Re: [HS] Mode routeur vs. Mode bridge sur une freebox

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

Salut,

François TOURDE a écrit :
> Je cherche à basculer ma Freebox qui est en mode bridge pour le
> moment, en mode routeur.

Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le routeur/firewall 
qui consomme, prend de la place et fait du bruit. Mais d'après ce que tu 
as écris plus bas, ce n'est pas ton cas.

> Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
> mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
> correctement, mais subsiste un petit souci:
>
> Quand je bascule en mode routeur, les machines de mon réseau interne
> ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
> bridge tout va bien, car le serveur Debian accepte de recevoir des
> connections sur eth1 à destination de eth0.

En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur 
accepte de recevoir sur eth1 des paquets à destination de *l'adresse* de 
eth0. Et c'est tout-à-fait naturel : le fait d'affecter telle adresse à 
telle interface relève plus de la facilité que d'une réelle obligation. 
La machine a des interfaces réseau d'une part et des adresses IP d'autre 
part, et en réalité on peut utiliser n'importe quelle adresse IP locale 
avec n'importe quelle interface à l'exception de la plage 127.0.0.0/8 
qui est réservée à l'interface de loopback. En dehors de cette 
restriction, ton serveur se moque de savoir par quelle interface les 
paquets passent, sauf si tu as mis en place des règles iptables de filtrage.

Quand la Freebox passe en routeur, la grosse différence est que 
l'adresse publique appartient à la Freebox et plus au serveur.

> Une solution que je pourrais mettre en oeuvre est de modifier le DNS
> pour créer des vues, mais j'avoue que ça ne me plais pas trop.

C'est pourtant une bonne solution. De toute façon si ton serveur DNS est 
accessible de l'extérieur pour gérer une ou plusieurs zones (sinon je ne 
vois pas pourquoi tu parlerais de vues) tu as déjà défini des vues 
interne et externe distinctes, non ? Tu utilises Bind ?

Une autre solution plus simple, si les autres postes restent derrière le 
serveur/firewall qui leur sert de passerelle, c'est de faire de la 
redirection avec la cible REDIRECT d'iptables.

> J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
> problème. Je pense que la Freebox n'accepte pas de recevoir sur le
> côté LAN des demandes de connection vers le WAN, qu'elle devrait
> PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.

Le problème de la redirection NAT du LAN vers le LAN est un grand 
classique. Pour que ça marche, il faut que le dispositif qui fait le NAT 
remplisse plusieurs conditions supplémentaires par rapport au NAT 
classique entre WAN et LAN :
- le NAT destination (redirection de port) doit être opérationnel sur 
les paquets qui entrent par l'interface LAN ;
- le routage des paquets entrant et ressortant par l'interface LAN doit 
être opérationnel ;
- le NAT source (masquerading) doit être actif sur les paquets qui 
entrent et ressortent par l'interface WAN.

Les deux premières conditions sont évidentes. La troisième sert à faire 
en sorte que les paquets de réponse du serveur reviennent vers le 
routeur qui peut remettre l'adresse publique originale. Autrement le 
serveur enverrait la réponse avec son adresse privée directement au 
client qui attend une réponse de l'adresse publique.

Si une de ces conditions manque, ça ne peut pas marcher. Par contre je 
suis bien incapable de te dire si le mode routeur de la Freebox remplit 
ces conditions.