Comment configurer un pare-feu transparent avec ArchLinux

Jessaye de configurer un pare-feu transparent avec ArchLinux.

Ma configuration ressemble à ceci:

(ISP, IP: 10.90.10.254) \ \ \ (eth0-> ip: 10.90.10.1 gateway: 10.90.10.254) +-----------+ | | | PC | |(as server)| +-----------+ \ (eth1-> ip: 10.90.10.100) \ \ (10.90.10.101)\ | (wireless-> ip-range: 10.90.10.102-) +-------+ |Router | +-------+ 

Mon routeur na pas de capacités de pare-feu, je dois donc supprimer un pare-feu entre le routeur et mon FAI.

Commentaires

  • Masques de réseau? Voulez-vous que eth0 et eth1 sur " PC " pontés?
  • Il est inhabituel davoir le " serveur " sur la connexion ISP et le " routeur " derrière le serveur …
  • @HaukeLaging oui, ' est inhabituel, mais jai besoin dappliquer des règles de pare-feu et de contrôle du trafic, et le routeur ne ' t avoir ces fonctionnalités
  • Quand vous dites " router " , voulez-vous vraiment dire " point daccès sans fil "? Ça y ressemble vraiment …
  • @derobert oui, je veux dire un vrai routeur, un Dlink … Jai configuré le réseau avec la réponse de Cha0s et fonctionne maintenant comme prévu!

Réponse

Pour ce faire, vous devez mettre eth0 et eth1 en mode pont sur le PC et donner 1 ip au pont interface (pas sur les eths individuels)

Voici les bases du pontage sous Linux, pour commencer http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/index.html

En fonction de votre distribution, il peut y avoir un moyen plus rapide / meilleur de faire le pontage.

Maintenant, la plage IP sans fil que vous avez mentionnée ne peut pas être spécifiée via une configuration . Cest à vous de décider quelles adresses IP vous allouerez où.

Vous pourriez peut-être contrôler cela via DHCP, mais cela dépend de votre configuration globale et de vos besoins.

Commentaires

  • Ok, je ' je vais lire … Jutilise ArchLinux, puis après jai ' ll faites quelques recherches dans ArchWiki. Merci pour votre réponse!
  • Jai configuré le pont en utilisant netctl (Archlinux default ' s), Après cela, jai configuré le routeur (D-Link DI-524) en mode pont également, alors maintenant mon réseau fonctionne également, merci encore!
  • Notez quavec une configuration pontée, vos règles de pare-feu iptables normales ne sappliqueront pas. Vous aurez peut-être de la chance avec ebtables si vous voulez faire du pare-feu, mais je ' recommander une configuration routée à la place.

Réponse

Vous devez dabord activer la traduction dadresse réseau:
Insérez cette ligne

net.ipv4.ip_forward = 1

à

/etc/sysctl.conf

(après linsertion de la ligne, leffet prend immédiatement) et lajout dune règle de pare-feu:

iptables -t NAT -A POSTROUTING -! o lo -j MASQUERADE

Et maintenant le réseau sans fil peut envoyer des paquets du PC serveur au FAI
Une autre suggestion: désactivez « tous » laccès au serveur et nactivez que ce dont vous avez vraiment besoin:

iptables -P INPUT DROP
iptables -A INPUT -m state –state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state NEW -j ACCPET

ce paramètre désactive le flux de paquets « tout autorisé » par défaut, il est désactivé pour se connecter depuis le FAI (et WAN) vers les ports du serveur, active les connexions hors du réseau sans fil.
Si vous devez ouvrir les ports du serveur dans le pare-feu:

iptables – A INPUT -p tcp -m tcp –dport 22 -j ACCEPTER

remplacer tcp par udp si nécessaire, et les plages de ports peuvent ajoutez avec from: to pattern.
si quelque chose ne va pas et fermez-vous, vous pouvez réinitialiser les règles du pare-feu:

iptables -F

Le moyen le plus simple, si vous installez un webmin dans votre système serveur, il a une grande interface graphique de configuration de pare-feu. Mais souvenez-vous toujours de la commande « iptables -F » si vous vous fermez et que vous ne pouvez pas accéder à webmin

Commentaires

  • I ' jai essayé ceci mais cela ne fonctionne pas ', eth0: 10.90.10.1/24; eth1: 10.90.10.100/24; routeur: 10.90.10.101/24; % sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 % sudo iptables -t nat -L -n [...] Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 PS: jai changé votre règle iptables pour # iptables -t nat -A POSTROUTING ! -o lo -j MASQUERADE

Réponse

Cela devrait être possible (du point de vue du serveur) si vous définissez eth0 (et peut-être eth1 aussi) comme une interface point à point (voir man ip-address, peer).

De mon avis, la sélection dadresse est une mauvaise idée à tous points de vue: les réseaux deth1 et du WLAN ne doivent pas se chevaucher.Ce nest pas possible si eth1 nest pas une interface point à point et que le WLAN commence à 102.

Pire encore sur le routeur: son IP LAN fait partie du réseau WLAN, il faudrait donc p2p aussi (peut-il être configuré sur le routeur?).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *