#1 Le 11/08/2007, à 22:34
- phlinux
[Résolu en partie] Problème de configuration d'un bridge
Bonjour,
je viens de compiler virtualbox (le package n'est pas dispo pour AMD64) et installé un guest avec XP. Cela fonctionne très bien ... sauf que je suis infoutu de démarrer un bridge pour faire communiquer mon host avec le guest.
J'ai suivi des docs de virtualbox, d'ubuntu et rien y fait.
Je ne suis pas trés calé sur la partie réseau et je pense que je passe à côté d'indices.
Si quelqu'un pouvait éclairer ma lanterne ....
merci par avance, car je sèche depuis ce matin
Je suis dans la config suivante :
internet <--> Routeur ADSL (NAT) <--> host (ubuntu 6.06 à jour)
Je dispose d'une @IP fixe (et une seule carte réseau : eth0)
Je souhaite que mon le guest soit vu sur le reseau du host
Pour installer le bridge, j'ai utilisé :
modprobe tun
chgrp vboxuser /dev/net/tun
chmod 0660 /dev/net/tun
tunctl -t tap0 -u moi
brctl addbr br0
ifconfig eth0 0.0.0.0 promisc up
brctl addif br0 eth0
dhclient br0
à l'issue de ces commandes j'ai :
Waiting for br0 to get ready (MAXWAIT is 76 seconds).
Internet Systems Consortium DHCP Client V3.0.3
Copyright 2004-2005 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/products/DHCPListening on LPF/br0/00:18:8b:83:c1:71
Sending on LPF/br0/00:18:8b:83:c1:71
Sending on Socket/fallback
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 5
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 12
DHCPDISCOVER on br0 to 255.255.255.255 port 67 interval 8
......
break :-(
Je n'ai plus accès à internet dès ce moment et ifconfig me donne :
ifconfig me donne :
br0 Lien encap:Ethernet HWaddr 00:78:8B:83:C1:71
adr inet6: xxxx::xxxx:xxxx:xxxx:xxxx/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:17 erreurs:0 :0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:782 (782.0 b) Octets transmis:468 (468.0 b)eth0 Lien encap:Ethernet HWaddr 00:78:8B:83:C1:71
inet adr:xxx.xxx.xxx.xxx Bcast:xxx.xxx.xxx.255 Masque:255.255.255.0
adr inet6: xxxx::xxxx:xxxx:xxxx:xxxx/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
Packets reçus:34688 erreurs:0 :0 overruns:0 frame:0
TX packets:29967 errors:0 dropped:0 overruns:0 carrier:0
collisions:6 lg file transmission:1000
Octets reçus:21921312 (20.9 MiB) Octets transmis:2713779 (2.5 MiB)
Interruption:5lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Packets reçus:17052 erreurs:0 :0 overruns:0 frame:0
TX packets:17052 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:2051944 (1.9 MiB) Octets transmis:2051944 (1.9 MiB)
Dernière modification par phlinux (Le 15/08/2007, à 17:38)
Ubuntu - Precise Pangolin 64bits
ATI Radeon HD5670
Hors ligne
#2 Le 12/08/2007, à 00:56
- tylhdar
Re : [Résolu en partie] Problème de configuration d'un bridge
edit :désoler j'ai lu trop vite
Dernière modification par tylhdar (Le 12/08/2007, à 00:58)
un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2
Hors ligne
#3 Le 12/08/2007, à 17:06
- phlinux
Re : [Résolu en partie] Problème de configuration d'un bridge
Ben quoi ??? cela n'inspire personne ???
Doit bien y avoir un p'tit quequ'chose qui cloche ou que je n'ai pas fait correctement dans ma manip ...
J'ai réssayé en arrêtant le fire wall itou....
Y'a des messages qui parlent d'IPV6.... est ce que cela peut indiquer un problème ? Faudrait il désinstaller les packages IPV6 (j'ai laissé la config reseau installée par défaut).
Ubuntu - Precise Pangolin 64bits
ATI Radeon HD5670
Hors ligne
#4 Le 12/08/2007, à 18:38
- tylhdar
Re : [Résolu en partie] Problème de configuration d'un bridge
pour ma part j'ai réussis a connecter une VB a l'aide de l'interfaces tap
le fichier /root/debian.fw a été créer avec fwbuilder...
pas de dhcp toute les adresse sont en static.
auto lo
iface lo inet loopbackauto eth0
iface eth0 inet static
pre-up /root/debian.fw
address 192.168.30.10
netmask 255.255.255.0
gateway 192.168.30.1auto tap0
iface tap0 inet static
pre-up chmod 666 /dev/net/tun
pre-up tunctl -t tap0 -u tyl
address 192.168.31.10
netmask 255.255.255.0
un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2
Hors ligne
#5 Le 12/08/2007, à 20:30
- phlinux
Re : [Résolu en partie] Problème de configuration d'un bridge
Merci pour cette config,
je vais essayer cela.
J'ai l'impression qu'il faut un dhcp server activé sur le host contrairement à ce que j'avais lu hier, mais je n'ai pas eu le temps d'essayer. En effet, mon problème arrivait toujours lors du passage de la commande dhcpclient. Je comprend après coup, que le client dhcp devait lancer une recherche de serveur et qu'il ne le trouvait pas (enfin, c'est mon explication...).
En fait j'ai utilisé cet après midi, un autre paramètrage, statique cette fois et qui semble fonctionner dans un sous réseau. (fourni avec la doc de VirtualBox ! je n'avais pas encore tout lu ).
tunctl -t tap0 -u moi
ip link set up dev tap0
brctl addbr br0
brctl addif br0 tap0
ip link set up dev br0
ip addr add 10.1.1.1/24 dev br0
ip route add 10.1.1.0/24 dev br0
Comme je ne souhaite pas en activer dhcpd, je vais effectivement plutôt me tourner vers cette solution....
je teste ta config ASAP,
merci encore
Ubuntu - Precise Pangolin 64bits
ATI Radeon HD5670
Hors ligne
#6 Le 12/08/2007, à 21:38
- phlinux
Re : [Résolu en partie] Problème de configuration d'un bridge
Eh bien, si je n'ai plus de perte de réseau lors de la config, et que tout apparement se configure correctement
eth0 Lien encap:Ethernet HWaddr 00:78:8B:83:C1:71
inet adr:A.B.C.1 Bcast:A.B.C.255 Masque:255.255.255.0
adr inet6: V::W:X:Y:Z/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
Packets reçus:65287 erreurs:0 :0 overruns:0 frame:0
TX packets:60474 errors:0 dropped:0 overruns:0 carrier:0
collisions:21 lg file transmission:1000
Octets reçus:36266279 (34.5 MiB) Octets transmis:5579874 (5.3 MiB)
Interruption:5lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Packets reçus:32439 erreurs:0 :0 overruns:0 frame:0
TX packets:32439 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:3456112 (3.2 MiB) Octets transmis:3456112 (3.2 MiB)tap0 Lien encap:Ethernet HWaddr 32:BA:05:4F:8E:4B
inet adr:A.B.C.100 Bcast:A.B.C.255 Masque:255.255.255.0
adr inet6: K::L:M:O:P/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:722 erreurs:0 :0 overruns:0 frame:0
TX packets:105 errors:0 dropped:55 overruns:0 carrier:0
collisions:0 lg file transmission:500
Octets reçus:71843 (70.1 KiB) Octets transmis:34110 (33.3 KiB)
...mis à par les drops dans tap0 mais c'est peut être normal
La config du guest est positionnée à A.B.C.100 (comme pour tap0)
et la passerelle, c'est l'IP de mon routeur qui se trouve en A.B.C.250
je ne joins pas mon routeur et donc encore moins internet .... (tempête sous un crâne)
Peux tu me dire ce qu'il y a dans ton fichier debian.fw ?
Merci encore
Dernière modification par phlinux (Le 12/08/2007, à 21:40)
Ubuntu - Precise Pangolin 64bits
ATI Radeon HD5670
Hors ligne
#7 Le 12/08/2007, à 22:25
- tylhdar
Re : [Résolu en partie] Problème de configuration d'un bridge
le fichier debian.fw est créer par fwbuilder j'ai jamais eu l'idée de regarder dedans...
#!/bin/sh
#
# This is automatically generated file. DO NOT MODIFY !
#
# Firewall Builder fwb_ipt v2.1.13-1
#
# Generated Sun Aug 12 00:37:13 2007 CEST by root
#
# files: * debian.fw
#
#
#
#
#
#
set -x
PATH="/sbin:/usr/sbin:/bin:/usr/bin:${PATH}"
export PATH
LSMOD="/sbin/lsmod"
MODPROBE="/sbin/modprobe"
IPTABLES="/sbin/iptables"
IPTABLES_RESTORE="/sbin/iptables-restore"
IP="/sbin/ip"
LOGGER="/usr/bin/logger"
#
# Prolog script
#
#
# End of prolog script
#
log() {
echo "$1"
test -x "$LOGGER" && $LOGGER -p info "$1"
}
check_file() {
test -r "$2" || {
echo "Can not find file $2 referenced by AddressTable object $1"
exit 1
}
}
va_num=1
add_addr() {
addr=$1
nm=$2
dev=$3
type=""
aadd=""
L=`$IP -4 link ls $dev | head -n1`
if test -n "$L"; then
OIFS=$IFS
IFS=" /:,<"
set $L
type=$4
IFS=$OIFS
if test "$type" = "NO-CARRIER"; then
type=$5
fi
L=`$IP -4 addr ls $dev to $addr | grep inet | grep -v :`
if test -n "$L"; then
OIFS=$IFS
IFS=" /"
set $L
aadd=$2
IFS=$OIFS
fi
fi
if test -z "$aadd"; then
if test "$type" = "POINTOPOINT"; then
$IP -4 addr add $addr dev $dev scope global label $dev:FWB${va_num}
va_num=`expr $va_num + 1`
fi
if test "$type" = "BROADCAST"; then
$IP -4 addr add $addr/$nm dev $dev brd + scope global label $dev:FWB${va_num}
va_num=`expr $va_num + 1`
fi
fi
}
getInterfaceVarName() {
echo $1 | sed 's/\./_/'
}
getaddr() {
dev=$1
name=$2
L=`$IP -4 addr show dev $dev | grep inet | grep -v :`
test -z "$L" && {
eval "$name=''"
return
}
OIFS=$IFS
IFS=" /"
set $L
eval "$name=$2"
IFS=$OIFS
}
getinterfaces() {
NAME=$1
$IP link show | grep ": $NAME" | while read L; do
OIFS=$IFS
IFS=" :"
set $L
IFS=$OIFS
echo $2
done
}
# increment ip address
incaddr()
{
n1=$4
n2=$3
n3=$2
n4=$1
vn1=`eval "echo \\$$n1"`
R=`expr $vn1 \< 255`
if test $R = "1"; then
eval "$n1=`expr $vn1 + 1`"
else
eval "$n1=0"
incaddr XX $n4 $n3 $n2
fi
}
if $IP link ls >/dev/null 2>&1; then
echo;
else
echo "iproute not found"
exit 1
fi
MODULES_DIR="/lib/modules/`uname -r`/kernel/net/"
MODULES=`find $MODULES_DIR -name '*conntrack*'|sed -e 's/^.*\///' -e 's/\([^\.]\)\..*/\1/'`
for module in $MODULES; do
if $LSMOD | grep ${module} >/dev/null; then continue; fi
$MODPROBE ${module} || exit 1
done
# Using 0 address table files
INTERFACES="eth0 lo tap0 tap1 tap2 "
for i in $INTERFACES ; do
$IP link show "$i" > /dev/null 2>&1 || {
log "Interface $i does not exist"
exit 1
}
done
# Configure interfaces
$IP -4 neigh flush dev eth0 >/dev/null 2>&1
$IP -4 addr flush dev eth0 secondary label "eth0:FWB*" >/dev/null 2>&1
$IP -4 neigh flush dev tap0 >/dev/null 2>&1
$IP -4 addr flush dev tap0 secondary label "tap0:FWB*" >/dev/null 2>&1
$IP -4 neigh flush dev tap1 >/dev/null 2>&1
$IP -4 addr flush dev tap1 secondary label "tap1:FWB*" >/dev/null 2>&1
$IP -4 neigh flush dev tap2 >/dev/null 2>&1
$IP -4 addr flush dev tap2 secondary label "tap2:FWB*" >/dev/null 2>&1
add_addr 192.168.30.11 24 eth0
$IP link set eth0 up
add_addr 127.0.0.1 8 lo
$IP link set lo up
add_addr 192.168.31.10 24 tap0
$IP link set tap0 up
add_addr 192.168.32.10 24 tap1
$IP link set tap1 up
add_addr 192.168.33.10 24 tap2
$IP link set tap2 up
# Add virtual addresses for NAT rules
log 'Activating firewall script generated Sun Aug 12 00:37:13 2007 by root'
$IPTABLES -P OUTPUT DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
ip6tables -L -n > /dev/null 2>&1 && {
ip6tables -P OUTPUT DROP
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
}
cat /proc/net/ip_tables_names | while read table; do
$IPTABLES -t $table -L -n | while read c chain rest; do
if test "X$c" = "XChain" ; then
$IPTABLES -t $table -F $chain
fi
done
$IPTABLES -t $table -X
done
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# drop TCP sessions opened prior firewall restart
#
$IPTABLES -A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
$IPTABLES -A OUTPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
$IPTABLES -A FORWARD -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#
# Rule 0 (lo)
#
echo "Rule 0 (lo)"
#
#
#
$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT
#
# Rule 3 (global)
#
echo "Rule 3 (global)"
#
#
#
$IPTABLES -N Cid46368B4E16872.0
$IPTABLES -A FORWARD -s 87.98.187.65 -m state --state NEW -j Cid46368B4E16872.0
$IPTABLES -A FORWARD -s 82.211.81.143 -m state --state NEW -j Cid46368B4E16872.0
$IPTABLES -A FORWARD -s 158.64.60.199 -m state --state NEW -j Cid46368B4E16872.0
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.33.10 -j ACCEPT
$IPTABLES -A INPUT -s 87.98.187.65 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -s 82.211.81.143 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -s 158.64.60.199 -m state --state NEW -j ACCEPT
#
# Rule 4 (global)
#
echo "Rule 4 (global)"
#
#
#
$IPTABLES -N Cid46368AF716872.0
$IPTABLES -A FORWARD -d 87.98.187.65 -m state --state NEW -j Cid46368AF716872.0
$IPTABLES -A FORWARD -d 82.211.81.143 -m state --state NEW -j Cid46368AF716872.0
$IPTABLES -A FORWARD -d 158.64.60.199 -m state --state NEW -j Cid46368AF716872.0
$IPTABLES -A Cid46368AF716872.0 -s 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid46368AF716872.0 -s 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid46368AF716872.0 -s 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid46368AF716872.0 -s 192.168.33.10 -j ACCEPT
$IPTABLES -A OUTPUT -d 87.98.187.65 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -d 82.211.81.143 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -d 158.64.60.199 -m state --state NEW -j ACCEPT
#
# Rule 5 (global)
#
echo "Rule 5 (global)"
#
# clients sur internet
# serveurs sur le pc
#
$IPTABLES -N Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.30.11 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.31.10 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.32.10 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.33.10 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -N Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 11/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 11/1 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 0/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 3 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p tcp -m tcp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p tcp -m tcp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p udp -m udp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p udp -m udp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -N Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.30.11 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.31.10 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.32.10 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.33.10 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 11/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 11/1 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 0/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 3 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p tcp -m tcp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p tcp -m tcp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p udp -m udp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p udp -m udp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -N Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.30.11 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.31.10 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.32.10 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.33.10 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 11/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 11/1 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 0/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 3 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p tcp -m tcp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p tcp -m tcp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p udp -m udp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p udp -m udp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.0 -s 192.168.30.11 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.31.10 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.32.10 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.33.10 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.31.0/24 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.32.0/24 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.33.0/24 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -j ACCEPT
#
# Rule 6 (global)
#
echo "Rule 6 (global)"
#
# clients sur le pc
# serveurs sur internet
#
$IPTABLES -N Cid463687DD16289.1
$IPTABLES -A INPUT -p tcp -m tcp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p tcp -m tcp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports 53,80,443,110,25 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p udp -m udp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p udp -m udp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p udp -m udp -m multiport --dports 53,80,443 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -N Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.30.11 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.31.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.32.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.33.10 -j Cid463687DD16289.0
$IPTABLES -N Cid463687DD16289.2
$IPTABLES -A FORWARD -p tcp -m tcp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p tcp -m tcp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p tcp -m tcp -m multiport --dports 53,80,443,110,25 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p udp -m udp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p udp -m udp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p udp -m udp -m multiport --dports 53,80,443 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A Cid463687DD16289.2 -s 192.168.30.11 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.2 -s 192.168.31.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.2 -s 192.168.32.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.2 -s 192.168.33.10 -j Cid463687DD16289.0
$IPTABLES -N Cid463687DD16289.3
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p tcp -m tcp -m multiport --dports 53,80,443,110,25 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p udp -m udp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p udp -m udp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p udp -m udp -m multiport --dports 53,80,443 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A Cid463687DD16289.3 -s 192.168.30.11 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.3 -s 192.168.31.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.3 -s 192.168.32.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.3 -s 192.168.33.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.0 -d 192.168.30.11 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.31.10 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.32.10 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.33.10 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.31.0/24 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.32.0/24 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.33.0/24 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -j ACCEPT
#
# Rule 9 (global)
#
echo "Rule 9 (global)"
#
#
#
$IPTABLES -N Cid4646B12210200.0
$IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A FORWARD -p udp -m udp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A FORWARD -p udp -m udp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A Cid4646B12210200.0 -s 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid4646B12210200.0 -s 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid4646B12210200.0 -s 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid4646B12210200.0 -s 192.168.33.10 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j ACCEPT
#
# Rule 14 (global)
#
echo "Rule 14 (global)"
#
# clients sur tap0
# serveurs sur le pc
#
$IPTABLES -N Cid463751B517801.0
$IPTABLES -A FORWARD -p tcp -m tcp --dport 137:139 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -A FORWARD -p tcp -m tcp --dport 445 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -A FORWARD -p udp -m udp --dport 137:139 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -N Cid463751B517801.1
$IPTABLES -A Cid463751B517801.0 -s 192.168.31.0/24 -j Cid463751B517801.1
$IPTABLES -A Cid463751B517801.0 -s 192.168.32.0/24 -j Cid463751B517801.1
$IPTABLES -A Cid463751B517801.0 -s 192.168.33.0/24 -j Cid463751B517801.1
$IPTABLES -A Cid463751B517801.1 -d 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid463751B517801.1 -d 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid463751B517801.1 -d 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid463751B517801.1 -d 192.168.33.10 -j ACCEPT
$IPTABLES -N Cid463751B517801.2
$IPTABLES -A INPUT -p tcp -m tcp --dport 137:139 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A INPUT -p tcp -m tcp --dport 445 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A INPUT -p udp -m udp --dport 137:139 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A INPUT -p udp -m udp --dport 445 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A Cid463751B517801.2 -s 192.168.31.0/24 -j ACCEPT
$IPTABLES -A Cid463751B517801.2 -s 192.168.32.0/24 -j ACCEPT
$IPTABLES -A Cid463751B517801.2 -s 192.168.33.0/24 -j ACCEPT
#
# Rule 15 (global)
#
echo "Rule 15 (global)"
#
#
#
$IPTABLES -A OUTPUT -j DROP
$IPTABLES -A INPUT -j DROP
$IPTABLES -A FORWARD -j DROP
#
#
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Epilog script
#
# End of epilog script
#
un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2
Hors ligne
#8 Le 12/08/2007, à 22:50
- phlinux
Re : [Résolu en partie] Problème de configuration d'un bridge
Merci,
cela ne m'a pas l'air trés lisible comme cela au premier coup d'oeil mais ce la correspond au paramétrage des iptables du firewall et au parametrage des interfaces...
je vais voir ce que je peux trouver dedans ce qu'il me manque.
