François TOURDE a écrit :
Je cherche à basculer ma Freebox qui est en mode bridge pour le moment, en mode routeur.Peut-on savoir pourquoi, par curiosité ?- Je pourrais facilement faire du multivision sans inclure des modules supplémentaires dans mon vieux noyau (conn tracking RTSP par exemple)
Quel est le problème en mode normal ? Et en quoi ce problème sera-t-il résolu par le passage de la Freebox en mode routeur si les postes restent derrière le serveur/firewall ?
- Mon fils n'étant pas encore assez formé pour gérer iptables, il pourra gérer son [Low|High]ID sur la mule lui-même :)
Même question que pour ci-dessus.
- Mon serveur étant d'un autre âge, sa position "critique" pour l'accès au net me gêne un peu
Ça laisse entendre que tu deplacerais les postes de derrière le serveur à derrière la Freebox ?
[Définir des "vues" DNS interne et externe]
C'est pourtant une bonne solution. De toute façon si ton serveur DNS est accessible de l'extérieur pour gérer une ou plusieurs zones (sinon je ne vois pas pourquoi tu parlerais de vues) tu as déjà défini des vues interne et externe distinctes, non ? Tu utilises Bind ?Oui, avec Bind. Non, justement, je n'ai pas eu besoin de mettre de vues, et j'avoue que cette solution, qui va "dupliquer" certaines infos de DNS, ne me branche pas des masses.
Certes, mais ce n'est pas bien méchant si le nombre et la taille des zones est modeste. Je mis en place deux vues interne et externe sur mon serveur DNS pour une raison de sécurité, qui n'a rien à voir avec la fourniture de réponses différentes selon la provenance des requêtes : même si on désactive la récursion pour les requêtes externes, les données mises en cache par les requêtes internes sont accessible de l'extérieur. Ceci peut constituer une fuite d'information, qui a notamment été exploitée par le chercheur en sécurité informatique Dan Kaminsky pour évaluer le nombre de réseaux contenant au moins une machine sur laquelle était installé le fameux rootkit de Sony (http://http://www.doxpara.com/?q=sony). Au moins avec les vues, chaque vue a son propre cache.
Une autre solution plus simple, si les autres postes restent derrière le serveur/firewall qui leur sert de passerelle, c'est de faire de la redirection avec la cible REDIRECT d'iptables.Très juste. J'avoue que ça serait plus simple. Une simple règle de DNAT et le tour est joué pour moi.
Mais ça ne marchera pas pour les postes qui sont directement derrière la Freebox.