Bonjour à tous, j'essaye de comprendre le fonctionnement du firewall de la C-box (la version de l'onglet firewall, pas les racourcis magiques de l'onglet serveur LAN) et j'ai quelques problèmes....
j'ai déja configuré des firewalls du même genre (sur des modems peabird entre autre) et je pense comprendre a peu près les principes de bases du firewalling et du NAT. Donc, je vais poser ici mes questions au fur et à mesure qu'elles me vienne en esperant que d'autres pouront m'aider
pour le moment je ne vais pas modifier mes règles, juste regarder ce que la C-box a généré et essayer de les comprendre.
d'abord longlet "adresses publiques NAT"
si je comprends bien, on y rentre une liste d'adresse IP publiques qui se trouvent sur une interface LAN, et pour qui la c-box doit relayer les paquets IP tels quel. ce sont des DMZ
autrte hypothèse, ce sont des adresses NAT pour qui les paquets bypassent le firewall...
je n'ai pas encore reussi à en créer une, a chaque fois ma c-box me retourne une erreur...
quelqu'un a une idée ?
L'onglet interfaces gerées par le NAT
on y liste toutes les interfaces de la c-box,. par defaut, c'est activé sur ppp0 seulement
J'en déduis qu'il s'agit des interfaces dont les paquets, après avoir traversés le firewall sont réadressés.
je ne comprends pas très bien l'interet d'une tels liste, vu qu'on doit préciser l'interface entrante dans les règles du firewall de toute façon (mais comme je comprends assez mal cette partie, j'ai sans doute tort)
les interfaces
ethX les ports rj45 de la boiboite, elle n'en a que deux, mais le firmware semble pouvoir en gérer 4
ph0 La prise telephone de la C-box en d'autres termes, l'interface VOIP
vifX les futur interfaces pour la connexion TV
atmX l'interface rj11, quand on est en ATM pure
pppX l'interface rj11 quand on est en PPPoX
il y a ausi une interface lo0 pour le loopback qui apparait de temps en temps mais pas dans ce menu il s'agit certainement de loopback.
l'onglet des politiques basées sur le NAT
Donc, un paquet vient d'arriver sur la c-box, depuis l'ADSL, avec une adresse de source, de destination (celle de la c-box) un port source et un port de destination. ça a traversé le firewall, qui l'a redirigé vers la politique qui va bien... c'est à ce stade que j'ai du mal avec ce qui se passe
il est important de se rapeler qu'à ce stade, le firewall a déja déterminé quel règle utiliser, et donc les règles n'ont pas à être mutuellement exclusives
d'abord j'interprete les "politiques d'adresse" comme voulant dire que "tout paquet qui suit cette règle voit son adresse de destination réécrite suivant la regle" donc, je comprends pas pourquoi on peut passer à la c-box une plage d'adresse... comment la c-box determine-t-elle l'adresse de destination ???? on peut imaginer qu'elle fait du load-balancing, mais je n'ai rien trouvé là dessus....
j'ai les mêmes problèmes philosophiques pour les règles avec les ports... sauf bien sur que j'ai du mal à imaginer qu'on réécrive les ports aléatoirement pour faire du load-balancing...
voila, je reviendrais sans doute discuter de tout ça avec vous, n'hésitez pas à méclairer avec vos lumières...
A+
Boucman
EDIT: ajout des compléments sur les interfaces
Accueil 