Ubuntu - Precise Pangolin 64bits
ATI Radeon HD5670
Hors ligne
#9 Le 12/08/2007, à 23:29
- tylhdar
Re : [Résolu en partie] Problème de configuration d'un bridge
me suis tromper, le fichier ci-dessus permet pas à la vm d'accéder au réseau,
seulement le partage samba hôte↔guest
le bon:
#!/bin/sh
#
# This is automatically generated file. DO NOT MODIFY !
#
# Firewall Builder fwb_ipt v2.1.13-1
#
# Generated Sun Aug 12 23:25:43 2007 CEST by my
#
# files: * debian.fw
#
#
#
#
#
#
set -x
PATH="/sbin:/usr/sbin:/bin:/usr/bin:${PATH}"
export PATH
LSMOD="/sbin/lsmod"
MODPROBE="/sbin/modprobe"
IPTABLES="/sbin/iptables"
IPTABLES_RESTORE="/sbin/iptables-restore"
IP="/sbin/ip"
LOGGER="/usr/bin/logger"
#
# Prolog script
#
#
# End of prolog script
#
log() {
echo "$1"
test -x "$LOGGER" && $LOGGER -p info "$1"
}
check_file() {
test -r "$2" || {
echo "Can not find file $2 referenced by AddressTable object $1"
exit 1
}
}
va_num=1
add_addr() {
addr=$1
nm=$2
dev=$3
type=""
aadd=""
L=`$IP -4 link ls $dev | head -n1`
if test -n "$L"; then
OIFS=$IFS
IFS=" /:,<"
set $L
type=$4
IFS=$OIFS
if test "$type" = "NO-CARRIER"; then
type=$5
fi
L=`$IP -4 addr ls $dev to $addr | grep inet | grep -v :`
if test -n "$L"; then
OIFS=$IFS
IFS=" /"
set $L
aadd=$2
IFS=$OIFS
fi
fi
if test -z "$aadd"; then
if test "$type" = "POINTOPOINT"; then
$IP -4 addr add $addr dev $dev scope global label $dev:FWB${va_num}
va_num=`expr $va_num + 1`
fi
if test "$type" = "BROADCAST"; then
$IP -4 addr add $addr/$nm dev $dev brd + scope global label $dev:FWB${va_num}
va_num=`expr $va_num + 1`
fi
fi
}
getInterfaceVarName() {
echo $1 | sed 's/\./_/'
}
getaddr() {
dev=$1
name=$2
L=`$IP -4 addr show dev $dev | grep inet | grep -v :`
test -z "$L" && {
eval "$name=''"
return
}
OIFS=$IFS
IFS=" /"
set $L
eval "$name=$2"
IFS=$OIFS
}
getinterfaces() {
NAME=$1
$IP link show | grep ": $NAME" | while read L; do
OIFS=$IFS
IFS=" :"
set $L
IFS=$OIFS
echo $2
done
}
# increment ip address
incaddr()
{
n1=$4
n2=$3
n3=$2
n4=$1
vn1=`eval "echo \\$$n1"`
R=`expr $vn1 \< 255`
if test $R = "1"; then
eval "$n1=`expr $vn1 + 1`"
else
eval "$n1=0"
incaddr XX $n4 $n3 $n2
fi
}
if $IP link ls >/dev/null 2>&1; then
echo;
else
echo "iproute not found"
exit 1
fi
MODULES_DIR="/lib/modules/`uname -r`/kernel/net/"
MODULES=`find $MODULES_DIR -name '*conntrack*'|sed -e 's/^.*\///' -e 's/\([^\.]\)\..*/\1/'`
MODULES="$MODULES `find $MODULES_DIR -name '*nat*'|sed -e 's/^.*\///' -e 's/\([^\.]\)\..*/\1/'`"
for module in $MODULES; do
if $LSMOD | grep ${module} >/dev/null; then continue; fi
$MODPROBE ${module} || exit 1
done
# Using 0 address table files
INTERFACES="eth0 lo tap0 tap1 tap2 "
for i in $INTERFACES ; do
$IP link show "$i" > /dev/null 2>&1 || {
log "Interface $i does not exist"
exit 1
}
done
# Configure interfaces
$IP -4 neigh flush dev eth0 >/dev/null 2>&1
$IP -4 addr flush dev eth0 secondary label "eth0:FWB*" >/dev/null 2>&1
$IP -4 neigh flush dev tap0 >/dev/null 2>&1
$IP -4 addr flush dev tap0 secondary label "tap0:FWB*" >/dev/null 2>&1
$IP -4 neigh flush dev tap1 >/dev/null 2>&1
$IP -4 addr flush dev tap1 secondary label "tap1:FWB*" >/dev/null 2>&1
$IP -4 neigh flush dev tap2 >/dev/null 2>&1
$IP -4 addr flush dev tap2 secondary label "tap2:FWB*" >/dev/null 2>&1
add_addr 192.168.30.11 24 eth0
$IP link set eth0 up
add_addr 127.0.0.1 8 lo
$IP link set lo up
add_addr 192.168.31.10 24 tap0
$IP link set tap0 up
add_addr 192.168.32.10 24 tap1
$IP link set tap1 up
add_addr 192.168.33.10 24 tap2
$IP link set tap2 up
# Add virtual addresses for NAT rules
log 'Activating firewall script generated Sun Aug 12 23:25:43 2007 by my'
$IPTABLES -P OUTPUT DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
ip6tables -L -n > /dev/null 2>&1 && {
ip6tables -P OUTPUT DROP
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
}
cat /proc/net/ip_tables_names | while read table; do
$IPTABLES -t $table -L -n | while read c chain rest; do
if test "X$c" = "XChain" ; then
$IPTABLES -t $table -F $chain
fi
done
$IPTABLES -t $table -X
done
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# drop TCP sessions opened prior firewall restart
#
$IPTABLES -A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
$IPTABLES -A OUTPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
$IPTABLES -A FORWARD -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
#
# Rule 0 (NAT)
#
echo "Rule 0 (NAT)"
#
#
$IPTABLES -t nat -N Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.30.11 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.31.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.32.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d 192.168.33.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p udp -m udp -d 192.168.30.11 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p udp -m udp -d 192.168.31.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p udp -m udp -d 192.168.32.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A PREROUTING -p udp -m udp -d 192.168.33.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p tcp -m tcp -d 192.168.30.11 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p tcp -m tcp -d 192.168.31.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p tcp -m tcp -d 192.168.32.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p tcp -m tcp -d 192.168.33.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p udp -m udp -d 192.168.30.11 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p udp -m udp -d 192.168.31.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p udp -m udp -d 192.168.32.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A OUTPUT -p udp -m udp -d 192.168.33.10 --dport 8035:8036 -j Cid4637338117801.0
