Re: Transformer ma passerelle/fw/serveur en un simple serveur en DMZ

To: debian-user-french@lists.debian.org
Subject: Re: Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Sun, 21 Jan 2007 18:59:23 +0100
Message-id: <[🔎] 878xfwclc4.fsf@tourde.org>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 45B27119.50703@plouf.fr.eu.org> (Pascal Hambourg's message of "Sat, 20 Jan 2007 20:44:25 +0100")
References: <[🔎] 87tzylmz03.fsf@tourde.org> <[🔎] 45B27119.50703@plouf.fr.eu.org>

Le 13533ième jour après Epoch,
Pascal Hambourg écrivait:

> Salut,
>
> François TOURDE a écrit :
>> Je vais donc avoir 2 interfaces physiques sur le même réseau, l'une
>> avec une seule IP, correspondant à l'information "DMZ" de la freebox,
>> et l'autre avec les adresses IP de l'ancien réseau local.
>> Sachant que j'utilise une table de routage qui intègre le
>> périphérique
>> (en gros, routage par source, et routage par défaut sur ethX), quels
>> sont les soucis que je peux avoir lors de la bascule ?
>
> Ce n'est généralement pas une bonne idée d'avoir plusieurs interfaces
> sur le même réseau, et ça ne sert pas à grand chose.

Oui oui, je sais, mais c'est juste pour revenir facilement en arrière
et laisser mes règles de fw jouer avec le -i ethX pour différencier
intérieur et extérieur.

> Tu risques
> notamment de rencontrer des problèmes à cause de la résolution
> ARP. Par défaut, Linux considère que les adresses IP locales
> appartiennent à la machine, et pas à une interface en
> particulier. Donc les deux interfaces répondent aux requêtes ARP pour
> n'importe quelle adresse IP de la machine. Par conséquent, il y a une
> chance sur deux que les paquets reçus soient envoyés à la "mauvaise"
> interface, ce qui est gênant si le filtrage d'entrée est différent sur
> chaque interface. Pour éviter ça, il faut modifier la façon dont le
> noyau gère les requêtes ARP sur chaque interface avec les paramètres
> arp_filter et/ou arp_ignore dans
> /proc/sys/net/ipv4/conf/<interface>/. On doit aussi pouvoir faire la
> même chose avec des règles arptables.

Même si la machine n'est pas configurée pour faire de l'ip_forwarding?
(Je pense que la réponse est "oui", vu la notion d'appartenance de
l'ip à la machine plutôt qu'à l'interface).

Bon, du coup je vais plutôt refaire un pack de règles avec -i quand la
machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus
simple et je pense tout aussi efficace.

Subsiste tout de même le risque de recevoir des paquets forgés avec
l'adresse émettrice en .42 (ip choisie sur la FBX pour faire DMZ), et
qui dont seront "répondus" depuis ma machine locale vers l'IP .42, du
coup acceptés parce que venant du réseau local.

J'ai le vague souvenir d'une attaque de ce type là sur des modems ADSL
de type SpeedTouch.

Reply to:

Follow-Ups:
- Re: Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re: Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: Problème d'horloge sur un portable [Résolu]
Next by Date: Re: Configuration postfix + amavis + spamassassin
Previous by thread: Re: Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
Next by thread: Re: Transformer ma passerelle/fw/serveur en un simple serveur en DMZ
Index(es):
- Date
- Thread