Re: serveur linux et configuration d'un vlan : IPTABLES

Startseite

Nachricht beantworten
Autor: anne.guilde@free.fr
Datum:  
To: ML Guilde
Alte Treads: Re: serveur linux et configuration d'un vlan : IPTABLES
Betreff: Re: serveur linux et configuration d'un vlan : IPTABLES
Le 18/02/2013 19:39, anne.guilde@??? a écrit :
> Le 17/02/2013 14:29, anne.guilde@??? a écrit :
>> Le but :
>> - que ma freebox communique avec ma freebox hd en passant par mon réseau
>> donc sans tirer un câble supplémentaire entre la freebox et la freebox
>> hd.
>> J'ai, chez moi, un serveur avec une distribution spécifique serveur :
>> smeserver
>> http://wiki.contribs.org
>>
>> Je précise ma freebox n'est pas en mode routeur
>> freebox - eth1- smeserver (mode routeur et passerelle) - eth0 - switch -
>> freebox hd / pc des utilisateurs
>>
>> Merci à Raphael qui a trouvé le lien et qui m'a aidé pour faire cela.
>> http://www.debian-fr.org/ponter-le-flux-tv-vlan100-entre-2-freebox-t21094.html
>>
>>
>>
>> je donne les commandes faites :
>>
>> debian :
>> --------
>>
>> modprobe 8021q
>> # creation des interfaces VLAN
>> vconfig add eth0 100
>> => Added VLAN with VID == 100 to IF -:eth0:-
>> vconfig add eth1 100
>> => Added VLAN with VID == 100 to IF -:eth1:-
>> # creation du pont
>> brctl addbr tv
>> # pontage des interfaces VLAN
>> brctl addif tv eth0.100
>> brctl addif tv eth1.100
>> # activation du pont et des interfaces VLAN
>> ifconfig tv up
>> ifconfig eth0.100 up
>> ifconfig eth2.100 up
>> # désactivation d'iptables pour le bridge
>> (trouvé dans le lien donné par Raphael : Quand cette interaction est
>> activée, ce qui est la situation par défaut (je le déplore), les paquets
>> IP qui traversent un pont sont soumis aux chaînes iptables. Si on ne
>> veut pas, plutôt que d'ajouter des règles iptables pour accepter ces
>> paquets on peut désactiver l'interaction en mettant le paramètre du
>> noyau (sysctl) net.bridge.bridge-nf-call-iptables à 0.)
>> sysctl -w net.bridge.bridge-nf-call-iptables=0
>>
>
>> Voilà pour configurer mais il y a un truc qui me tracassent :
>> Aucun bridge ne oasse par iptables avec ce que je viens de vous écrire
>> ci-dessus.
>>
>> J'ai essayé d'utiliser iptables, mais pas réussi.
>> J'ai donc ajouté la ligne 'net.bridge.bridge-nf-call-iptables = 0' au
>> fichier sysctl.conf.
>> Mais maintenant aucun bridge ne passe par iptables
>
>
> Si quelqu'un a une idée pour que la ligne dans le fichier sysctl.conf
> sysctl -w net.bridge.bridge-nf-call-iptables=0
> ne s'applique que pour le bridge tv.
>
> J'ai trouvé cela :
> Sinon, on peut le régler "manuellement" dans le fichier
> /etc/network/interfaces avec une options post-up dans la définition de
> l'interface br0.
> Code:
> auto br0
> (...)
> post-up sysctl -w net.bridge.bridge-nf-call-iptables=0
>
> Mon souci avec centos y-a pas de fichier interfaces
> On a cat /etc/sysconfig/network-scripts/ifcfg-tv et je sais pas comment
> mettre cette ligne post-up
>
> La deuxième solution serait de configurer avec iptables
> Mais je n'ai aucune idée des lignes à mettre.
>
> J'ai trouvé ce truc
> Paquets avant le routage (PREROUTING)
> Accepter sans condition Si l'interface d'entrée est tv
> iptables -t nat -A PREROUTING -i tv -j ACCEPT
> Paquets Entrants (INPUT)
> Accepter sans condition Si l'interface d'entrée est tv
> iptables -t nat -A INPUT -i tv -j ACCEPT
> Mais on a répondu à la personne que les règles iptables suggérées
> avaient peu de chance de marcher : elles sont ajoutées dans la table
> 'nat' qui n'est pas prévue pour faire du filtrage.
>
> Si vous avez une idées des règles à ajouter...


je reviens sur ce sujet...
Suite à une maj de mon serveur, plus de vlan...

J'ai remis en place grâce à ce post ;)

Je me suis mise à rechercher pour iptables et j'ai trouvé cela :
http://www.debian-fr.org/ponter-le-flux-tv-vlan100-entre-2-freebox-t21094.html

en gros :
------
Herumor a écrit:
avec iptables n'est il pas possible de faire le tri des paquet tag
VLAN100 et de les rediriger ?

Non, iptables agit sur la couche 3/réseau (IP) et 4/transport (TCP,
UDP...), alors que les VLAN sont dans la couche 2/liaison. Peut-être
avec ebtables en pontant directement eth0 et eth2, mais à mon avis ce
serait moins propre que la solution ci-dessus.
------

vous en pensez quoi?

Anne