Interface virtuelle et DHCP3

Support Debian
#1

Bonjour,
Encore un blocage…

J’essaye de faire écouter DHCP3 sur deux interfaces, dont une virtuelle…

/etc/network/interfaces

[code]auto lo eth0 eth1:0 eth1
iface lo inet loopback

allow-hotplug eth1
iface eth1 inet static
address 192.168.0.3
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

gateway (pas encore défini)

iface eth1:0 inet static
address 192.168.0.129
netmask 255.255.255.128
network 192.168.0.0
broadcast 192.168.0.255

gateway (pas encore défini)

#allow-hotplug eth0 (Désactivée pour l’instant - C’est ma future connexion Internet)
#iface eth0 inet dhcp

post-up iptables-restore < /etc/iptables.up.rules
[/code]

/etc/default/dhcp3-server

INTERFACES="eth1 eth1:0"

/etc/dhcp3/dhcpd.conf

[code]ddns-updates off;

default-lease-time 600;
max-lease-time 7200;
authoritative;

Interface Virtuelle

subnet 192.168.0.128 netmask 255.255.255.128 {
authoritative;
allow unknown-clients;
range dynamic-bootp 192.168.0.129 192.168.0.254;
}
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
range 192.168.0.1 192.168.0.127;
}
[/code]

laurent@notalweg:~$ nmap -v -sV 192.168.0.129 [...] Scanning 192.168.0.129 [1000 ports] Discovered open port 80/tcp on 192.168.0.129 Discovered open port 443/tcp on 192.168.0.129 Discovered open port 111/tcp on 192.168.0.129 Completed Connect Scan at 11:31, 0.14s elapsed (1000 total ports) [...] Interesting ports on 192.168.0.129: Not shown: 997 closed ports PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.2.9 ((Debian) mod_mono/1.9 PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g) 111/tcp open rpcbind 443/tcp open http Apache httpd 2.2.9 ((Debian) mod_mono/1.9 PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g)

J’ai vider toutes les règles ipatbles pour être sur que ce n’est pas ça qui bloque…

[code]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/code]

Pas d’écoute sur le port 53 :frowning:
J’ai raté un truc… mais quoi ?

Dans les logs au démarrage de dhcp3

Nov 20 14:47:06 notalweg dhcpd: Warning: subnet 192.168.0.0/24 overlaps subnet 192.168.0.128/25
Nov 20 14:47:06 notalweg dhcpd: Warning: subnet 192.168.0.0/24 overlaps subnet 192.168.0.128/25
Nov 20 14:47:06 notalweg dhcpd: Wrote 0 deleted host decls to leases file.
Nov 20 14:47:06 notalweg dhcpd: Wrote 0 new dynamic host decls to leases file.
Nov 20 14:47:06 notalweg dhcpd: Wrote 0 leases to leases file.
Nov 20 14:47:06 notalweg dhcpd: 
Nov 20 14:47:06 notalweg dhcpd: No subnet declaration for eth1:0 (0.0.0.0).
Nov 20 14:47:06 notalweg dhcpd: ** Ignoring requests on eth1:0.  If this is not what
Nov 20 14:47:06 notalweg dhcpd:    you want, please write a subnet declaration
Nov 20 14:47:06 notalweg dhcpd:    in your dhcpd.conf file for the network segment
Nov 20 14:47:06 notalweg dhcpd:    to which interface eth1:0 is attached. **

Petite précision. Je veux créer une interface virtuelle pour séparer sur mon serveur les paquets (frames) “connues” des paquets “inconnus” !

Je ne m’en sort pas tout seul… Overlap = chevauchement mais je ne vois pas où ? No subnet déclaration ? Si pourtant…
J’imagine que ça pourrait être dans le choix du sous-réseau que j’ai merdouillé ?

Enfin un coup de main (même de pied je prend si ça m’aide) serait le bienvenu…

#2

C’est n’importe quoi tout ça…

eth1:0 n’est pas une interface virtuelle. C’est un “alias”, une bête étiquette associée à une adresse additionnelle ajoutée à l’interface eth1. ifconfig est à peu près le seul programme qui connaisse ces alias. Les autres comme iptables, route, ip, et probablement dhcpd ne connaissent que les “vraies” interfaces, réelles ou virtuelles. Pour information une “vraie” interface virtuelle serait par exemple une interface résultant d’un tunnel, VPN, pont, VLAN, aggrégation de liens…

Effectivement les deux sous-réseaux se recouvrent :
192.168.0.0/255.255.255.0 = 192.168.0.0 à 192.168.0.255
192.168.0.128/255.255.255.0 = 192.168.0.128 à 192.168.0.255
En général c’est mal car ça perturbe le routage. En fait ici comme c’est la même interface eth1 on s’en fiche un peu. Mais pour dhcpd c’est un seul et même sous-réseau 192.168.0.0/255.255.255.0.
Note : ipcalc est pratique pour calculer les caractéristiques comme l’étendue d’un sous-réseau.

