Questions à propos de shorewall et pont filtrant


#1

Bonjour à tous,
j’ai testé, lors de ma première installation debian, et avec bonheur, vu que ça a marché impec, la méthode de [size=150]ricardo[/size] dans trucs et astuces :
http://forum.debian-fr.org/viewtopic.php?t=1901
Maintenant que je dois reconfigurer un firewall, je voulais tester shorewall, par curiosité … mais j’ai un petit souci … :confused:

Peut on modifier directement dans /boot/config-2.6.x.x la ligne :

CONFIG_BRIDGE=m ou CONFIG_BRIDGE=y qui chez moi est mise à “is not set” ? ou faut il re make menuconfig ? (y’en a qui vont hurler :blush: et me renvoyer au pti topo sur les modules :confused: ).
Je ne trouve pas dans le sus-dit fichier la ligne :

CONFIG_IP_NF_MATCH_PHYSDEV=m ou CONFIG_IP_NF_MATCH_PHYSDEV=y, j’en suis sur …
Comment ça se fait ?


#2

le /boot/config-… est une description de comment ton noyau a été compilé. C’est juste là pour info, et ca n’est utilisé nulle part.
Par contre, tu peux le reprendre comme base pour recompiler ton noyau avec les options que tu veux, mais dans ce cas là, il y a des tutos sur la reconstruction de noyau (mot clé make-kpkg ) un peu partout.
Donc oui. Tu reprends ta config de noyau, et si tu veux tu peux la faire avec menuconfig.
Mais si ta machine ne sert pas de passerelle entre l’internet et un LAN, je ne vois pas l’interet.


#3

okay MattOTop pour le make-kpkg merci …
ben je suis paumé un peu :laughing: tu t’en doutes pas ?
Voilà à termes le shéma de mon matos :
une livebox --> un adaptateur sagem --> une Debian (serveur + normal)
<-- un pc qui passe par le serveur pour aller sur le net … :confused: c’est plausible ?
Dans ce cas, c’est pas un bridge ?
ps : pourquoi je n’ai pas la ligne CONFIG_IP_NF_MATCH_PHYSDEV dans le /boot/config-2.6.x.x ?
Est ce que tu sais où (j’ai posé la question ailleurs mais je sais toujours pas ) est stocké le fichier contenant l’équivalent du /boot/config-2.6.x.x mais avec en plus touts les commentaires d’aide qui s’affichent lors du make menuconfig ? toutes les données textes quoi ?


#4

oui et non: le bridge est un type particulier de passerelle, avec une seule adresse pour deux interfaces physiques, d’ou la necessité d’utiliser un module pour qu’iptables puisse déterminer la provenance d’un paquet en fonction nom de son ip, mais de son interface physique.
Mais ce n’est pas essentiel à la mise en oeuvre d’une passerelle simple, tu peux te passer de recompiler ton noyau, et tout de même partager ta connection sans ça: tu ouvres un fil avec ce titre, ou tu recherches dans le forum une des nombreuses explications, et tu verras.