique en moi comme tu doit toi l'avoir navré d'avance mais super tes poste thx pour les réponses.


default via 2.2.100.1 dev enp1s0.832
2.0.0.0/29 dev enp3s0 proto kernel scope link src 2.0.0.1
2.2.100.0/21 dev enp1s0.832 proto kernel scope link src 2.2.100.107

#####

Sep 14 08:00:08 l1l1 dhclient[693]: DHCPREQUEST of 2.2.100.107 on enp1s0.832 to 255.255.255.255 port 67
Sep 14 08:00:08 l1l1 dhclient[693]: DHCPOFFER of 2.2.100.107 from 2.2.100.1
Sep 14 08:00:08 l1l1 dhclient[693]: DHCPACK of 2.2.100.107 from 2.2.100.1
Sep 14 08:00:08 l1l1 dhclient[693]: bound to 2.2.100.107 -- renewal in 65079 seconds.
 



- Pour l'option gataway je sais pas trop j'ai juste remarqué un truc, c'est que mon dhcp il est obligé d'avoir les dns d'orange dans le resolve.conf sinon pas de préfixe et franchement pour dire vrais ça me faire légèrement chier ... (je regarde la suite de ta phrase dans la journée ^^.)

- Franchement, je ne savais pas que c'était un une série d'ip public d'Orange je voulais juste une série d'ip perso a moi
{si une troisième carte se brancher, je lui donnerai 3.0.0.0 .. }

- Tempis pour moi, ça ferai un réseau troué de plus dans le réseau, on n'est pas à une machine prête, tu me diras xD {au vu du nombre de bots scan qui nous scanné sans même faire quoi que se soit  de mon côté roll }

- mdr je voudrait quand même avoir un minimum du genre le net quoi/console  ^^,  d'avoir mon dns VPN tout local  chiffré,

- Bah, enfaîte-je m'aider à une réponse comme ceci :



#Example quand c'est brancher sur ma livebox
Sep 13 15:11:46 l1l1 dhclient[327]: DHCPREQUEST of 192.168.1.16 on enp1s0 to 255.255.255.255 port 67
Sep 13 15:11:46 l1l1 sh[308]: DHCPREQUEST of 192.168.1.16 on enp1s0 to 255.255.255.255 port 67
Sep 13 15:11:46 l1l1 sh[308]: DHCPOFFER of 192.168.1.16 from 192.168.1.1
Sep 13 15:11:46 l1l1 dhclient[327]: DHCPOFFER of 192.168.1.16 from 192.168.1.1
Sep 13 15:11:46 l1l1 dhclient[327]: DHCPACK of 192.168.1.16 from 192.168.1.1
Sep 13 15:11:46 l1l1 sh[308]: DHCPACK of 192.168.1.16 from 192.168.1.1
Sep 13 15:11:46 l1l1 dhclient[327]: bound to 192.168.1.16 -- renewal in 34750 seconds.
Sep 13 15:11:46 l1l1 sh[308]: bound to 192.168.1.16 -- renewal in 34750 seconds.
 



- Bah, j'ai lu que la dmz est la zone tampon de l'internet j'ai pas tout saisie, mais j'ai saisi que nous particulier, on n'avait pas cette option enfin la vrais dmz pas tout compris

* Comme je les fais remarquer au début de mon poste, je suis pas pro dans le domaine.


@Freemaster
- Je n'ai pas de routeur justement, c'est un vieux pc que je veux recycler.
- Bah, c'est trop le nombre de machins qui passe par mon ip gratuit comme sa si un moment donner le Debian ou le routeur Orange ont une faille ou quoi et qu'un de ses scanners ont ça dans leur manche tes mort net :-/ si y a moyen de sen rentre compte plus vite avec une Debian que le routeur Orange qui dit rien, je préfère nan ?


@raleur exacte

Dernière modification par BoxBox (14-09-2018 07:49:47)

Hors ligne

#12 14-09-2018 11:04:34

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

BoxBox a écrit :

Pour l'option gataway je sais pas trop


Comme prévu la command ip route montre bien que le client DHCP a créé une route par défaut sur l'interface VLAN, donc il ne faut pas d'option gateway sur une autre interface.

BoxBox a écrit :

mon dhcp il est obligé d'avoir les dns d'orange dans le resolve.conf sinon pas de préfixe


Peux-tu préciser ? Tu parles de la configuration de dhcpd ? Quel(s) autre(s) DNS voudrais-tu utiliser ? Si tu veux que le PC routeur fasse office de serveur DNS, il faut en installer un comme bind9, unbound ou dnsmasq (attention il fait aussi serveur DHCP).

BoxBox a écrit :

je ne savais pas que c'était un une série d'ip public d'Orange je voulais juste une série d'ip perso a moi


Tu peux utiliser les adresses que tu veux dans les plages 192.168.0.0/16, 172.16.0.0/12 et 10.0.0.0/8.

BoxBox a écrit :

je voudrait quand même avoir un minimum du genre le net quoi/console  ^^,  d'avoir mon dns VPN tout local  chiffré,


Qu'appelles-tu "dns VPN" ?

Oublie cette histoire de DMZ, c'est hors de propos.


Il vaut mieux montrer que raconter.

Hors ligne

#13 14-09-2018 11:27:46

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

yop,

- Yep, tu étais dans le juste en enlevant l'option, j'obtiens sûr l'ip route/lan:


default 2.0.0.1 dev enp2s0
2.0.0.0/29 dev enp2s0 proto kernel scope link src 2.0.0.2
 


Merci pour l'info a retenir ^^

- Quand je parle de dhcp je parle bien sur de isc-dhcp-server intégrer dans Debian par Default ... Par contre, je sais que pour un dns il me faudra un dns je voulais mettre dnsmasq bcp dise qu'il est léger, etc..

- Par contre il fait office de dhcp fait chier j'aurai pue le faire des le début, tempis j'ai la config de prête normalement  x)


- Ué je suis d'accord mais bon cela change quelle que chose ? si vraiment sa change rien, tranquille ^^

- Oups voulais dire un dns et un vpn

- d'ac.





Nb: Par contre y a un truc qui me gène  c'est si je change les dns qui y a dans le fichier resolv.conf par 127.0.0.1 je vais perdre mon préfixe ipv4 ...

Dernière modification par BoxBox (14-09-2018 11:47:51)

Hors ligne

#14 14-09-2018 22:38:10

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

BoxBox a écrit :

cela change quelle que chose ?


Les machines de ton réseau ne peuvent pas communiquer avec les machines sur internet qui sont les détentrices légitimes de ces adresses.

BoxBox a écrit :

si je change les dns qui y a dans le fichier resolv.conf par 127.0.0.1 je vais perdre mon préfixe ipv4


Quel préfixe IPv4, et quel rapport avec le DNS ?


Il vaut mieux montrer que raconter.

Hors ligne

#15 14-09-2018 23:36:26

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

En tout cas moi il fonctionne de mon côté ... Verra bien si j'ai un pépin


Bah mon ip public que j'ai sur internet ...Si je modifier le resolve.conf pour mettre 127.0.0.1 (préconiser pour les dns) et que je relancer dhclient bah il se mais en erreur (au mieux il modifie lui même le fichier pour mettre ses dns a lui ...)

Hors ligne

#16 15-09-2018 22:50:40

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Définir 127.0.0.1 comme DNS n'a de sens que si un serveur DNS récursif est installé sur la machine elle-même, ce qui n'est pas encore le cas il me semble.
Quand ce sera fait, il ne faudra pas modifier directement le fichier resolv.conf car il serait écrasé par dhclient. Il est possible de modifier la configuration de dhclient (/etc/dhclient/dhclient.conf) pour remplacer les DNS qu'il reçoit du serveur DHCP avec l'option "supersede".

Il vaut mieux montrer que raconter.

Hors ligne

#17 17-09-2018 05:24:19

BoxBox
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-7-amd64
Inscription : 09-09-2018

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

Ok merci pour l'info dit moi, j'aurais une question où je tourne en rond là ...

J'ai l'interface virtuelle où je reçois mon internet avec l'ip du fai  / enp1s0.832

J'ai du coup la possibilité de mettre une config "reseaux/interne ? " Sur enp1s0 qui pour le moment est sur manuel sans ip ..

Et l'interface enp3s0 du coup qui est mon "LAN"


- Mon iptables je le base sur quoi sur enp1s0.832 et enp3s0 ?
Ou je doit rajouter une config sur enp1s0 ?

en vrais je tourne en rond mwahaha.gif

Merci pour tes éclairssiment .

Hors ligne

#18 17-09-2018 10:10:00

raleur
Membre
Inscription : 03-10-2014

Re : Souci avec le dhcp & routage en finition de iptables pour un routeur

BoxBox a écrit :

J'ai l'interface virtuelle où je reçois mon internet avec l'ip du fai  / enp1s0.832


Cette interface permet d'envoyer et recevoir des trames ethernet avec le tag VLAN 832 sur l'interface enp1s0.

BoxBox a écrit :

J'ai du coup la possibilité de mettre une config "reseaux/interne ? " Sur enp1s0 qui pour le moment est sur manuel sans ip


Qu'appelles-tu "config réseaux/interne" ?
Il est possible de définir une configuration IP sur l'interface enp1s0, mais dans quel but ?
Pour l'utiliser comme interface LAN à la place de enp3s0 ?
Ce serait faisable, mais sans un switch ethernet correctement configuré pour isoler les VLAN je ne le recommande pas car l'ONT serait directement connecté à ton réseau local.

BoxBox a écrit :

Mon iptables je le base sur quoi sur enp1s0.832 et enp3s0 ?


Oui.

BoxBox a écrit :

Ou je doit rajouter une config sur enp1s0


Ça dépend. Si le jeu de règles bloque tout par défaut, il n'y a rien de plus à faire.
Sinon il est plus prudent d'ajouter des règles pour bloquer le trafic IP sur enp1s0. Cela n'affectera pas le trafic IP sur enp1s0.832 qui est considéré par iptables comme une interface distincte.


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums