Aller au contenu

2 ponts pour la même interface


Messages recommandés

J'ai installé un pont wifi filtré chez moi pour les enfants:

  • la carte WIFI fait office de point d'accès
  • la carte réseau est sur la box
  • entre les deux: squid comme proxy

Pour cela, j'ai suivi le manuel:

  • la carte ethernet eth0 n'est pas configurée (pas d'IP)
  • la carte wifi wlan0 n'est pas configurée (pas d'IP)
  • un pont br0 est "au-dessus" des deux et c'est lui qui a une adresse statique
  • IP tables agit en firewall:
    • laisse passer tout traffic provenant du réseau local (donc en local les échanges de fichiers, affichage windows, sont OK)
    • envoie tout le traffic arrivant sur br0 et à destination du monde extérieur vers le proxy

Tout cela fonctionne sans problème.

 

Maintenant, je souhaite tester de nouvelles fonctionnalités. Comme je ne veux pas pourrir mon installation, j'ai mis en place des containers. Le problème c'est que si les containers se connectent à br0, ils sont filtrés.

 

Je pensais créer un deuxième pont "brx", dédié aux containers, non filtré. Je n'y arrive pas:

  • il refuse de connecter "brx" et br0
  • je n'arrive pas à faire ifup sur brx s'il est connecté à eth0

Dois-je réellement configurer iptables ou  squid pour ne plus filtrer les échanges http de chaque containers?

 

Ou y'a-t-il une solution simple et générique pour que chacun de mes containers ne soient plus filtrés?

Lien vers le commentaire
Partager sur d’autres sites

Bon, pour être franc j'ai pas tout compris. Notamment, qu'appelles-tu des containers ?

 

Les containers sont des pseudos-VM légères. Tu as plusieurs kernels qui se cotoient, et un des kernels devient "hyperviseur" avec droit de vie et de mort sur la VM.

Tu ne peux pas lancer un autre système d'exploitation, mais tes "machines" sont isolées. Cela permet de développer tranquillement sans risquer de pourrir l'installation "maître".

 

Pour plus d'infos, recherche "jails" pour FreeBSD et LXC pour Linux.

 

 

Pourquoi utilises-tu un proxy sur un pont filtrant ? Simple question ?

Pour les containers, aucune idée. Perso j'utilise les containers de manière "classique", après, faut peut-être voir du côte des problèmes courants des VM.

:chinois:

Parce que le pont filtrant laisse passer le proxy vers l'extérieur. En partant du point d'accès Wifi, c'est le seul endroit pour entrer ou sortir vers internet.

 

Le firewall protège de l'extérieur et empêche de contourner le proxy. Par exemple, jes suis en train de voir pour que mes chers enfants ne puissent même pas contourner le DNS. Le DNS sera celui que j'ai choisi. Il faudra qu'ils connaissent les adresse IP par coeur.

Le proxy lui décide si tu passes ou non vers internet. Et accessoirement, il met en cache, donc ça va plus vite.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Parce que le pont filtrant laisse passer le proxy vers l'extérieur. En partant du point d'accès Wifi, c'est le seul endroit pour entrer ou sortir vers internet.

 

Le firewall protège de l'extérieur et empêche de contourner le proxy. Par exemple, jes suis en train de voir pour que mes chers enfants ne puissent même pas contourner le DNS. Le DNS sera celui que j'ai choisi. Il faudra qu'ils connaissent les adresse IP par coeur.

Le proxy lui décide si tu passes ou non vers internet. Et accessoirement, il met en cache, donc ça va plus vite.

Ok. Un simple pont filtrant classique alors. Faute de deux interfaces, je n'en ai jamais mis en place, sauf pour faire mumuse, mais avec le wifi et l'Ethernet d'un portable, c'était pas top.

Lien vers le commentaire
Partager sur d’autres sites

Le retour retord du routeur raté.

 

Les deux ponts étaient en fait trop confus: les paquets se perdaient, les adresses IP volaient d'un pont à l'autre, j'ai tout remis à plat et maintenant j'ai un seul pont sur lequel les interface phy et virtuelles sont connectées.

 

Quelques petites règles sur iptables ont résolu la plupart des problèmes. Les problèmes restants sont résolus par des règles sur squid (notamment pour laisser passer les apt-get).

 

POur le moment, ça fait le taf, et c'est solide. Ca survi à la perte du wifi, de l'ethernet, la charge... Si ça ne suffit pas j'essaierai comme suggéré openvswitch.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...