Vous n'êtes pas identifié(e).
je sais pas encore si je filtre les 3 chaînes ou pas en IPv4.
faire un inventaire des services et ports utilisés.
pour l' IPv6 je fais des expériences , voir le genre de paquet qui transites
enlever le paquet iptables
pour l'instant les logs sont vide.
j'ai lancé steam , pas un jeux pour l'instant.
a priori j'ai IPv4 et IPv6 de la passerelle ou simplement local de la machine 192.168.10.47 ?
laisser l' IPv6 en "accept" , uniquement du fe80 , ça reste local ça
pour l' IPv4 autoriser les ports 27xxx , il me semble que steam (sur son site) donne les ports a ouvrir
ps: avec iptables j'avais une règle , faut que je cherche
l' utilitaire fonctionne , il me reste a lancer un jeux
les adresses du client
le jeux fonctionne (Talos) , pas de log supplémentaire
voila la règle steam sous iptables pour la passerelle (pour le client idem autoriser 27xxx )
et le lien du wiki "passerelle" sous iptables => https://debian-facile.org/doc:reseau:ip … passerelle
nota: jamais réussi a le faire fonctionner , pour le client oui mais sûrement pas parfait
le client sous iptables => https://debian-facile.org/doc:reseau:ip … ting-shell
pas tout jeune , de 2014 , mais un sacré travail du membre pour faire ces wiki
=> https://support.steampowered.com/kb_art … -GLVN-8711
les ports utilisés (tous ne sont pas utiles pour jouer)
Dernière modification par anonyme (13-08-2019 00:30:45)
a priori j'ai IPv4 et IPv6 de la passerelle ou simplement local de la machine 192.168.10.47 ?
C'est du multicast link local IPv6 all-nodes (ff02::1) et du broadcast limité IPv4 (255.255.255.255) émis par la machine elle-même (et reçue par elle puisque le multicast et le broadcast s'adressent à tout le monde). Cela ne joue un rôle que pour les jeux en réseau local (LAN), pas via internet.
L'adresse de broadcast dirigé 192.168.10.56 définie sur enp6s0 est anormale. Compte tenu de l'adresse et du masque /24, cela devrait être 192.168.10.255. Si c'est en DHCP (dynamic), le serveur DHCP n'enverrait pas un peu n'importe quoi ?
Il vaut mieux montrer que raconter.
Hors ligne
L'adresse de broadcast dirigé 192.168.10.56 définie sur enp6s0 est anormale. Compte tenu de l'adresse et du masque /24, cela devrait être 192.168.10.255.
C'est un mauvais réglage dans la conf du serveur DHCP : elle est ici :
https://debian-facile.org/viewtopic.php … 75#p307675.
Je m'étais d'ailleurs posé la question de pourquoi configurer le broadcast de cette façon.
Dernière modification par enicar (09-08-2019 11:00:41)
Hors ligne
ps: c'est sur le #47 du post "Migration de iptables a nftables sur une passerelle".
Dernière modification par anonyme (09-08-2019 11:39:22)
pour limiter le nombre d' IP affecter par le dhcpd 20 a 55 , le broadcast est a 56 (+1)
ça me pose pas de problème de mettre 255
mais je 'ai pas inventé
En réalité, je me suis posé la question, mais je me souviens avoir lu (il y a longtemps) sur irc
que c'était possible.
Hors ligne
=> https://fr.wikipedia.org/wiki/Broadcast_(informatique)
=> https://fr.wikipedia.org/wiki/Broadcast
sujet clos , revenons a nos moutons , heu nos paquets
Dernière modification par anonyme (09-08-2019 11:47:32)
anonyme a écrit :a priori j'ai IPv4 et IPv6 de la passerelle ou simplement local de la machine 192.168.10.47 ?
C'est du multicast link local IPv6 all-nodes (ff02::1) et du broadcast limité IPv4 (255.255.255.255) émis par la machine elle-même (et reçue par elle puisque le multicast et le broadcast s'adressent à tout le monde). Cela ne joue un rôle que pour les jeux en réseau local (LAN), pas via internet.
par contre ceci est intéressant
je me pose la question de l'intérêt de filtrer (bloquer ) l'IPv6 sur un client du sous-réseau avec des adresses IPv6 uniquement locale.
ps: la passerelle bloque l'IPv6 dans le cas ou il serait activé sur la box.
je pourrai même supprimer cette table
pour IPv4 je compte pas faire du jeux en réseau local , je suppose que si plusieurs clients sur une même partie , ou une application comme "steam link" ce peut être utile.
Dernière modification par anonyme (09-08-2019 12:21:55)
pour limiter le nombre d' IP affecter par le dhcpd 20 a 55 , le broadcast est a 56 (+1)
ça me pose pas de problème de mettre 255 mais je l'ai pas inventé
D'où sors-tu cette règle ? Je pense que si, tu l'as inventée, ou mal interprétée.
Par convention, l'adresse de broadcast est la dernière adresse du préfixe (ou sous-réseau) et n'a rien à voir avec la plage d'adresses attribuables par DHCP à l'intérieur de ce préfixe.
Techniquement on pourrait choisir une autre adresse (BSD a utilisé la première adresse, appelée également adresse de réseau, comme adresse de broadcast) mais alors il faudrait que toutes les machines du réseau soient configurées explicitement pour utiliser la même adresse de broadcast, qu'elles soient en DHCP ou en statique. Or je vois dans le fil pointé par enicar que le fichier interfaces du serveur DHCP lui-même ne définit pas cette adresse de broadcast.
Suivant ce principe, une adresse de diffusion pourrait ne pas forcément se terminer par .255.
Ce cas très rare n'est utilisé que dans des sous-réseaux spéciaux très petits
"Réseaux très petits" = réseaux de moins de 256 adresses, avec un préfixe de longueur strictement supérieure à 24, soit un masque strictement supérieur à 255.255.255.0. Ce qui n'est pas le cas ici. D'autre part cela ne signifie pas qu'on peut choisir arbitrairement l'adresse de broadcast mais seulement que celle-ci, qui est toujours la dernière adresse du réseau, ne finit pas forcément par 255.
Il vaut mieux montrer que raconter.
Hors ligne
je me pose la question de l'intérêt de filtrer (bloquer ) l'IPv6 sur un client du sous-réseau avec des adresses IPv6 uniquement locale
Ça dépend si tu utilises IPv6 sur ton LAN et s'il y a des menaces potentielles en IPv6 sur ce LAN, par exemple s'il peut arriver d'y connecter des appareils non dignes de confiance (contre lesquels le filtrage de la passerelle ne protègera pas un poste du LAN).
Si tu n'utilises pas IPv6 et qu'il peut constituer une menace, alors ça justifie de le bloquer. En sortie aussi, car ça n'a pas de sens d'autoriser tout en sortie et de bloquer tout en entrée.
Dernière modification par raleur (09-08-2019 13:56:34)
Il vaut mieux montrer que raconter.
Hors ligne
Dernière modification par anonyme (09-08-2019 14:34:24)
je te fais remarquer que mon sous-réseau utilise moins de 256 adresses (20 à 55)
Non, c'est seulement la plage DHCP qui utilise les adresses 20 à 55. Le sous-réseau lui-même, de par son masque 255.255.255.0 ou /24 utilise toutes les adresses de 0 à 255.
une machine windows10 en IP fixe 192.168.10.254 qui n'a droit a aucune ressources du sous-réseau
Elle est quand même dans le sous-réseau.
a mon avis ça change pas grand chose mais j'ai modifié
En pratique ça n'influe que sur les applications qui utilisent l'adresse de broadcast dirigé. Il me semble que la résolution de nom NetBIOS (NBNS, qui peut être utilisé par Samba et Windows) en fait partie. Il existe une autre adresse de broadcast dit limité (non routable contrairement au broadcast dirigé), 255.255.255.255, définie par défaut qui est toujours la même dans tous les réseaux. Visiblement c'est elle qu'utilise Steam.
Dernière modification par raleur (09-08-2019 14:43:17)
Il vaut mieux montrer que raconter.
Hors ligne
Or je vois dans le fil pointé par enicar que le fichier interfaces du serveur DHCP lui-même ne définit pas cette adresse de broadcast.
Tu dois avoir mal lu :
la configuration du dhcpd
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.20 192.168.10.55;
option domain-name-servers 192.168.10.1;
option domain-name "mondomaine";
option routers 192.168.10.1;
option broadcast-address 192.168.10.56;
option ntp-servers 192.168.10.1;
# option netbios-name-servers 192.168.10.1;
On voit clairement
C'est cela qui avait fixé le broadcast des clients sur cette adresse.
Hors ligne
Or je vois dans le fil pointé par enicar que le fichier interfaces du serveur DHCP lui-même ne définit pas cette adresse de broadcast.
Il y a donc discordance entre l'adresse de broadcast utilisée par le serveur lui-même et l'adresse de broadcast qu'il annonce à ses clients.
Dernière modification par raleur (09-08-2019 14:57:42)
Il vaut mieux montrer que raconter.
Hors ligne
Non, c'est seulement la plage DHCP qui utilise les adresses 20 à 55. Le sous-réseau lui-même, de par son masque 255.255.255.0 ou /24 utilise toutes les adresses de 0 à 255.
C'est ce qui m'a fait douter, le fait qu'il n'utilise qu'un plage limitée d'adresse pour le serveur
dhcp. Mais je n'aurais pas du.
