[Linux-bruxelles] RE: (P'tit probleme de routeur) SpeedTouch Home debridage --> Pro

Philippe Teuwen philippe.teuwen at linuxbe.org
Ven 7 Sep 17:13:23 CEST 2001 

MISSON Didier a écrit :
 
> > Avant, j'avais une config du style firewall peaufiné à la main qui
> > "masqueradais" les autres éventuels PC
> > Question sécurité, en moyenne toutes les 10 minutes quand c'était calme,
> > j'avais des tentatives d'intrusions (ou juste des paquets perdus) qui se
> > pétaient la figure sur mon firewall.
> [MISSON Didier]
> pas vérifié ça... Faudrait que je regarde...
> Je regarde ça où ?
C'est à toi de le faire dans tes iptables,, avec destination des paquets
perdus 
-> -j LOG --log-level=DEBUG par exemple
Tu les retrouveras dans /var/log et si tu rajoutes comme moi un petit
kern.=debug /dev/tty10 dans /etc/syslog.conf
tu auras un dump des paquets sur tty10 à côté du dump total sur tty11


> > Avant, l'IP publique était attribuée à ta bécane (celle qui établissait
> > la connexion), maintenant c'est le SpeedTouch qui la reçoit et pour le
> > reste, il y va avec son NAT&PAT.
> [MISSON Didier]
> donc, même fonctionnalité
Oui sauf que c'est quand même une étape en plus pour l'éventuel intrus:
Faut passer d'abord le modem (ce qui était trivial en Bridge, ce l'est
nettement moins maintenant...) puis le firewall éventuel du PC

 
> > La sécurité se fait plutôt parce que tu décides toi-même quels ports
> > ouvrir à l'extérieur et sur quelle machine+port tu les mappes.
> [MISSON Didier]
> tu peux configurer souplement tt ça dans le SpeedTouch "pro" ?
> Mais... j'ai des doutes...
> Il y a des modules spéciaux pour permettre RealAudio, etc, et surtout le
> H323 (vidéo) qui pose problème !
> Le H323 n'est franchement pas facile à NATer...
> Si tu ouvres les ports manuellement dans le speed touch, tu auras
> obligatoirement 1 seul PC qui pourra faire de la vidéo conférence... (ou
> Voice sur ICQ, MSN, ou Netmeeting, ... ou OpenMeeting je crois...)
> Il existe des patchs pour arriver à avoir le H323 sur n'importe quel PC du
> Lan, mais tj 1 seul à la fois !
> Je suppose que ce n'est pas possible avec le Speed Touch, sauf si on modifie
> manuellement la table de mapping pour le port utilisé en H323...

Jette un oeil sur la doc du CLI du SpeedTouch Pro, ça te donnera une
idée des possibilités...
En deux mots:
[nat]=>:help create  
create : Create/define static NAT/PAT entry 

   protocol=IP protocol name or number> 
   inside_addr=<ipaddress> 
   [inside_port=TCP/UDP service name or port number>] 
   outside_addr=<ipaddress> 
   [outside_port=TCP/UDP service name or port number>] 

[nat]=>help bind
bind : Create protocol-helper/port binding 

   application=<string> 
   port=TCP/UDP service name or port number> 

[nat]=>bindlist
Application  Proto Port
FTP          tcp   21
RTSP         tcp   554
IRC          tcp   6667
RAUDIO(PNA)  tcp   7070

[nat]=>help defserver
defserver : Define default NAT/PAT server 

   [addr=<ipaddress>] 

La dernière commande permet le cas échéant de balancer tous les paquets
inconnus sur un serveur de ton réseau, auquel cas on revient un peu à la
solution "Bridge"

A+
Phil

Plus d'informations sur la liste de diffusion Linux-bruxelles