Re: [HS] Mode routeur vs. Mode bridge sur une freebox
Salut,
François TOURDE a écrit :
Je cherche à basculer ma Freebox qui est en mode bridge pour le
moment, en mode routeur.
Peut-on savoir pourquoi, par curiosité ?
La raison souvent invoquée est de pouvoir supprimer le routeur/firewall
qui consomme, prend de la place et fait du bruit. Mais d'après ce que tu
as écris plus bas, ce n'est pas ton cas.
Tout ce qui concerne le firewall, le DHCP (que je continue à faire sur
mon serveur Debian), et autre DNS (que j'assure aussi) fonctionne
correctement, mais subsiste un petit souci:
Quand je bascule en mode routeur, les machines de mon réseau interne
ne peuvent plus se connecter à <ip_publique>:25 par exemple. En mode
bridge tout va bien, car le serveur Debian accepte de recevoir des
connections sur eth1 à destination de eth0.
En fait ce n'est pas ainsi qu'il faut voir les choses. Le serveur
accepte de recevoir sur eth1 des paquets à destination de *l'adresse* de
eth0. Et c'est tout-à-fait naturel : le fait d'affecter telle adresse à
telle interface relève plus de la facilité que d'une réelle obligation.
La machine a des interfaces réseau d'une part et des adresses IP d'autre
part, et en réalité on peut utiliser n'importe quelle adresse IP locale
avec n'importe quelle interface à l'exception de la plage 127.0.0.0/8
qui est réservée à l'interface de loopback. En dehors de cette
restriction, ton serveur se moque de savoir par quelle interface les
paquets passent, sauf si tu as mis en place des règles iptables de filtrage.
Quand la Freebox passe en routeur, la grosse différence est que
l'adresse publique appartient à la Freebox et plus au serveur.
Une solution que je pourrais mettre en oeuvre est de modifier le DNS
pour créer des vues, mais j'avoue que ça ne me plais pas trop.
C'est pourtant une bonne solution. De toute façon si ton serveur DNS est
accessible de l'extérieur pour gérer une ou plusieurs zones (sinon je ne
vois pas pourquoi tu parlerais de vues) tu as déjà défini des vues
interne et externe distinctes, non ? Tu utilises Bind ?
Une autre solution plus simple, si les autres postes restent derrière le
serveur/firewall qui leur sert de passerelle, c'est de faire de la
redirection avec la cible REDIRECT d'iptables.
J'ai besoin d'un coup de main pour comprendre d'où viens réellement le
problème. Je pense que la Freebox n'accepte pas de recevoir sur le
côté LAN des demandes de connection vers le WAN, qu'elle devrait
PREROUTER vers mon serveur DMZ, mais je voudrais en être sûr.
Le problème de la redirection NAT du LAN vers le LAN est un grand
classique. Pour que ça marche, il faut que le dispositif qui fait le NAT
remplisse plusieurs conditions supplémentaires par rapport au NAT
classique entre WAN et LAN :
- le NAT destination (redirection de port) doit être opérationnel sur
les paquets qui entrent par l'interface LAN ;
- le routage des paquets entrant et ressortant par l'interface LAN doit
être opérationnel ;
- le NAT source (masquerading) doit être actif sur les paquets qui
entrent et ressortent par l'interface WAN.
Les deux premières conditions sont évidentes. La troisième sert à faire
en sorte que les paquets de réponse du serveur reviennent vers le
routeur qui peut remettre l'adresse publique originale. Autrement le
serveur enverrait la réponse avec son adresse privée directement au
client qui attend une réponse de l'adresse publique.
Si une de ces conditions manque, ça ne peut pas marcher. Par contre je
suis bien incapable de te dire si le mode routeur de la Freebox remplit
ces conditions.
Reply to: