Bonjour,
Aujourd'hui, j'ai travaillé à la mise en place d'une passerelle sous Debian à la maison.
Mon netfilter fonctionne bien :
- Nettoyage des tables
- Blocage de tous les paquets
- Autorisation de la boucle locale
- Autorisation en sortie et suivi de connexion de l'interface publique
- Autorisation de l'interface privé (il n'y a pour le moment qu'une seule machine cliente, c'est la mienne)
- NAT
- Règles d'autorisation des ports sur l'interface privé
- Règles d'autorisation des ports sur l'interface publique
Mais à la fin, j'ai mes règles de redirection des ports d'ADSL TV de la freebox à la machine cliente et ça ne fonctionne pas.
Alors, j'ai ma petite idée :
je pense que soit ça viens de l'ordre de mes règles soit des règles de PAT en elles-mêmes ou bien un peu des deux…
Voici mes règles de redirections de ports :
# Ports ADSL TV
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 31336:31341 -j DNAT --to 192.168.3.10
$IPT -A FORWARD -i $WAN -o $LAN -p tcp -m multiport --dport 31336:31341 -d 192.168.3.10 -j ACCEPT
$IPT -t nat -A PREROUTING -i $WAN -p udp --dport 31336:31341 -j DNAT --to 192.168.3.10
$IPT -A FORWARD -i $WAN -o $LAN -p udp -m multiport --dport 31336:31341 -d 192.168.3.10 -j ACCEPT
# Ports VLC au cas où...
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 1234 -j DNAT --to 192.168.3.10
$IPT -A FORWARD -i $WAN -o $LAN -p tcp -m multiport --dport 1234 -d 192.168.3.10 -j ACCEPT
$IPT -t nat -A PREROUTING -i $WAN -p udp --dport 1234 -j DNAT --to 192.168.3.10
$IPT -A FORWARD -i $WAN -o $LAN -p udp -m multiport --dport 1234 -d 192.168.3.10 -j ACCEPT
# Port rtsp juste parce que je l'ai vu en sniffant...**
$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 554 -j DNAT --to 192.168.3.10
$IPT -A FORWARD -i $WAN -o $LAN -p tcp -m multiport --dport 554 -d 192.168.3.10 -j ACCEPT
$IPT -t nat -A PREROUTING -i $WAN -p udp --dport 554 -j DNAT --to 192.168.3.10
$IPT -A FORWARD -i $WAN -o $LAN -p udp -m multiport --dport 554 -d 192.168.3.10 -j ACCEPT
Les variables :
IPT --> /sbin/iptables
WAN --> interface publique
LAN --> interface privée
Quelqu'un peut-il m'aider s'il vous plait ?
# me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par NeoX . Évalué à 1.
ce serait plutot du broadcast sur une plage IP en particulier,
y a qu'à voir quand tu te connectes à ta box, c'est une IP en dehors du reseau local :
ex FR2 est un des flux rtsp://mafreebox.freebox.fr/fbxtv_pub/stream?namespace=1&service=201&flavour=sd
et l'adresse se resoud chez moi sur 212.27.38.253
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par LoX (site web personnel) . Évalué à 0.
Oui, j'ai vu ça… La mienne aussi d'ailleurs… Je trouve ça bizarre mais bon…
Pour ce qui est du broadcast, je pense que ça ne concerne que les ports rtsp (554) et 1234.
Je ne vois pas comment appliquer des règles qui autoriseraient un broadcast…
As-tu une idée ?
Ca doit être un truc dans le genre, non ?
En tous cas, ça, ça ne suffit pas…
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par NeoX . Évalué à 2.
ca doit etre documenté sur internet, j'ai souvenir d'avoir lu des trucs là dessus justement pour des gens qui voulaient mettre un parefeu perso derriere une box
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par LoX (site web personnel) . Évalué à 0.
Moi aussi mais je n'arrive plus à mettre le curseur de la souris dessus.
Je vais continuer de chercher…
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par NeoX . Évalué à 2. Dernière modification le 07 mars 2013 à 23:38.
des pistes en demandant à notre ami americain
http://lmgtfy.com/?q=regles+de+parefeu+pour+freebox+tv
le 3e lien me semble interessant, meme si c'est pour un routeur netgear
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par LoX (site web personnel) . Évalué à 0.
Marrant ton lien ;)
Merci :)
Je n'avais pas cherché avec ces mot clé…
Je regarderais mieux mais il me semble que cela concerne plus des client direct que des règles pour une passerelle…
Va falloir que j'adapte…
Re Bonne nuit ;)
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par LoX (site web personnel) . Évalué à 0.
Il y a quelques années, j'avais réussi mais j'avais triché : avec mon ancienne passerelle j'étais sous Mandrake avec Shorewall.
A ce propos, je viens de retrouver ça dans son fichier /etc/shorewall/rules :
DNAT net loc:192.168.13.18 udp 31336:31341
ACCEPT loc net udp 31336:31341 -
DNAT net loc:192.168.13.18 tcp 1234
ACCEPT loc net tcp 1234
DNAT net loc:192.168.13.18 udp 1234
ACCEPT loc net udp 1234
ACCEPT net:212.27.38.253 fw udp -
ACCEPT fw net udp 554 -
Je crois aussi me rappeler que la freebox était en mode bridge alors que maintenant elle est en mode routeur :-/
Il va donc sans doute que je fasse faire de la redirection de port à la freebox…
Trop fatiguer pour réfléchir correctement à cette heure-ci ;)
Bonne nuit !
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par NeoX . Évalué à 2.
celle là me semble interessante car ca correspond à l'ip et au protocole demandé
j'ai pas de parefeu ici, mais au boulot on a ca, si j'ai le temps je ferais quelques essais.
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par LoX (site web personnel) . Évalué à 0.
En fait, si je me souviens bien, une seule règle ne suffit pas.
Avec shorewall, il en fallait une pour autoriser du net vers le fw et une autre pour autoriser du fw vers loc:adresseIP ou un truc dans ce goût là…
Et je suppose qu'avec les règles directement créer avec iptables, il doit y avoir quelque chose de similaire.
@+
[^] # Re: me semble que adslTV c'est pas vraiment de l'IP ordinaire
Posté par LoX (site web personnel) . Évalué à 0.
De toute façon, je viens de voir qu'en mode bridge, je perd la diffusion TNT de la freebox… Je vais devoir me débrouiller autrement…
# Finalement...
Posté par LoX (site web personnel) . Évalué à 0.
Bonjour,
Ce matin, je travaille de nouveau à ce problème.
J'ai maintenant accès à mon flux tv à partir de la machine cliente qui se situe derrière la passerelle grâce à ces deux règles :
$FREEBOXHD étant l'adresse IP de la Freebox HD (212.27.38.253) que Neox m'a fait remarquer.
Il n'y a finalement pas besoin de rediriger les ports 554 et 1234…
Mais ça ne me convient toujours pas car derrière la passerelle, à terme, je n'aurais bien sûr pas qu'une seule machine.
Et comme le flux se fait sur une plage large de ports (30000 à 40000), je ne pourrais pas ajouter des redirections de ports pour chacune des machines comme je le faisait avant. C'est à dire que pour chaque machine, je redirigeais uniquement 5 ports : de 31336 à 31341, de 31342 à 31347, de 31348 à 31353… Et ainsi de suite…
Je ne suis plus tout à fait sur que cela soit faisable mais je vais regarder ça tout de même…
[^] # Re: Finalement...
Posté par LoX (site web personnel) . Évalué à 0. Dernière modification le 12 mars 2013 à 17:32.
En utilisant un analyseur de trames, je me suis rendu compte que les ports ne sont plus fixes comme avant la FreeBox V6 mais alloués dynamiquement.
J'ai donc simplifié mes règles :
En ajoutant une machine virtuelle (192.168.3.15) en plus de ma machine physique sur le réseau 192.168.3.0, j'ai voulu vérifier si plus d'une machine peuvent accéder au flux vidéo en même temps ou au pire, l'une après l'autre mais non.
En faisant une redirection vers la plage d'adresse 192.168.3.10-192.168.3.15 plutôt que l'adresse 192.168.3.10, le flux ne passe plus même pour la machine en 192.168.3.10
J'ai aussi essayé 192.168.3.0 et 192.168.3.255 mais sans plus de succès…
Quelqu'un aurait une idée s'il vous plait ??
[^] # Re: Finalement...
Posté par zx81 . Évalué à 1.
Il te faut les modules nf_conntrack_rtsp.ko et nf_nat_rtsp.ko
[^] # Re: Finalement...
Posté par LoX (site web personnel) . Évalué à 0.
Merci beaucoup zx81 !
Je vais suivre ta piste :)
Ces modules ne semblent pas être dispo par défaut avec le noyau de Debian Squeeze.
Je vais enfin avoir une raison de recompiler mon noyau ;)
[^] # Re: Finalement...
Posté par zx81 . Évalué à 1.
J'ai comme toi une machine entre la freebox et le lan et avec ça j'arrive à utiliser vlc pour regarder la télé sur plusieurs postes en même temps.
J'en ai profité pour le faire un petit howto que je colle ci dessous (je ne suis pas dev kernel du tout alors y'a sans doute moyen de faire mieux…):
download sources here:
http://mike.it-loops.com/rtsp/
ok for debian squeeze (kernel 2.6) but some patching needed for wheezy (kernel 3.2)
extract rtsp-module-3.3.tar.gz in /usr/src/linux-rtsp/
overwrite the 2 *.c files with:
http://projects.qi-hardware.com/index.php/p/qi-kernel/source/tree/master/net/netfilter/nf_conntrack_rtsp.c
http://projects.qi-hardware.com/index.php/p/qi-kernel/source/tree/master/net/ipv4/netfilter/nf_nat_rtsp.c
change includes paths (remove "linux" for files present in compile directory)
change "%u.%u.%u.%u", NIPQUAD(extip) by "%pI4", &extip (search for nipquad)
make clean
make
make modules_install
in /etc/rc.local, add:
modprobe nf_nat_rtsp
(module nf_conntrack_rtsp.ko will be autoloaded)
add a rule in shorewall:
ACCEPT loc net:$FBOXVID_IP tcp,udp 554,32768:32784 # freebox video server
($FBOXVID_IP = ip of freeplayer.freebox.fr)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.