> David Cyrille ecrit: > pour faire d'une machine (linux ou bsd) un routeur CPE > tres "user-friendly", > [SNIP]
Idee interessante; meme si le blaireau a un portable configure avec une adresse statique, ca continue a marcher. Ca serait une option interessante pour un hotel ou un "hot-spot", par exemple. > - possibilite de spoofing sur la patte interne : si > qqun branche un poste avec des ips non 1918-comliant, > on se retrouve avec des ips publiques sur la patte > interne Ce n'est pas vraiment un probleme. Ce n'est pas fondamentalement interdit; une version legerement modifiee de proxy-arp qui activerait proxy-arp meme si l'adresse de destination est a l'interieur d'un sous-reseau configure sur le routeur donnerait meme acces aux adresses faisant partie du meme sous-reseau que le poste en les NATant. > - risque de conflit d'adresses ip : si un poste a comme > adresse IP l'adresse qu'un autre a comme passerelle, il > y aura conflit. On ne vit pas dans un monde parfait; si les deux configurations sont statiques, il n'y a rien a faire. Et c'est pas le pire de tes problemes: si tu as un "hot-spot" et qu'un des postes est configure en mode AP ou en mode ad-hoc avec l'ESSID du hot-spot, tu es dans la mouise jusqu'au oreilles. > - comment trouver le masque de sous-reseau que le poste utilise ? En maintenant un etat dur et en analysant le trafic du poste. I faut "deviner" le masque, mais c'est possible par la methode suivante: Prenons un example: le poste est configure avec 192.168.50.100 255.255.255.0, routeur 192.168.50.1. 1. A l'origine, la seule chose connue est l'adresse du poste. Il faut imperativement connaitre l'adresse du routeur. Comment? L'adresse a ete arpee d'abord. Dans le cas ou plusieurs adresses ont ete arpees du meme poste, il faut determiner laquelle est celle du routeur. Ceci se detecte de la maniere suivante: un paquet est envoye du poste a l'adresse MAC precedement arpee mais avec une adresse IP destination de celle trouvee dans la requete ARP. 2. Une fois que tu as l'adresse du routeur configuree sur le poste, il faut que ces deux adresses fassent partie du meme sous-reseau. Il faut choisir la plus longue valeur compatible avec ces deux adresses, soit /25. Le routeur se configure donc avec 192.168.50.1 255.255.255.128. Ceci est incorrect, mais marche pour l'instant. 3. Continuer a analyser les requetes ARP du poste: Si le poste arpe 192.168.50.200, ca veut dire que cette adresse est dans le meme sous-reseau que lui, ajuster le masque avec la plus longue valeur compatible: /24. Le router se reconfigure avec 192.168.50.1 255.255.255.0. 3bis. Pour les postes qui ont une adresse publique configuree: continuer a analyser les requetes ARP du poste. Si une requete ARP est envoyee et n'est pas retournee pendant la valeur du timeout, envoyer une reponse avec l'adresse MAC du routeur (voir "possibilite de spoofing sur la patte interne" ci-dessus). > - comment determiner que le poste est eteint, pour que > le routeur relache l'adresse IP Y ? balancer des > requetes arp regulierement ? Ca semble raisonable. > - Si un proxy http est configure sur le poste, c'est mort > sans utiliser de redirecteur reseau. C'est vrai, mais ceci n'est pas une nouveaute. Le code pour faire du "transparent proxy" existe deja (peut etre pas dans le domaine public, mais plusieurs vendeurs l'ont). > Apres qqes discussions (merci JJ & Adel), il semble qu'essayer > de reconfigurer la couche IP du routeur pour chaque nouveau > client est peut etre hasardeux (trouver le bon netmask par > tatonnement, et risque de duplicate IP). Peut-etre, mais c'est la seule solution. > Si on arrive a jouer avec proxy-arp, peut etre qu'on peut > "capter" le trafic niveau 2 sans avoir reconfigure la > couche IP du routeur. Je ne pense pas. Proxy-arp a ete concu pour remedier a un manque de configuration du routeur, pas pour accomoder deux sous-reseaux differents. La seule solution valable est celle que tu as decrit originellement. > Enfin, petit ecueil : les 12000 euros pour le boitier F5 ;-) Ca fait un peu cher pour un router CPE. A ce prix la, le client va s'apercevoir qu'il faut configurer son poste avec DHCP :-) Michel. ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
