Forum Linux.noyau Besoin d'ajouter le support d'iptables dans une distribution un peu.. spéciale !

Posté par .
Tags :
1
2
juin
2012

Bonjour,

J'ai eu une idée un peu bizarre je l'avoue, mais j'irai jusqu'au bout:
J'ai pour ambition de transformer un NAS Western Digital en véritable passerelle Linux Routeur Firewall etc.

J'ai tenté le tout pour le tout et je vais de surprise en surprise,
distribution debian (enfin si je me fie aux sources squeze configurées dans apt,
noyeau 2.6.32.11-svn52288 (avec uname -r)
et quelques paquets installés à la mano depuis le site d'un gars qui a développé quelques add ons pour ce disque dur réseau (http://highlevelbits.free.fr), en fait il installe des sources depuis
http://ipkg.nslu2-linux.org/feeds/optware/ds101g/cross/stable/
donc j'ai l'impression que Western digital à utilisé une distrib linux de ce type:
http://www.nslu2-linux.org/wiki/DS101/HomePage

Mais déjà que j'étais passé dans un mode "je tape des commandes linux quand mon vieux routeur maison tombe en rade 2 fois par an", là je suis à court d'idée pour aller plus loin… compilation de module iptables en trouvant les sources et montage à la main avec modprobe… dernière piste ?

Merci d'avance,
sinon, franchement, hyper satisfait de cet achat et du potentiel de la bête, un serveur linux gigabit avec 2 terra de disque sans ventilateur tout petit et pas cher (160€ sur amazone)… au pire je m'en servirai pas de passerelle, tant pis.

  • # faut voir le processeur

    Posté par . Évalué à 4.

    faut savoir ce que c'est comme processeur dedans
    pour eventuellement te faire un ensemble de cross-compilation sur ton PC
    et compiler tes propres logiciels/modules pour les ajouter à ton NAS

  • # quelques infos en plus alors

    Posté par . Évalué à 1.

    quelques infos en plus alors
    CurrentFirmwareDesc : "MyBookLive " "02.11.09-053" "Core F/W" "1334341296" "1338507958"

    ~# cat /proc/cpuinfo
    > processor : 0
    cpu : APM82181
    clock : 800.000008MHz
    revision : 28.130 (pvr 12c4 1c82)
    bogomips : 1600.00
    timebase : 800000008
    platform : PowerPC 44x Platform
    model : amcc,apollo3g
    Memory : 256 MB

    dmesg
    cross:500608k
    svc: failed to register lockdv1 RPC service (errno 97).
    Calling ledset_blink with value x
    eth0: link is up, 1000 FDX, pause enabled
    eth0: no IPv6 routers present
    eth0: link is up, 1000 FDX, pause enabled
    eth0: no IPv6 routers present
    device eth0 entered promiscuous mode
    device eth0 left promiscuous mode
    eth0: link is up, 1000 FDX, pause enabled
    eth0: no IPv6 routers present
    md: md0 stopped.
    md: unbind
    md: export_rdev(sda2)
    md: cannot remove active disk sda1 from md1 …
    md: bind
    RAID1 conf printout:
    --- wd:1 rd:2
    disk 0, wo:0, o:1, dev:sda1
    disk 1, wo:1, o:1, dev:sda2
    md: recovery of RAID array md1
    md: minimum _guaranteed
    speed: 1000 KB/sec/disk.
    md: using maximum available idle IO bandwidth (but not more than 200000 KB/sec) for recovery.
    md: using 2048k window, over a total of 1999808 blocks.
    md: md1: recovery done.
    RAID1 conf printout:
    --- wd:2 rd:2
    disk 0, wo:0, o:1, dev:sda1
    disk 1, wo:0, o:1, dev:sda2

  • # lmgtfy

    Posté par . Évalué à 2.

    As tu visité ces pages: http://mybookworld.wikidot.com/mybook-live et http://mybookworld.wikidot.com/compiling-mybook-live-modules ?
    Sinon as tu vérifié que iptables n'était pas déjà présent ou qu'un simple apt-get install ne l'installerait pas (cf. http://laborsklave.blogspot.com/2011/01/wd-mybook-live-testbericht.html)?

  • # Merci pour les wiki !

    Posté par . Évalué à 1.

    merci lmgtfy!
    je vois qu'en étant né avec Internet y'en a toujours qui savent beaucoup mieux chercher que moi !
    :)

    tes liens vont m'etre super utiles !

  • # Finalement...

    Posté par . Évalué à 1.

    Et bien il est vraiment très bien fait le support western digital, ça mets 30 secondes pour leur demander de te renvoyer un produit neuf et d'attendre pour renvoyer le tiens qui ne fonctionne plus..

    Temps perdu… 10 Heures sur 2 jours pour me rendre compte que j'ai vraiment tout perdu en compétences Unix.

  • # passerelle ?

    Posté par . Évalué à 2.

    Ton NAS n'a qu'une seule interface réseau, comment veut tu faire une passerelle avec cela ?

    • [^] # Re: passerelle ?

      Posté par . Évalué à 2. Dernière modification le 02/06/12 à 22:11.

      Ton NAS n'a qu'une seule interface réseau, comment veut tu faire une passerelle avec cela ?

      Par passerelle, on entend routeur IP, qui route entre des réseaux IP différents.

      Une seule interface réseau signifie un seul réseau ethernet (et encore avec une même carte, plusieurs VLANs peuvent être configurés pour isoler les paquets ethernet).

      Avec les alias IP, il est commun de configurer des réseaux IP différents sur une même interface ethernet, et de router les paquets entre ces réseaux.

      Donc ce sont deux problématiques différentes, qui ne sont pas liées.

      • [^] # Re: passerelle ?

        Posté par . Évalué à 1.

        tout à fait symoon,
        et encore c'est pas super en terme de sécu mais tu peu simplement avoir une passerelle qui à une seule ip et route le trafic et un seul sous réseau.
        ça permet pas d'interdire ou de séparer tes 2 réseaux (celui qui vient d'internet depuis ton modem et ton local), donc si ton modem est compromis (ce qui est rare mais pas impossible) il peut etre utiliser pour attaquer ton réseau local et inversement, rien n'empeche tes postes dans ton réseau local de bypasser cette belle passerelle.

        C'est ce que j'ai fait pendant un temps avec un vieux serveur linux où la seconde carte réseau avait planté.

        L'idée de virtualiser l'interface réseau pour avoir une seconde IP et donc un deuxième domaine de broadcast me plait, reste que du coup dans les iptables il va falloir bien jouer du premier coup avec filtrage par sous réseau et pas par interface car a ce que j'ai lu des regles iptables eth0:1 (la carte réseau virtuelle avec la seconde IP) ça marche pas…
        Et… comment dire, se planter dans le fichier d'iptable lorsqu'on a que l'interface réseau pour administrer c'est… tres c…

        PS: pour les VLAN c'est la solution normale mais apres faut que les pc du réseau ils comprennent bien les VLAN…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.