vosinformations.com

Script pour pont filtrant

vince — 2008-12-23T13:03:38Z

Un script est nécessaire pour automatiser le montage du pont.
Adaptez le à votre configuration.

Dans /etc/init.d ajouter le fichier bridghe.sh suivant :
(A aménager selon votre configuration)

#!/bin/bash
 PATH="/sbin:/usr/sbin:/usr/local/sbin";
 slaveIfs="1 2 3 4 6 7 8 9 10";
 cmd="$1";
 [ -z "$cmd" ] && cmd="start";
 case "$cmd" in
 start)
 ifconfig eth1 0.0.0.0 promisc;
 ifconfig eth2 0.0.0.0 promisc;
 brctl addbr br0;
 brctl addif br0 eth1;
 brctl addif br0 eth2;
 echo "1" > /proc/sys/net/ipv4/ip_forward;
 brctl sethello br0 1;
 brctl setmaxage br0 4;
 brctl setfd br0 4;
 brctl stp br0 on;
 ifconfig br0 up;
 ;;
 stop)
 brctl delif br0 eth1;
 brctl delif br0 eth2;
 ifconfig br0 down;
 brctl delbr br0;
 ifconfig eth1 0.0.0.0 promisc up;
 ifconfig eth2 0.0.0.0 promisc up;
 ;;
 restart,reload)
 $0 stop;
 sleep 3;
 $0 start;
 ;;
 esac;

Lui donner les droits nécessaires :
chmod 700 /etc/init.d/bridge.sh

pour le charger automatiquement au démarrage : ln -s /etc/init.d/bridge.sh /etc/rc2.d/S98bridge.sh

Editer le fichier /etc/network/interfaces et ajouter uniquement :

iface br0 inet manual
 bridge_ports eth1 eth2
 bridge_maxwait 0

Installation du pont filtrant

vince — 2008-12-23T13:03:35Z

Quelques commandes suffisent à le construire.

Activer l'ip forwarding par la commande (en utilisateur root) :

echo 1 >/proc/sys/net/ipv4/ip_forward

La commande
cat /proc/sys/net/ipv4/ip_forward doit renvoyer : 1.

Pour l'activer automatiquement au démarrage, éditer le fichier /etc/sysctl.conf et décommenter la ligne comprenant : net.ipv4.conf.default.forwarding=1

On passe à la création du pont lui-même.

On installe le paquet bridge-utils : apt-get install bridge-utils

Le pont n'a ni besoin d'adresse ip ou même mac pour son fonctionnement, elles sont donc retirées.
Les cartes sont basculées en mode promisc pour leur permettre d'écouter la totalité du réseau.
( -> sur mon système les cartes utilisées sont eht1 et eth2, adaptez suivant votre configuration).

 ifconfig eth1 0.0.0.0 promisc
 ifconfig eth2 0.0.0.0 promisc

On construit le pont en le nommant :

brctl addbr br0

On lui adjoint nos deux cartes réseau :

 brctl addif br0 eth1
 brctl addif br0 eth2

quelques options :

 brctl sethello br0 1
 brctl setmaxage br0 4
 brctl setfd br0 4
 brctl stp br0 on

Ne reste plus qu'à l'activer :

ifconfig br0 up

br0 doit être visible après un ifconfig

Relier vos interfaces avec des câbles croisés et testez par des pings.
Le pont est invisible sur un traceroute.

Ne reste plus qu'à configurer le firewall.... une autre histoire.

Commandes brctl

vince — 2008-12-23T13:03:32Z

Commandes brctl :

Syntaxe : brctl

addbr ajouter/créer un pont

delbr supprimer un pont

addif ajouter/joindre une interface au pont

delif supprimer/disjoindre une interface au pont.

setageing précise le temps de rétention des adresses MAC

setbridgeprio indique l'importance, le degré de priorité du pont (précision inutile si le système n'en comporte qu'un seul)

setfd définit le forwarding delay, la durée d'attente avant de changer d'état, ce qui permet d'attendre que tous les éléments du bridge soient prêts à changer d'état.

sethello fixe l'intervalle de temps entre l'émission par le pont des paquets envoyés pour se déclarer.

setmaxage indique la durée avant que le réseau ne modifie sa configuration.
La valeur doit toujours être supérieure 2, additionnée à la variable sethello -> 2 + sethello.

setpathcost permet de régler la préférence de l'utilisation des ressources d'un pont donné (par rapport aux autres).

setportprio définit la priorité d'un port sur un pont particulier.

show liste les ponts présents sur le système.

showmacs affiche la liste des adresses mac

showstp affiche les statistiques du pont sélectionné.

stp {on|off} démarre/stoppe les statistiques du pont.

-> nom du pont (br0 dans mon cas).
-> nom de l'interface (ici eth1 et eth2).
-> temps exprimé en secondes.
-> port concerné par l'option.
-> vitesse du pont, plus le chiffre est bas, plus la priorité est importante.
-> priorité, plus le chiffre est bas, plus la priorité est importante (0 à 255)

Remarques :

L'utilisation des priorités est utile si plusieurs ponts sont présents sur le même système.

Description du pont filtrant

vince — 2008-12-23T13:03:28Z

Le Bridge effectue une interconnexion au niveau 2, il agit au niveau des trames, il diffère du routeur qui retransmet les paquets ip. Le pont filtrant est invisible au niveau ip (il n'en a pas), ce qui lui confère un niveau de filtrage plus bas niveau.

Le pont écoute toute l'activité de chaque sous-réseau auquel il est connecté, les stocke en mémoire et les redirige vers le (ou les) sous-réseaux concernés. Il n'a pas besoin d'adresse MAC (donc pas besoin d'adresse IP non plus) pour fonctionner, et est donc totalement indétectable.

Avantages :

un seul firewall à paramétrer pour tous le sous-réseau, inutile de s'afférer sur chaque poste.
firewall redoutable, car invisible sur le réseau

Inconvénients :

un unique firewall à paramétrer (le pont), des réglages trop laxistes peuvent permettre des intrusions, ou s'ils s'avèrent trop sévères supprimer des services.

un reboot, panne du système... entraîne une perte de immédiate de connexion.

Prérequis :

un noyau linux récent.
la maîtrise poussée d'iptables (FORTEMENT recommandée).

1 pc avec au minimum 2 cartes réseaux, 3 est l'idéal.
- 2 pour la construction du bridge.
- 1 pour l'exploitation normale du système.
  L'âge du capitaine importe peu, suffit qu'il soit stable (debian).

2 câbles croisés (les droits ne fonctionneront pas).

Conseils :

être présent physiquement sur le système à bridger : la création du pont entraînera une perte de connexion.
repérer précisément les cartes réseau (s'il en existe plus de 2)
paramétrer finement le firewall en reprenant les spécificités de chaque machine présente sur le sous-réseau (port à ouvrir, redirection nat, flux vidéo....)
s'assurer que le sous-réseau n'est pas utilisé avant un reboot.