[résolu] Routeur LINUX

[xandre]

GROS EDIT :

Bojour a tous et toutes,

Voila on m'a filé un projet de monter un PC routeur avec 4 cartes reseaux le tout sous LINUX Bien sur.

Bon ca c'est tres interessant mais j'ai jamais fait ca. Et je ne trouve quasiment rien sur le oueb ou je cherche mal.

Ma bécane : athlon 1ghz, 380Mo Ram, 10 Go, 5 cartes reseau, gforce 2 MX (ca c'est vraiment pour dire car l'interface graphique je l'installerai pas)

Distrib choisie : Debian Sarge 3.1

Mon objectif :

Tout simplement avoir un routeur avec table STATIQUE (pas de RIP ni OSPF) sans meme un firewall pour relier 4 reseaux entre eux. Et parmi un de ces 4 reseaux (10.8.20.0) se trouve un routeur Cisco (10.8.20.1) pour sortir sur le web.

Ce que j'ai fait mais ca ne marche pas :

mdifier le fichier /etc/network/options/

ip_forward=YES

/etc/network/interfaces

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface

auto lo eth0 eth1 eth2 eth3

iface lo inet loopback

# The primary network interface

iface eth0 inet static

address 10.8.20.241

netmask 255.255.255.0

up ip route add 10.8.20.0/24 via 10.8.20.241

iface eth1 inet static

address 172.8.20.1

netmask 255.255.255.0

up ip route add 172.8.20.0/24 via 172.8.20.1

iface eth2 inet static

address 192.168.1.1

netmask 255.255.255.0

up ip route add 192.168.1.0/24 via 192.168.1.1

iface eth3 inet static

address 192.168.2.1

netmask 255.255.255.0

up ip route add 192.168.2.0/24 via 192.168.2.1

La commande "route" affiche :

Table de routage IP du noyau

Destination Passerelle Genmask Indic Metric Ref Use Iface

10.8.20.0 * 255.255.255.0 U 0 0 0 eth0

172.8.20.0 * 255.255.255.0 U 0 0 0 eth1

192.168.2.0 * 255.255.255.0 U 0 0 0 eth3

192.168.1.0 * 255.255.255.0 U 0 0 0 eth2

default 10.8.20.1 0.0.0.0 UG 0 0 0 eth0

Comment dois-je faire?

Suis je obligé de mettre en place Iptables rien que pour faire ca ?

D'avance merci.

[Sandeman]

C'est marrant, c'était l'un des problèmes que se posait Dark26 quand on a commencé à monter ce forum ... :)

tu devrais jeter un coup d'oeil aux vieux vieux articles

[zoto]

Salut

Je te conseille deja de te tourner ver shorewall .

En fait sous linux c'est le firewall iptable/netfilter qui gere le routage statique .

Il existe plein de maniere de le configurer cela va du script shell fait maison a l'appli graphique.

Shorewall est une applicatiion en shell .

Les commandes sont plus simples que celle de iptables, mais shorewall n'est en faire qu'une surcouche de iptables.

sinon routeur linux, que ce soit a 3,4 ou 5 interfaces les principes de base restent les memes .

Si tu veux du routage plus avancé comme du routage dyamique tourne tois ver quagga qui gere plusieur type de routage comme RIS ou OSPF.

a+

[AHP_Nils]

Si tu veux juste faire du NAT, installe shorewall et webmin, et roulez jeunesse

Si tu veux faire du vrai routage, va voir du côté du démon routed, ou du projet zebra, et renseigne-toi sur les protocoles RIP (en v2 de préférence) et OSPF.

[zoto]

Salut

Zebra n'est plus maintenu, faut passer a son fork quagga .

De plus RIP n'est peut etre pas ce qui ce fait de mieux du point de vue routage dynamique .

OSPF est certainement plus performant.

a+

[Sandeman]

M'enfin de là à parler tout de suite OSPF à quelqu'un qui débute sur le routage Linux ... restons souples :)

par contre quelque soit le nombre d'interfaces, un routeur (ou une Linux) reste un routeur : une série de routes (connectées, statiques, dynamiques ...).

J'ai sous les yeux un Linux qui n'a pas moins de 18 interfaces ... et une belle table de routage, mais ça reste gérable (petite précision il y a 18 interfaces logiques, une dans chaque VLAN sur un trunk).

[xandre]

Merci pour vos reponses.

Et effectivement cette bete ne servira qu'a faire du NAT. Pas d'ospf ou de rip.

Juste une table de routage statique.

Comme vous vous en doutez ceci servirait a separer divers reseaux.

Donc pour l'instant shorewall et webmin... j'essaye tout ca.

Et j'essaie aussi de trouver le topic de dark26.

Merci.

[xandre]

Ce post pour les newbs comme moi pas pour ceux qui m'ont gentiment repondu...

(Trouve pas les vieux posts de Dark26 concernant mon probleme ya trop a trier j'ai la flemme )

Ya moyen aussi d'installer un module webmin iptables

apt-get install webmin-firewall

/etc/init.d.webmin stop

/etc/init.d.webmin start

Si vous voulez d'autre modules webmin sous debian :

apt-cache search webmin

Et voila un iptables avec une belle interface graphique. Bon par contre faut que je regarde plus en detail si ca peut pallier tout ou grande partie de la saisie manuelle de regles.

Moi de mon coté c'est la table NAT qui va m'interesser.

[nofun]

si tu es intéressé directement par iptables (c'est pas mal de savoir ce qu'on fait), voilà un peu de doc :

http://www.linux-france.org/prj/inetdoc/gu...rial/index.html (fr)

http://www.linux-france.org/prj/inetdoc/gu...iltering-HOWTO/ (fr)

http://www.linux-france.org/prj/inetdoc/guides/NAT-HOWTO/ (fr)

http://www.linux-france.org/prj/inetdoc/liens/

http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html (en)

http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/index.html (en)

http://www.netfilter.org/documentation/HOWTO/fr/ (fr)

http://christian.caleca.free.fr/netfilter/index.htm (fr)

http://olivieraj.free.fr/fr/linux/information/firewall/ (fr)

http://lea-linux.org/cached/index/Reseau-secu-iptables.html# (fr)

http://www.c-sait.net/cours/iptables.php (fr)

http://www.c-sait.net/cours/partage_connexion.php (fr)

http://ipsysctl-tutorial.frozentux.net/ips...l-tutorial.html (en)

[Sandeman]

Regardes aussi du côté de fwbuilder ... en plus ça t'entrainerai si à l'avenir tu dois bosser sur un fw commercial (Pix, Checkpoint, Fortigate, par exemple)

[ggbce]

Intéressant comme sujet ! Si tu veux trouver de vieux messages d'une personnes spécifique sur le forum, tu n'as qu'à trouver un message de Dark26 (n'importe lequel) tu cliques sur le nickname au-lieu du message et tu auras la fiche à Dark26, tu pourras depuis le bouton OPTIONS de cette page sélectionner "Voir tous les sujets de cet utilisateur" !!!

Bye

[xandre]

J'ai fait un gros EDIT sur le sujet.

Et je ne m'en sors pas

J'ai du louper quelque chose. Si une ame charitable veut bien me filer un coup de main je lui en serai fort gré.

[zoto]

salut

Donne ton probleme :)

Sinon on ne pourra pas beaucoup t'aider

a+

[xandre]

salut

Donne ton probleme :)

Sinon on ne pourra pas beaucoup t'aider

a+

Regarde mon Premier post. C'est lui que j'ai édité car le problème a évolué et mon post ne representait plus parfaitement mon problème.

En gros 4 cartes reseau sur une distrib' Debian comment faire pour que 3 cartes redirigent sur 1. J'attaque petit a petit. Routage statique d'abord. J'aimerais eviter d'avoir a activer Netfilter/Iptables rien que pour ca. Je pense que c'est faisable rien que par un routage statique. Pour mes fichiers de configuration. Voir tout en haut.

Ensuite je me pencherai sur Iptables ou Shorewall pour établir des regles d'acces entre ces 4 cartes. Mais la c'est un gros morceau donc j'y vais mollo.

Oui je sais ca sent Ipcop a plein nez mais ici il ne sera pas question d'un reseau rouge ou bleu.

[Sandeman]

attends ton pb est encore relativement simple (comparé à ce que je gère ou ai pu gérer comme routage - bah oui j'ai même donné des cours de routage en Fac et pourtant j'ai déserté le topic "Internet et réseaux" faut dire que ça volait pas haut.)

mes slides commencent par : le routage c'est 90% de reflexion et de travail sur le papier, 10% de configuration des routeurs. Rien ne vaut un bon schéma.

Alors, sous Linux, en 2.4 comme en 2.6, tu n'as pas besoin de créer une route pour un interface, donc il n'y a pas besoin de commande "up /sbin/route" pour indiquer comment router sur ton interface. L'OS créé automatiquement une route dite "connectée" qui dit que tous les packets à destination du subnet de l'interface que tu monte doivent être envoyés vers cette interface.

si tu monte une interface eth0 en 172.8.20.1 netmask 255.255.255.0, il se créé automatiquement une route statique qui dit "tous les paquets en 172.8.20.x sont a envoyer sur eth0 (et NON PAS sur 172.8.20.1)" : Ethernet fonctionne comme ça, on envoie les paquets sur l'interface et chacun y récupère ses petits.

ensuite tu peux créer des routes "statiques". Les routes statiques disent "tous les paquets à destination de telle réseau doivent être envoyés via telle passerelle".

par exemple si tu veux que tous les paquets à destination de 81.0.0.0/8 soient envoyés via un routeur connecté eu même réseau que ton eth0 et dont l'IP est 172.8.20.20, tu fais route add -net 81.0.0.0 netmask 255.0.0.0 gw 172.8.20.20.

Mais en aucun cas le routeur n'a de routes qui pointent vers lui-même (sauf, diront avec raison les puristes, une route vers la loopback).

Voilà, bon je ne remets pas en cause ton niveau ou tes connaissances même si je suis redescendu au niveau ras des paquerettes en terme de concepts mais le plus important est de bien poser les choses.

Et de commencer par faire un schéma et de se mettre à la place des paquets

[zoto]

Salut

Sandeman ta pas des liens sur le routage .

Moi vouloir etre admin réseaux, donc je bosse tous ce qui me passe sous la main .

Merci .

a+

[Sandeman]

j'ai jamais trouvé grand chose pour apprendre c'est pour ça que j'ai écrit mes propres docs ...

sinon y'a une bonne solution : un stage dans ma boite mais cette année c'est un peu booké ...

[zoto]

j'ai jamais trouvé grand chose pour apprendre c'est pour ça que j'ai écrit mes propres docs ...

sinon y'a une bonne solution : un stage dans ma boite mais cette année c'est un peu booké ...

Salut

Oué et moi je suis un peu booké aussi .

Bref, dommage, j'aurais bien aimé :( .

a+

[Sandeman]

PM, je t'enverrai une doc sur le routage et la config des routeurs Cisco, déjà ... un beau roman ( 100k de texte, IIRW )

[xandre]

Merci pour ta reponse Sandeman. Etant autodidacte en informatique, toute information m'est tres utile.

Et en fait je me suis creusé la tete et j'ai bidouillé la table de routage pour rien.

Vous savez pourquoi ?

Parce que une des cartes reseau etait foireuse !!!!

Elle envoie les les paquets mais ne recoit rien la salo** ! Donc je pinguais a partir de cette carte mais quand je la pinguais elle. Elle ne repondait pas. Probleme de matos.

Alors forcément je l'ai viré et remplacé. Alors ensuite comme tu le disais Sandeman dans ton explication, les paquets partaient tout seuls comme des grands la ou il faut a partir du moment ou mon fichier ip_forward "etait a 1".

J'ai rien eu a faire. SAuf a indiquer la passerelle sortant sur Internet en default.

Donc pour moi c'est résolu.

Merci a vous qui m'avez repondu.

[Eagle1]

trop compliqué pour moi mais à terme 'jaimerai savoir faire ça