Salut,
Merci d’intervenir, j’ai encore un peu de mal à m’y retrouver…
[quote=“PascalHambourg”]
- Qu’entends-tu par “concurrents” ? Chillispot est aussi un serveur DHCP ?[/quote]Oui
[quote=“PascalHambourg”]
2) eth1 et tun0 sont deux interfaces bien distinctes. Tu veux dire que les paquets de tun0, une fois encapsulés, passent par eth1 ? Un paquet du protocole X encapsulé pour tun0 ne sera pas vu comme du protocole X par eth1 mais comme du protocole d’encapsulation.[/quote]Pas tout à fait, la demande entre par tun0, Chillispot donne une IP, une autorisation et autorise l’accès à ppp0 (Internet).[/quote]
[quote=“PascalHambourg”]3) Avec iptables on ne redirige pas vers une interface mais vers une adresse. Si tu rediriges un paquet reçu par l’interface A vers l’adresse d’une autre interface B de la même machine, il sera toujours vu comme reçu par l’interface A.[/quote]Ok. Donc je souhaite rediriger vers les bonnes adresses les demandes…
[quote=“PascalHambourg”]
4) Certains programmes DHCP sont un peu spéciaux : ils communiquent directement avec l’interface réseau et non à travers la pile IP, ce qui a notamment pour effet de court-circuiter les règles iptables. Il n’est donc pas certain qu’une redirection des paquets DHCP par iptables soit efficace, c’est à vérifier.[/quote]Probablement, car c’est aléatoire… une demande dhclient envoie tantôt sur eth1 tantôt sur tun0, c’est ce que je souhaite éviter… Et ceci malgré toutes mes tentatives avec shorewall…
[quote=“PascalHambourg”]
5) Le NAT d’iptables ne fonctionne bien qu’avec le trafic bidirectionnel de type unicast, ce qui n’est pas le cas du trafic DHCP du moins dans sa phase initiale (DISCOVERY) qui est en broadcast. Cela peut poser un problème pour les réponses.
Si je peux me permettre, quel est le but ultime du bidule ?[/quote]
Je souhaite que les ordinateurs connus de mon ethernet obtiennent leur IP de Dhcp3-serveur sur eth1.
Et que les clients “inconnus” soient dirigés vers tun0 pour authentification.
Le plus simple est peut-être de recenser les clients connus dans dhcp, ne pas autoriser les clients “non connus”. Les autres n’ayant pas de réponse sur eht1 seront automatiquement dirigées sur tun0. non ?
Edit : Non… ça fonctionnera pour les “clients” inconnus, pas pour les connus. Je ne vois pas comment empêcher qu’ils entrent par tun0…
Edit2 : Connection requests from this interface are compared against the contents of shorewall-maclist (5). If this option is specified, the interface must be an ethernet NIC and must be up before Shorewall is started…
Tun0 n’est pas une interface NIC… le filtrage MAC ne peux pas fonctionner…