(Et je regrette parfois de n'avoir pas fait cette formation en réseau en 2003 comme
j'en avais la possibilité, mais ça c'est une autre histoire )
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
C'est toi qui as mal lu ; je parlais du fichier interfaces, pas de la configuration de dhcpd :
J'ai surtout pas compris ce que tu entendais par « serveur DHCP »…
la configuration était bancale de toute façon.
Hors ligne
Je n'ai jamais suivi de formation réseau, ça ne m'a pas manqué. Je me suis formé tout seul
Si tu as des liens intéressants à partager sur le réseau, je suis preneur et ça devrait
intéressait d'autres personnes aussi.
Hors ligne
J'ai surtout pas compris ce que tu entendais par « serveur DHCP »…
Il s'agit de la machine qui fait office de serveur DHCP, et pas spécifiquement le service dhcpd qui tourne sur celle-ci.
Il vaut mieux montrer que raconter.
Hors ligne
donc debian1 (la passerelle) est un serveur de tous ses services ci dessus pour le sous-réseau 192.168.10.0/24 (et localhost)
sauf openntpd qui en plus maintenant distribue le temps sur les 2 cartes réseau pour le switch 192.168.1.2 dont a parlé plus haut
pour avoir moins d'IP il faut choisir une autre IP fixe et un mask différent (255.0.0.0 par exemple et l'IP fixe qui va bien (pas trop mon truc non plus tongue ) )
Euh… t'es sûr ? Parce qu'un netmask de 255.0.0.0, ça veut dire que la partie
réseau de l'adresse est sur les 8 premiers bits (comme dans les les adresses 10.0.0.0/8).
Le reste (c'est à dire les 24 derniers bits) sont pour la partie « hôte ».
À moins que je me trompe…
Edit : J'ai compté les bits depuis la gauche au lieu du contraire dans
mon commentaire…
En effet pour avoir un plus petit sous réseau il faut ajouter
un 1 (ou plusieurs) à partir de la gauche au netmask.
Par exemple avec un netmask de 255.255.255.128.
et un réseau ayant pour adresse 192.168.1.0
la plage d'adresse est 192.168.1.0 à 192.168.1.127
l'adresse de diffusion étant 192.168.1.127.
Il me semble que c'est comme ça que ça marche, corrigez moi si
je me trompe, ça fait longtemps que je n'ai pas touché à ces histoires…
Dernière modification par enicar (09-08-2019 19:02:19)
Hors ligne
Dernière modification par anonyme (09-08-2019 18:14:56)
j'ai sûrement écrit une bêtise
Ce n'est pas évident, il faut à chaque fois que j'y réfléchisse.
J'avais appris tout cela dans le networking howto il me semble.
Ce document est vraiment vieux, mais pour ces questions il
est encore d'actualité : http://tldp.org/HOWTO/NET3-4-HOWTO.html
Hors ligne
pour avoir moins d'IP il faut choisir une autre IP fixe et un mask différent (255.0.0.0 par exemple et l'IP fixe qui va bien
Pas du tout. Enicar a raison.
Pour un réseau plus petit il faut un masque plus grand. Par exemple 255.255.255.128 (/25) pour 128 adresses.
Et ce n'est pas parce que tu veux un /24 que tu dois utiliser 192.168.x.y ou vice versa. Les classes A, B, C sont obsolètes. Tu peux utiliser l'adresse IP que tu veux du moment que le sous-réseau contient dans le bloc correspondant.
Par exemple 192.168.x.y fait partie d'un bloc /16 donc tu peux utiliser n'importe quel masque supérieur ou égal à 255.255.0.0 ou longueur de préfixe supérieure ou à /16.
10.x.y.z fait partie d'un bloc /8 donc tu peux utiliser n'importe quel masque supérieur ou égal à 255.0.0.0 ou longueur de préfixe supérieure ou égale à 8.
Dernière modification par raleur (09-08-2019 18:57:44)
Il vaut mieux montrer que raconter.
Hors ligne
le ping fonctionne bien de client a client et vers le net (par ip , nom et nomdomaine)
firefox pas de souci
je surveille les logs (a priori la chaine forward peut être bloqué ? )
DNS et dhclient correct aussi
pour renforcer , je pourrais filtrer le output (en drop)
comme service:
dhcp client
dns
steam
http , https
smtp (25) exim4
et cups (imprimante)
je vois rien d'autres (machine de bureau)
ps: pour IPv6 en l'absence de table , c'est autorisé ?
ps: pour IPv6 en l'absence de table , c'est autorisé ?
Je ne sais pas trop… Je pense que non.
En fait j'avais mal lu, l'absence de table et de chaîne pour ipv6 est autorisée.
Par contre je ne sais pas si ça permet au traffic ipv6 d'être autorisé
ou pas dans ce cas.
Edit : Tu peux le vérifier avec ton interface lo
en faisant :
Edit2 : Il faut faire
ou
Avec le nom d'interface, ça ne fonctionne pas
Dernière modification par enicar (10-08-2019 14:37:49)
Hors ligne