$IPTABLES -t nat -A Cid4637338117801.0 -s 192.168.30.11/24 -j RETURN
$IPTABLES -t nat -A Cid4637338117801.0 -s 192.168.31.0/24 -j RETURN
$IPTABLES -t nat -A Cid4637338117801.0 -s 192.168.32.0/24 -j RETURN
$IPTABLES -t nat -A Cid4637338117801.0 -s 192.168.33.0/24 -j RETURN
$IPTABLES -t nat -A Cid4637338117801.0 -p tcp -m tcp --dport 8035:8036 -j DNAT --to-destination 192.168.31.11
$IPTABLES -t nat -A Cid4637338117801.0 -p udp -m udp --dport 8035:8036 -j DNAT --to-destination 192.168.31.11
#
# Rule 1 (NAT)
#
echo "Rule 1 (NAT)"
#
#
$IPTABLES -t nat -N Cid4637335D17801.0
$IPTABLES -t nat -A POSTROUTING -o eth0 -p tcp -m tcp -s 192.168.31.0/24 --dport 8035:8036 -j Cid4637335D17801.0
$IPTABLES -t nat -A POSTROUTING -o eth0 -p tcp -m tcp -m multiport -s 192.168.31.0/24 --dports 53,80 -j Cid4637335D17801.0
$IPTABLES -t nat -A POSTROUTING -o eth0 -p udp -m udp -s 192.168.31.0/24 --dport 8035:8036 -j Cid4637335D17801.0
$IPTABLES -t nat -A POSTROUTING -o eth0 -p udp -m udp -m multiport -s 192.168.31.0/24 --dports 53,80 -j Cid4637335D17801.0
$IPTABLES -t nat -A Cid4637335D17801.0 -d 192.168.30.11 -j RETURN
$IPTABLES -t nat -A Cid4637335D17801.0 -d 192.168.31.10 -j RETURN
$IPTABLES -t nat -A Cid4637335D17801.0 -d 192.168.32.10 -j RETURN
$IPTABLES -t nat -A Cid4637335D17801.0 -d 192.168.33.10 -j RETURN
$IPTABLES -t nat -A Cid4637335D17801.0 -p tcp -m tcp --dport 8035:8036 -j SNAT --to-source 192.168.30.11
$IPTABLES -t nat -A Cid4637335D17801.0 -p tcp -m tcp -m multiport --dports 53,80 -j SNAT --to-source 192.168.30.11
$IPTABLES -t nat -A Cid4637335D17801.0 -p udp -m udp --dport 8035:8036 -j SNAT --to-source 192.168.30.11
$IPTABLES -t nat -A Cid4637335D17801.0 -p udp -m udp -m multiport --dports 53,80 -j SNAT --to-source 192.168.30.11
#
# Rule 0 (global)
#
echo "Rule 0 (global)"
#
#
#
$IPTABLES -A OUTPUT -p icmp -m icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p icmp -m icmp --icmp-type 0/0 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 0/0 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p icmp -m icmp --icmp-type 8/0 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p icmp -m icmp --icmp-type 0/0 -m state --state NEW -j ACCEPT
#
# Rule 1 (lo)
#
echo "Rule 1 (lo)"
#
#
#
$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT
#
# Rule 4 (global)
#
echo "Rule 4 (global)"
#
#
#
$IPTABLES -N Cid46368B4E16872.0
$IPTABLES -A FORWARD -s 87.98.187.65 -m state --state NEW -j Cid46368B4E16872.0
$IPTABLES -A FORWARD -s 82.211.81.143 -m state --state NEW -j Cid46368B4E16872.0
$IPTABLES -A FORWARD -s 158.64.60.199 -m state --state NEW -j Cid46368B4E16872.0
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid46368B4E16872.0 -d 192.168.33.10 -j ACCEPT
$IPTABLES -A INPUT -s 87.98.187.65 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -s 82.211.81.143 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -s 158.64.60.199 -m state --state NEW -j ACCEPT
#
# Rule 5 (global)
#
echo "Rule 5 (global)"
#
#
#
$IPTABLES -N Cid46368AF716872.0
$IPTABLES -A FORWARD -d 87.98.187.65 -m state --state NEW -j Cid46368AF716872.0
$IPTABLES -A FORWARD -d 82.211.81.143 -m state --state NEW -j Cid46368AF716872.0
$IPTABLES -A FORWARD -d 158.64.60.199 -m state --state NEW -j Cid46368AF716872.0
$IPTABLES -A Cid46368AF716872.0 -s 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid46368AF716872.0 -s 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid46368AF716872.0 -s 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid46368AF716872.0 -s 192.168.33.10 -j ACCEPT
$IPTABLES -A OUTPUT -d 87.98.187.65 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -d 82.211.81.143 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -d 158.64.60.199 -m state --state NEW -j ACCEPT
#
# Rule 6 (global)
#
echo "Rule 6 (global)"
#
# clients sur internet
# serveurs sur le pc
#
$IPTABLES -N Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.30.11 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.31.10 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.32.10 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -A OUTPUT -d 192.168.33.10 -m state --state NEW -j Cid463687CF16289.1
$IPTABLES -N Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 11/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 11/1 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 0/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p icmp -m icmp --icmp-type 3 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p tcp -m tcp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p tcp -m tcp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p udp -m udp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.1 -p udp -m udp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -N Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.30.11 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.31.10 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.32.10 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A FORWARD -d 192.168.33.10 -m state --state NEW -j Cid463687CF16289.2
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 11/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 11/1 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 0/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p icmp -m icmp --icmp-type 3 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p tcp -m tcp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p tcp -m tcp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p udp -m udp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.2 -p udp -m udp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -N Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.30.11 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.31.10 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.32.10 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A INPUT -d 192.168.33.10 -m state --state NEW -j Cid463687CF16289.3
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 11/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 11/1 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 0/0 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p icmp -m icmp --icmp-type 3 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p tcp -m tcp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p tcp -m tcp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p udp -m udp --dport 6881:6882 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.3 -p udp -m udp --dport 50345 -j Cid463687CF16289.0
$IPTABLES -A Cid463687CF16289.0 -s 192.168.30.11 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.31.10 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.32.10 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.33.10 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.31.0/24 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.32.0/24 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -s 192.168.33.0/24 -j RETURN
$IPTABLES -A Cid463687CF16289.0 -j ACCEPT
#
# Rule 7 (global)
#
echo "Rule 7 (global)"
#
# clients sur le pc
# serveurs sur internet
#
$IPTABLES -N Cid463687DD16289.1
$IPTABLES -A INPUT -p tcp -m tcp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p tcp -m tcp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports 53,80,443,110,25 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p udp -m udp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p udp -m udp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -A INPUT -p udp -m udp -m multiport --dports 53,80,443 -m state --state NEW -j Cid463687DD16289.1
$IPTABLES -N Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.30.11 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.31.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.32.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.1 -s 192.168.33.10 -j Cid463687DD16289.0
$IPTABLES -N Cid463687DD16289.2
$IPTABLES -A FORWARD -p tcp -m tcp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p tcp -m tcp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p tcp -m tcp -m multiport --dports 53,80,443,110,25 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p udp -m udp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p udp -m udp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A FORWARD -p udp -m udp -m multiport --dports 53,80,443 -m state --state NEW -j Cid463687DD16289.2
$IPTABLES -A Cid463687DD16289.2 -s 192.168.30.11 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.2 -s 192.168.31.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.2 -s 192.168.32.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.2 -s 192.168.33.10 -j Cid463687DD16289.0
$IPTABLES -N Cid463687DD16289.3
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p tcp -m tcp -m multiport --dports 53,80,443,110,25 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p udp -m udp --dport 6881:6882 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p udp -m udp --dport 5222:5223 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A OUTPUT -p udp -m udp -m multiport --dports 53,80,443 -m state --state NEW -j Cid463687DD16289.3
$IPTABLES -A Cid463687DD16289.3 -s 192.168.30.11 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.3 -s 192.168.31.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.3 -s 192.168.32.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.3 -s 192.168.33.10 -j Cid463687DD16289.0
$IPTABLES -A Cid463687DD16289.0 -d 192.168.30.11 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.31.10 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.32.10 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.33.10 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.31.0/24 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.32.0/24 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -d 192.168.33.0/24 -j RETURN
$IPTABLES -A Cid463687DD16289.0 -j ACCEPT
#
# Rule 8 (global)
#
echo "Rule 8 (global)"
#
# clients sur internet
# serveurs sur tap0
#
$IPTABLES -N Cid4637333617801.0
$IPTABLES -A OUTPUT -p tcp -m tcp -d 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4637333617801.0
$IPTABLES -A OUTPUT -p udp -m udp -d 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4637333617801.0
$IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4637333617801.0
$IPTABLES -A FORWARD -p udp -m udp -d 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4637333617801.0