Le protocole DHCP utilise UDP, donc un scan TCP (par défaut pour nmap) est sans intérêt. Il faut faire un scan UDP, ou mieux un “ping” DHCP avec un outil comme dhcping (il existe en effet d’autres types de ping que le classique ICMP, par exemple ARP ou ici DHCP, voire TCP). [EDIT] Et de préférence depuis une autre machine connectée à eth1.

Que veux-tu faire exactement ? Qu’entends-tu par paquets connus et inconnus ?

Note supplémentaire en bonus : si eth0 est l’interface de la connexion internet, alors les autres n’ont pas lieu d’avoir une option “gateway”. “Gateway” désigne la passerelle par défaut, il ne doit y en avoir qu’une au plus pour toute la machine.

#3

Bonjour,
Merci pour ta réponse, désolé de t’obliger à corriger d’aussi mauvaises copies…

[quote=“PascalHambourg”]C’est n’importe quoi tout ça…[/quote]Au moins c’est clair ! Je préfère ne pas m’acharner pour rien…

J’aurais aimé séparer mon interface en deux.

  • Une partie pour des IP distribuées à des “clients” connus (par leur adresse MAC par exemple) que je redirigent sur mon proxy;
  • Une partir pour des IP distribuées librement à des “clients” qui doivent s’authentifier.

Je pensais que c’était possible de faire ça avec le fichier /etc/network/interfaces.
J’espérais pouvoir écouter sur mes deux “segments” pour la distribution des IP et avoir des règles iptables spécifique pour chaque “segment”.

Mais si c’est seulement possible avec un tunnel, il faut que je reparte de zéro…

Merci je pensais qu’il fallait le déclarer pour chaque interface.

#4

On ne peut pas “séparer une interface en deux” juste en lui attribuant plusieurs sous-réseaux IP. Pour la diviser en deux segments indépendants, il faut par exemple définir des VLAN mais cela implique de gérer aussi les VLAN sur les équipements qui y sont connectés.

Par contre dhcpd permet d’attribuer une adresse IP fixe en fonction de l’adresse MAC avec la directive “host” :

  host i486 {
    hardware ethernet 00:80:c8:15:56:58;
    fixed-address 192.168.0.242;
  }

Je ne sais pas si on peut affecter une plage d’adresses à un groupe d’adresses MAC.
J’attire l’attention sur le fait qu’une adresse MAC ou une adresse IP sont faciles à usurper pour qui est root sur sa machine, cela ne saurait donc constituer une mesure de sécurité.

#5

[quote=“PascalHambourg”]On ne peut pas “séparer une interface en deux” juste en lui attribuant plusieurs sous-réseaux IP. Pour la diviser en deux segments indépendants, il faut par exemple définir des VLAN mais cela implique de gérer aussi les VLAN sur les équipements qui y sont connectés.

Par contre dhcpd permet d’attribuer une adresse IP fixe en fonction de l’adresse MAC avec la directive “host” :

  host i486 {
    hardware ethernet 00:80:c8:15:56:58;
    fixed-address 192.168.0.242;
  }

Je ne sais pas si on peut affecter une plage d’adresses à un groupe d’adresses MAC.
J’attire l’attention sur le fait qu’une adresse MAC ou une adresse IP sont faciles à usurper pour qui est root sur sa machine, cela ne saurait donc constituer une mesure de sécurité.[/quote]

Re,
Oui, nous avions déjà abordé ce problème MAC/IP. Je ne pense pas qu’il y ait des personnes aussi calées sur mon réseau.
Bon je laisse tomber mon idée “idiote” de ségmenter l’interface…
Le Vlan, tu m’en avais déjà parlé aussi, mais j’ai un “problème” de BLR Cisco :mrgreen: Un peu compliqué pour moi… :wink:
Au pire je rajoute une autre carte réseau, mais je ne gagne pas grand chose à faire ça, il faudrait physiquement séparer les réseaux, et ça ce n’est pas malheureusement pas possible…
Merci de ton aide.