Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration d'un routeur avec Netplan

cedric2975

Bonjour,

Voici mon objectif:

freebox<=>[enp2s0]-serveur ubuntu 20.04 - [enp3s0]<=>réseau local(routeur netgear ou autre)

Je souhaite utiliser le pc hébergeant le serveur comme routeur et pouvoir bloquer des connexions internet de certaines IP avec iptables.

Voici mon fichier *.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    enp3s0:
      dhcp4: false

    enp2s0:
      optional: true
      dhcp4: false
    
  bridges:
    br0:
      interfaces: [enp3s0,enp2s0]

Le retour de

sudo netplan --debug generate

DEBUG:command generate: running ['/lib/netplan/generate']
** (generate:14596): DEBUG: 20:28:18.058: Processing input file /etc/netplan/00-installer-config.yaml..
** (generate:14596): DEBUG: 20:28:18.058: starting new processing pass
** (generate:14596): DEBUG: 20:28:18.058: We have some netdefs, pass them through a final round of validation
** (generate:14596): DEBUG: 20:28:18.058: enp2s0: setting default backend to 1
** (generate:14596): DEBUG: 20:28:18.058: Configuration is valid
** (generate:14596): DEBUG: 20:28:18.058: enp3s0: setting default backend to 1
** (generate:14596): DEBUG: 20:28:18.058: Configuration is valid
** (generate:14596): DEBUG: 20:28:18.058: br0: setting default backend to 1
** (generate:14596): DEBUG: 20:28:18.058: Configuration is valid
** (generate:14596): DEBUG: 20:28:18.059: Generating output files..
** (generate:14596): DEBUG: 20:28:18.059: openvswitch: definition enp3s0 is not for us (backend 1)
** (generate:14596): DEBUG: 20:28:18.059: NetworkManager: definition enp3s0 is not for us (backend 1)
** (generate:14596): DEBUG: 20:28:18.059: openvswitch: definition enp2s0 is not for us (backend 1)
** (generate:14596): DEBUG: 20:28:18.059: NetworkManager: definition enp2s0 is not for us (backend 1)
** (generate:14596): DEBUG: 20:28:18.059: openvswitch: definition br0 is not for us (backend 1)
** (generate:14596): DEBUG: 20:28:18.059: NetworkManager: definition br0 is not for us (backend 1)
(generate:14596): GLib-DEBUG: 20:28:18.059: posix_spawn avoided (fd close requested) 
(generate:14596): GLib-DEBUG: 20:28:18.060: posix_spawn avoided (fd close requested)

Avec cette configuration, j'ai bien une connexion internet sur ce qui est branché sur enp3s0, mais impossible de bloquer l'ip avec cette commande:

sudo iptables -A INPUT -s 192.168.x.xxx -j DROP

J'ai beaucoup cherché sur google des configurations similaires, mais je ne trouve pas grand chose, netplan est mal expliqué.
Donc je recherche surtout des informations claires sur netplan.

diesel

# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  renderer: networkd
  ethernets:
    enp3s0:
      addresses: [ 192.168.10.1/24 ]

   enp2s0:
      addresses: [ 192.168.1.2/24 ]
      gateway4: 192.168.1.1

En supposant que :
- ta freebox a bien l'adresse ip 192.168.1.1
- tu n'as pas déjà une machine avec l'adresse ip 192.168.1.2 déjà reliée à ta freebox
- tu veux que ton sous-réseau local ait des adresses dans 192.168.10.x

Amicalement.

Jean-Marie

cedric2975

Bonjour,

Merci, je vais essayer ca.
Du coup le bridge ne semble pas adapter à mon utilisation .

diesel

Après, il faut autoriser le forwarding ipv4 dans /etc/sysctl.conf et mettre en place un nat dans iptables.

Amicalement.

Jean-Marie

cedric2975

Bon j'avance à petit pas.

Netplan, c'est bon.
Le soucis que j'avais ensuite, c'est de ne pas avoir installer de serveur dhcp pour gérer l'interface LAN, donc rien ne s'y connectait.

A l'instant ou je rédige ce post, j'ai bien une connexion sur le pc connecté sur l'interface LAN(enp3s0), avec accès à l'extérieur.

cedric2975

Alors voici ou j'en suis.

WAN(enp2s0)<=routeur=>LAN(ensp3s0)<=>pctest(ip 192.168.10.3)
J’accède à internet depuis pctest sans problème, mais je veux pouvoir bloquer l'accès avec iptables.
Avec la règle iptables :

iptables -A INPUT -s 192.168.10.3 -j DROP

J'arrive à bloquer tout ce qui se passe entre le routeur et pctest(ping, ssh)mais je n'arrive pas à bloquer sa connexion vers l'extérieur, j'ai toujours internet sur ce pctest.

Voici mon fichier dhcpd.conf:

option domain-name "example.org";
option domain-name-servers 8.8.8.8,8.8.4.4;

subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.2 192.168.10.250;
option routers 192.168.10.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.10.255;
default-lease-time 86400;
max-lease-time 676800;
}

ddns-update-style none;

Le problème vient il de ça? :

option domain-name-servers 8.8.8.8,8.8.4.4;

diesel

Sur ton routeur, tu as trois tables :

- input ; ce qui rentre dans le routeur,
- output ; ce qui sort du routeur,
- forward ; ce qui traverse le routeur.

Pour bloquer l'accès internet à pctest, il te faut une règle dans la table forward.

Amicalement.

Jean-Marie

cedric2975

Super ça fonctionne, je te remercie.

Je passe en résolu..

diesel

Je t'en prie. Content que ça fonctionne pour toi.

Après, iptables, c'est "has been". Le successeur, c'est nftables.

Et si tu es un peu perdu au départ, il existe un outil pour convertir automatiquement tes règles iptables en règles nftables. Elle est pas belle la vie ? 😉 🙂

Amicalement.

Jean-Marie