config iptables d'un routeur à base iptables derrière une livebox
Le
Thierry B
Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Même si ca n'utilise pas explicitement une debian, je pense que l'on
peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
+ dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur
certains petits points dans iptables.
J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.
Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
192.168.1.qque chose.
Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à
mettre car je ne suis pas sure de leur utilités:
# Refuser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Journaliser les adresses sources falsifiées ou non routables
# echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Ignorer les messages de diffusion ICMP
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Ne pas envoyer de messages redirigés
# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Anti Flood
# iptables -N syn-flood
# iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
# iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
# iptables -A syn-flood -j DROP
# Rejets
# iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat
classique mais pour une double nat, peut-etre que la livebox, filtrera
ces paquets parasites non?
Merci :-)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Poser une question
routeurs l' un derrière l'autre ????
1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie modem
2) utilise ton routeur WRT54GL
3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
d'ailleurs
4) utiliser le WiFi du WRT54GL
Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
Je ne connais pas trop la livebox, c''est pour le commere de mon père,
mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
impossible, de n'utiliser que la partie modem de la livebox.
On est obligé de l'utilser en modem-routeur...
Une config avec pare-feu sous iptables est tjs recommandé quand on a un
routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
ports pour voir quels sont les ports que tu as natté sur ton
routeur...alors que par exemple qque chose du genre:
# J'accepte les connexions du wan vers lan d'une connexion deja etablie
iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
ACCEPT
fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
essaie de scanner avec un nmap.
Merci.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
un routeur derriere un autre... alors 3... ! mais je ne connais pas la live
box
pour moi non un routeur hardware est plus interessant que d'utiliser iptabl e
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement c e
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux
un partie de ton occupation CPU est exigée autrement pas!
ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000
connexions/jour et une demi-douzaine de serveurs
Le Jeudi 21 Septembre 2006 12:42, Thierry B a écrit :
--
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS
on4hu a écrit :
Où ça, trois routeurs ? Je ne vois que la Livebox et le Linksys.
Si tu as la recette pour passer une Livebox en bridge, je pense que ça
intéressera du monde.
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Ben voyons...
C'est bien ce que ThierryB a annoncé avoir l'intention de faire.
Mouais, on va dire que je réponds parce que ça pourrait aussi servir sur
une Debian. ;-)
Attention : rp_filter n'est activé pour une interface donnée que s'il
est à 1 dans net/ipv4/conf/all/ *et* dans net/ipv4/conf/ D'autre part, il n'a pas pour but de "refuser les adresses sources
falsifiées ou non routables" mais de rejeter les paquets dont l'adresse
source n'est pas routée via l'interface d'arrivée.
Il s'agit plutôt de "messages ICMP de redirection" (ICMP Redirect). Il
est AMA plus utile de les ignorer (accept_redirect=0) que de ne pas en
envoyer.
4 TCP SYN par seconde me paraît très faible.
Peut-être, peut-être pas. Mais ça ne mange pas de pain de considérer que
la Livebox ne filtre rien. D'autant plus que tu n'as pas un contrôle
absolu sur elle !
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Ça alors ! Et pourtant :
$ traceroute www.debian.org
traceroute to www.debian.org (194.109.137.218)
1 lo1-lns102-tip-voltaire.nerim.net (62.4.16.251)
2 gi0-3-2-svenny.nerim.net (62.4.16.6)
3 gi0-1-thevenin.nerim.net (194.79.130.21)
4 po2-0-giaco.nerim.net (194.79.130.46)
5 ams-ix.tc2.xs4all.net (195.69.144.166)
6 0.so-7-0-0.xr2.3d12.xs4all.net (194.109.5.13)
7 0.so-2-0-0.cr1.3d12.xs4all.net (194.109.5.74)
8 klecker.debian.org (194.109.137.218)
Sept routeurs les uns derrières les autres pour joindre le site web de
Debian. Et ça marche ! ;-)
Pour une connexion ADSL, la charge induite par le routage et le filtrage
par iptables est négligeable.
1000 connexions par jour, c'est vraiment très peu. En P2P, ça peut être
10000 connexions simultanées.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact