Discussion :

[smarties]

Bonjour,

J'ai une machine a connectée à 2 réseaux :
Réseau A : 192.168.1.0 (DHCP)
Réseau B : aaa.bbb.ccc.0 (fournissant l'acces internet)

Une machine M possède 2 cartes réseau avec les IP configurées (aaa.bbb.ccc.136 et 192.168.1.1) pour se connecter aux 2 réseaux.

Comment donner l'accès au réseau A aux machines sur le réseau B d'IP 192.168.1.2, 192.168.1.3, ...

J'ai résolu une partie de mon problème avec ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
sudo iptables -A FORWARD -o eth1 -i eth0 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A POSTROUTING -t nat -j MASQUERADE
sudo iptables-save

Maintenant je peux faire des ping mais qu'en utilisant les adresses IP, je doit avoir un problème de DNS

Merci d'avance

[Invité]

Salut,

quels sont tes objectifs ?

Permettre à toute machine du réseau 192.168.1.0/24 d'accéder à l'Internet au travers de ta machine Linux ?

Quel est le serveur DHCP du réseau 192.168.1.0 ?

Question subsidiaire... Tu parles du réseau aaa.bbb.ccc.0, est-ce que ça veut dire que c'est carrément un sous-bloc de aaa.bbb.ccc.0/24 ? Ce que je doute mais là, c'est pour info...

Steph

[ok.Idriss]

Bonjour.

Question subsidiaire... Tu parles du réseau aaa.bbb.ccc.0, est-ce que ça veut dire que c'est carrément un sous-bloc de aaa.bbb.ccc.0/24 ? Ce que je doute mais là, c'est pour info...

Maintenant je peux faire des ping mais qu'en utilisant les adresses IP, je doit avoir un problème de DNS

Dans ce cas mettre la même adresse IP du DNS que celle de M dans /etc/resolv.conf ne résout pas le problème ?

Cordialement,
Idriss

[Invité]

Ben, oui, c'est pas fréquent de voir des sous-blocs routables sur l'internet. Généralement, dans ce forum, on a affaire à des adresses IP publiques distribuées une par une pour faire du PAT/NAT... D'où ma question subsidiaire...

J'ai regardé dans la base RIPE, et effectivement, le bloc aaa.bbb.ccc.0/24 a été alloué à l'Université de Poitiers.

Maintenant, pour être encore plus, disons, rigoureux... Si j'étais le boss de ce réseau, jamais je ne permettrais qui que ce soit de plugger comme ça à l'arrache une machine Linux pour router directement sur ce réseau aaa.bbb.ccc.0/24... J'appelle ça jouer à l'apprenti sorcier avec la sécu réseaux. Mais bon, ça n'engage que moi...

Voilà ce qu'il y avait derrière ma question subsidiaire...

Steph

[ok.Idriss]

Salut IP_Steph.

Je n'avais tout simplement pas compris ta question :

Tu parles du réseau aaa.bbb.ccc.0, est-ce que ça veut dire que c'est carrément un sous-bloc de aaa.bbb.ccc.0/24 ?

Ceci n'étais pas clair pour moi (oui déjà qu'il est facile de me perdre en réseau, n'étant pas expert) ... j'avais l'impression que tu demandais si aaa.bbb.ccc.0 était un sous-bloc du même réseau (aaa.bbb.ccc.0) . Avec tes explications, je vois mieux ce que tu veux dire et je suis tout à fait d'accord avec toi sur le manque de rigueur (ce servir d'une machine Linux comme routeur à l'arrache pour un réseau d'université).

Cordialement,
Idriss

[Invité]

Idriss,

No problemo

En revanche, on ne le répétera jamais assez... Croyez-le ou non, ce genre de forum est scanné en permanence par des hackers qui sont à l'affût

1) On ne doit jamais, jamais, jamais divulguer la moindre adresse IP routée sur Internet.

2) On ne doit jamais router un réseau privé directement sur un bloc IP routable sur Internet sans filtrage de flux comme je pense que c'est le cas ici.

Si 1) ou 2) n'est pas respecté, les hackers appellent ça un "offered backdoor" ou encore un "unexpected bypass" et là, bonjour les dégats :aie

Maintenant mon avis perso ce serait de supprimer ce fil ou bien de demander à smarties d'éditer ses messages en utilisant des adresses du type aaa.bbb.ccc.ddd

Mais peut-être que le mieux, ce serait d'enlever cette machine Linux et de refaire la manip d'une façon un peu mieux contrôlée. Du style plugger une patte de cette machine dans une gentille DMZ... Renater est un laboratoire très excitant pour les hackers, inutile de leur faciliter la vie

Après, les gens font ce qu'ils veulent de leur réseau

Steph

[ok.Idriss]

Bonsoir.

Maintenant mon avis perso ce serait de supprimer ce fil ou bien de demander à smarties d'éditer ses messages en utilisant des adresses du type aaa.bbb.ccc.ddd

C'est fait, par mesure de prudence

Ceci dit, je ne vois pas trop le risque. Pour être sur aaa.bbb.ccc.0, la machine Linux a deux interfaces réseaux. Du côté de aaa.bbb.ccc.0 j’imagine qu'il y a une passerelle vers l'extérieur et la machine Linux fait office de retour non (elle devrait aussi faire du filtrage si on fait bien les choses) ? Pourrait-tu en dire plus sur le risque ? Merci à toi

Cordialement,
Idriss

[Invité]

Avant toute chose, smarties, loin de moi l'idée de te mettre sous les projecteurs. Personne ici ne peut t'en vouloir d'avoir accès aussi facilement à un sous-bloc routé sur Internet. Les "policies" d'une Université ne sont probablement pas aussi sensibles que celui d'une banque. J'espère donc ne pas t'offusquer N'hésites pas à m'envoyer un MP si besoin est

Comme je n'ai pas toutes les infos sur la structure des DMZ du réseau, j'envisage le scenario le plus pessimiste, à savoir que la machine Linux offre un point de routage direct sur un réseau privé RFC1918. Grosso modo, le schéma ne devrait pas être très différent du suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
                      RENATER
                         ^
                         |
                         |         +-------+
      aaa.bbb.ccc.0/24   |-----eth1| Linux |eth0---- 192.168.1.0/24
                         |         +-------+
                         |
                    +--------+
                    |firewall|
                    +--------+
                        |
                 réseaux internes

Oui, il y a peut-être un firewall supplémentaire dans ce que je désigne par "RENATER". Mais par principe, je ne fais jamais confiance aux firewalls que je ne contrôle pas... Il y a aussi, peut-être, des proxies ici et là, voire des load-balancers couplés à des Port-Irons, que sais-je... Mais encore une fois, j'envisage un scenario pessimiste...

Quoi qu'il en soit, ma mise en garde concernait la vulnérabilité de cette machine Linux parce que la configuration très basique de ses iptables en fait une passoire... Ce genre de déploiement nécessite en effet une configuration minimale contre toutes sortes d'attaques. Quelques liens pour info :

http://townx.org/simple_firewall_for...using_iptables
http://www.pettingers.org/code/firewall.html
http://www.linuxhomenetworking.com/w...Using_iptables

Outre le fait de pouvoir plugger une machine sur ce réseau, la demande initiale faite par le créateur du fil un vendredi à 13h me fait penser au déploiement d'un routeur sauvage qui est resté en ligne tout le week-end. Et vu l'état des iptables, je pense également que le routeur Linux est laissé tel quel pour être accessible depuis chez soi en ssh ou telnet ou rlogin...

Il y a probablement des hosts sur le segment aaa.bbb.ccc.0/24 (SMPT, FTP, Web serveurs par exemple), et il y a fort à parier qu'ils embarquent des softs contre les malwares, xml xross-scripts, etc... Mais je ne pense pas que ce soit le cas de la machine Linux... Au pire, on peut imaginer une "misconfiguration" de sécurité qui permette des manip du genre IP Spoofing. Par exemple, un firewall protège les adresses SMTP aaa.bbb.ccc.1 et FTP aaa.bbb.ccc.2 contre le spoofing mais laisse passer le reste... Des hackers auront vite fait de saturer le segment en utilisant l'adresse IP de la patte de la machine Linux aaa.bbb.ccc.x pour faire du SYN ou de l'ICMP flooding par exemple. Quant au DNS... Le fait de servir des requêtes DNS par une telle machine peut conduire à la catastrophe... Suffit de faire un peu de recherches Google sur DNS DDoS...

Et quid du réseau 192.168.1.0/24 ? Il y a peut-être dans ce réseau quelques machines Windows qui vont télécharger des cochonneries le temps de faire des tests... Du style key logger et autres malwares sympathiques. Puis ensuite, les tests terminés, on remet ces gentilles machines sur le réseau live... De quoi donner quelques nuits blanches aux admin réseau. Il y a 5 ans, je bossais dans une grosse boîte qui a dû arrêter sa prod pendant 3 jours à cause d'une contamination de virus à cause d'une manip de ce genre. Et manque de pot, les derniers backups de serveurs dataient de plus d'un mois :-(

En revanche, le schéma suivant me plait beaucoup mieux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
                      RENATER
                         ^
                         |
                         |
      aaa.bbb.ccc.0/24   |
                         |
                         |
                    +--------+         +-------+
                    |firewall|-----eth1| Linux |eth0---- 192.168.1.0/24
                    +--------+         +-------+
                        |
                 réseaux internes

On demande à ses gentils collègues qui gèrent le firewall de fournir un réseau RFC1918 d'interconnexion en fermant tous les flux dans un premier temps. On y plugge l'interface eth1... Puis au fil des manip, on ouvre les flux qui sont nécessaires. Là, c'est contrôlé, nickel chrome :-)

Les optimistes diront qu'il ne faut pas voir le mal partout.
Mais en 20 ans de carrière, j'en ai vu des vertes et des pas mûres :-(

Steph

[smarties]

Permettre à toute machine du réseau 192.168.1.0/24 d'accéder à l'Internet au travers de ta machine Linux ?

Oui

J'ai regardé dans la base RIPE, et effectivement, le bloc aaa.bbb.ccc.0/24 a été alloué à l'Université de Poitiers.

Maintenant, pour être encore plus, disons, rigoureux... Si j'étais le boss de ce réseau, jamais je ne permettrais qui que ce soit de plugger comme ça à l'arrache une machine Linux pour router directement sur ce réseau aaa.bbb.ccc.0/24... J'appelle ça jouer à l'apprenti sorcier avec la sécu réseaux. Mais bon, ça n'engage que moi...

C'est ça, mais l’accès à internet serait temporaire, le temps d'installer les machines (apt-get pour les machines linux).
Je ne peux pas les connecter individuellement sur internet car il n'y a qu'une carte réseau qui peux accéder au réseau aaa.bbb.ccc.0

Les machines ont des IP fixes sur le réseau 192.168.1.0 et pour le aaa.bbb.ccc.0, elle est fournie par le DHCP


Au niveau sécurité du réseau, la machine aaa.bbb.ccc.x sera seulement ouvert sur le port 80 et peut être un autre port si besoin

Dans le resolv.conf de ma machine M j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
domain a.domain.fr
search a.domain.fr
nameserver aaa.bbb.ccc.DNS

Les IP sont normalement correctes

[Invité]

Je ne peux pas les connecter individuellement sur internet car il n'y a qu'une carte réseau qui peux accéder au réseau aaa.bbb.ccc.0

Tu pourrais connecter les machines qui ont besoin d'un 'apt-get' sur un des réseaux privés de l'univ qui est géré par le firewall/proxy...

Après, c'est un simple réglage de proxy, c'est très facile à faire.

Par exemple, si tu utilises Synaptic comme packet manager, tu vas dans Settings, Preferences, Network puis tu renseignes le proxy :

utilisateur:MdP@ton_proxy_server, et tu donnes le port http


Si tu as l'habitude de lancer les apt-get à la mano, tu édites /etc/bash.bashrc et tu ajoutes un export en fin de ce fichier :

export http_proxy=http://utilisateur:MdP@ton_proxy_server:port/
export ftp_proxy=http://utilisateur:MdP@ton_proxy_server:port/

Dans le resolv.conf de ma machine M j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
domain a.domain.fr
search a.domain.fr
nameserver aaa.bbb.ccc.DNS

Les IP sont normalement correctes

Est-ce que les requêtes DNS aboutissent depuis 192.168.1.0/24 ? Si ça n'est pas le cas, c'est peut-être lié au traitement de ces paquets. Tu pourrais réessayer avec ces lignes supplémentaires dans tes iptables

-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT

Steph

[smarties]

J'ai fini par résoudre mon problème :
- J'ai renseigné tout les /etc/resolv.conf
- J'ai fait un script exécuté en root pour activer le partage :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
echo 1 | tee /proc/sys/net/ipv4/ip_forward            #activation du "pontage" entre les deux cartes réseaux
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

- J'ai renseigné le fichier /etc/network/options :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ip_forward=yes
spoofprotect=yes
syncookies=yes