$IPTABLES -A Cid4637333617801.0 -s 192.168.30.11 -j RETURN
$IPTABLES -A Cid4637333617801.0 -s 192.168.31.10 -j RETURN
$IPTABLES -A Cid4637333617801.0 -s 192.168.32.10 -j RETURN
$IPTABLES -A Cid4637333617801.0 -s 192.168.33.10 -j RETURN
$IPTABLES -A Cid4637333617801.0 -s 192.168.31.0/24 -j RETURN
$IPTABLES -A Cid4637333617801.0 -s 192.168.32.0/24 -j RETURN
$IPTABLES -A Cid4637333617801.0 -s 192.168.33.0/24 -j RETURN
$IPTABLES -A Cid4637333617801.0 -j ACCEPT
#
# Rule 9 (global)
#
echo "Rule 9 (global)"
#
# clients sur tap0
# serveurs sur internet
#
$IPTABLES -N Cid4650E5CD15614.0
$IPTABLES -A INPUT -p tcp -m tcp -s 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A INPUT -p tcp -m tcp -m multiport -s 192.168.31.0/24 --dports 80,53 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A INPUT -p udp -m udp -s 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A INPUT -p udp -m udp -m multiport -s 192.168.31.0/24 --dports 80,53 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A FORWARD -p tcp -m tcp -s 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A FORWARD -p tcp -m tcp -m multiport -s 192.168.31.0/24 --dports 80,53 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A FORWARD -p udp -m udp -s 192.168.31.0/24 --dport 8035:8036 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A FORWARD -p udp -m udp -m multiport -s 192.168.31.0/24 --dports 80,53 -m state --state NEW -j Cid4650E5CD15614.0
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.30.11 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.31.10 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.32.10 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.33.10 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.31.0/24 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.32.0/24 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -d 192.168.33.0/24 -j RETURN
$IPTABLES -A Cid4650E5CD15614.0 -j ACCEPT
#
# Rule 10 (global)
#
echo "Rule 10 (global)"
#
#
#
$IPTABLES -N Cid4646B12210200.0
$IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A FORWARD -p udp -m udp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A FORWARD -p udp -m udp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j Cid4646B12210200.0
$IPTABLES -A Cid4646B12210200.0 -s 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid4646B12210200.0 -s 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid4646B12210200.0 -s 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid4646B12210200.0 -s 192.168.33.10 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -d 192.168.31.0/24 --dport 137:139 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -d 192.168.31.0/24 --dport 445 -m state --state NEW -j ACCEPT
#
# Rule 15 (global)
#
echo "Rule 15 (global)"
#
# clients sur tap0
# serveurs sur le pc
#
$IPTABLES -N Cid463751B517801.0
$IPTABLES -A FORWARD -p tcp -m tcp --dport 137:139 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -A FORWARD -p tcp -m tcp --dport 445 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -A FORWARD -p udp -m udp --dport 137:139 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j Cid463751B517801.0
$IPTABLES -N Cid463751B517801.1
$IPTABLES -A Cid463751B517801.0 -s 192.168.31.0/24 -j Cid463751B517801.1
$IPTABLES -A Cid463751B517801.0 -s 192.168.32.0/24 -j Cid463751B517801.1
$IPTABLES -A Cid463751B517801.0 -s 192.168.33.0/24 -j Cid463751B517801.1
$IPTABLES -A Cid463751B517801.1 -d 192.168.30.11 -j ACCEPT
$IPTABLES -A Cid463751B517801.1 -d 192.168.31.10 -j ACCEPT
$IPTABLES -A Cid463751B517801.1 -d 192.168.32.10 -j ACCEPT
$IPTABLES -A Cid463751B517801.1 -d 192.168.33.10 -j ACCEPT
$IPTABLES -N Cid463751B517801.2
$IPTABLES -A INPUT -p tcp -m tcp --dport 137:139 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A INPUT -p tcp -m tcp --dport 445 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A INPUT -p udp -m udp --dport 137:139 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A INPUT -p udp -m udp --dport 445 -m state --state NEW -j Cid463751B517801.2
$IPTABLES -A Cid463751B517801.2 -s 192.168.31.0/24 -j ACCEPT
$IPTABLES -A Cid463751B517801.2 -s 192.168.32.0/24 -j ACCEPT
$IPTABLES -A Cid463751B517801.2 -s 192.168.33.0/24 -j ACCEPT
#
# Rule 16 (global)
#
echo "Rule 16 (global)"
#
#
#
$IPTABLES -A OUTPUT -j DROP
$IPTABLES -A INPUT -j DROP
$IPTABLES -A FORWARD -j DROP
#
#
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Epilog script
#
# End of epilog script
#
Dernière modification par tylhdar (Le 12/08/2007, à 23:32)
un matériel non compatible linux est un matériel défectueux
ubuntu 10.4 sur pc1 ; debian squeeze sur pc2
Hors ligne
#10 Le 15/08/2007, à 17:37
- phlinux
Re : [Résolu en partie] Problème de configuration d'un bridge
Finalement.....
J'ai renoncé pour l'instant au bridge et à un sous réseau.
Le paramétrage en NAT fonctionne très bien et il n'y a rien à faire. Je vais donc voir si cette config me convient.
Ceci dit, VirtualBox embarque bien un serveur DHCP. Il n'est donc pas nécessaire d'en installer un. De toutes façon cela n'aurait pas servi à grand chose pour les guest dans mon cas.
Mais je ne renonce pas.... dès que j'aurais un peu plus de temps je me remettrai à ce sous réseau.
Merci en tous cas pour les aides apportées.
Ubuntu - Precise Pangolin 64bits
ATI Radeon HD5670
Hors ligne