http://www.marmottux.org/index.php/ fr Mon, 13 Feb 2012 10:56:26 +0100 http://blogs.law.harvard.edu/tech/rss Dotclear http://www.marmottux.org/index.php/post/2006/01/05/506-faire-un-bridge-ethernet urn:md5:40c1954c4b79086ed8657bfd3db39279 Thu, 05 Jan 2006 18:57:54 +0000 Alex Linux bidouille linuxbridgedebianebtablesiptablesterminaux <p>Comment faire très simplement un bridge ethernet utilisé ici en pont filtrant DHCP&nbsp;?</p> <p><img src="http://www.marmottux.org/images/bridge.jpg" alt="" /></p> <p>On a eu le problème sur notre réseau de terminaux dont le serveur DHCP était en conflit avec le serveur DHCP du reste du réseau.<br /> Nota&nbsp;: on ne doit jamais avoir 2 serveurs DHCP sur un même segment de réseau.<br /></p> <p>Problème&nbsp;: isoler les 2 réseaux et leurs serveurs DHCP respectifs.<br /></p> <p>Solution&nbsp;: On a simplement installé un bridge (pont filtrant) sur un vieux pentium 75 avec 2 cartes réseaux qui sépare les 2 réseaux locaux.<br /></p> <p>On a mis dessus une distrib linux minimum (debian) sans interface graphique, et une règle "ebtable" qui filtre les appels DHCP et ça marche depuis un an et demi sans problème...<br /></p> <p>Le traffic vers le net (slis) ou autres serveurs (de fichiers, web...) n'est pas affecté, seul les appels UDP sur les ports 67 et 68 sont filtrés...<br /></p> <p>On est parti d'une doc de <strong>lealinux</strong> (<a href="http://lea-linux.org/cached/index/Reseau-secu-pont-filtrant.html#" hreflang="fr">http://lea-linux.org/cached/index/Reseau-secu-pont-filtrant.html#</a>) et on a appliqué le script suivant&nbsp;:</p> <pre>#!/bin/sh /sbin/ifconfig eth0 0.0.0.0 promisc /sbin/ifconfig eth1 0.0.0.0 promisc /usr/sbin/brctl addbr mon-pont /usr/sbin/brctl addif mon-pont eth0 /usr/sbin/brctl addif mon-pont eth1 /sbin/ifconfig mon-pont x.x.x.x /sbin/ebtables -A FORWARD -p ipv4 ==ip-proto udp ==ip-destination-port 67:68 -j DROP</pre> <p>(Nota&nbsp;: Attention les 4 signes "=" de la dernière ligne, sont à remplacer par des "-")<br /> Ce sript filtre les ports UDP 67 (serveur) et 68 (client) utilisés par le protocole DHCP<br /></p> <p>Donc pour récapituler, une installation d'une debian minimum (ou autres) en 2.6, sans interface graphique, mais avec SSH lancé pour gérer à distance, puis ajouter le paquet "bridge-utils" (ou l'archive <a href="http://sourceforge.net/project/showfiles.php?group_id=26089" hreflang="fr">http://sourceforge.net/project/showfiles.php?group_id=26089</a>) ainsi que le paquet "ebtables" (ou l'archive <a href="http://sourceforge.net/project/showfiles.php?group_id=39571&amp;package_id=31718" hreflang="fr">http://sourceforge.net/project/showfiles.php?group_id=39571&amp;package_id=31718</a>)<br /></p> <p>Recopier le script ci-dessus, le nommer "script_pont.sh", remplacer x.x.x.x par un numéro ip compatible avec votre réseau et qui sera l'ip appellé par SSH (ex&nbsp;: 172.16.0.162), rendre exécutable le script et le lancer automatiquement au boot.</p> <p>D'autres infos sur <a href="http://guides.ovh.com/LinuxBridgeFirewall/contenu.html" hreflang="fr">http://guides.ovh.com/LinuxBridgeFirewall/contenu.html</a> <a href="http://ebtables.sourceforge.net/examples.html#easy" hreflang="fr">http://ebtables.sourceforge.net/examples.html#easy</a></p> <p>Alex et Deny</p> http://www.marmottux.org/index.php/post/2006/01/05/506-faire-un-bridge-ethernet#comment-form http://www.marmottux.org/index.php/post/2006/01/05/506-faire-un-bridge-ethernet#comment-form http://www.marmottux.org/index.php/feed/atom/comments/497