2 accés réseau derriere un routeur

jaywax · 26/11/2004 18:24:15

Salut andesi

Equipé d'une sarge en 2.6.7 avec deux cartes reseaux, branchée derriere un routeur lynksys (WRT54GS), jvoulais savoir si ca vous parraissait idiot que je branche mes deux cartes reseaux sur le routeur (4 ports) en reservant eth0 pour mon lan et eth1 pour le wan (par exemple), tout ca en forwardant les ports kil faut. Ca me permettrait de rajouter un peu plus de sécurité par iptables en filtrant bien comme il faut.

Qu'en pensez-vous ?

J a y w a x

Malekal_morte · 26/11/2004 19:29:52

bha ça dépend de tes besoins et qui utilisent le LAN et WAN et ce que tu as.
Le fait de faire ce que tu fais là, ça te permet de séparer les deux réseaux.

Maintenant, le mieux serait de séparer le LAN des serveurs dits publics.
genre les serveurs publics sur le LAN en forwarddant de ton routeur et ton linux dessus.
et le WAN de l'autres côté avec tes postes clients.

Comme ça si le gars te nique un des serveurs via une faille logiciel que tu forwards ( ssh, apache.. etc.. ), ben il peut pas aller sur tes postes clients et tu peux continuer à jouer à CS lol vu qu'ils sont séparés.

L'important c'est de rien faire tourner en service sur ta passerelle qui est connecté aux deux réseaux, comme ça tu peux pas te la faire comprometre ( encore que dans ton cas y a du forward de port de ton routeur à ta passerelle.. ).

Mais bon avec les forward ça limite caremment la casse... on peut pas faire grand chose si c'est un serveur avec du forward de port dessus.

jaywax · 26/11/2004 20:06:59

Salut Malekal_morte et merci pour ta réponse

Maintenant, le mieux serait de séparer le LAN des serveurs dits publics.
genre les serveurs publics sur le LAN en forwarddant de ton routeur et ton linux dessus.
et le WAN de l'autres côté avec tes postes clients.

Clair que j'y avais pensé, mais j'ai pas trouvé de firware sur ce foutu routeur qui permette de le faire. Il ya bien la notion de VLAN, mais j'arrive pas à la mettre en place (Rha le boulet ). Du coup, tout est dans le même subnet... C'est pas terrible, même avec du forwarding...
En tout k, merci pour tes lumières

Malekal_morte · 26/11/2004 20:20:34

Salut Malekal_morte et merci pour ta réponse

np

Du coup, tout est dans le même subnet... C'est pas terrible, même avec du forwarding...

lol ouais forcement... c'est pas top pour ce que tu cherchais à faire.

bha perso, j'aime pas les routeurs.
rien ne vaut une bonne machine sous linux

vu que c'est le WE et donc je suis de bonne humeur, j'te copie colle un script iptables que je mets à mon taf et qui est dans ton cas, y a juste des services que tu enlèveras si tu ne les utilises pas genre snmp, forward de l'imap etc... et en redéfinissant les ip et classes :

# Definition des interfaces
local=eth0 # cote local
localip=10.1.1.0/24
wan=eth1 # cote DMZ
wanip=10.0.0.0/24
# on remet la police par debut A ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# On remet les polices par debut pour la table NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# On vide (flush) toutes les regles existantes
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
# initialisation log
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-level warn --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-level warn --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
iptables -N LOG_FORWARD
iptables -A LOG_FORWARD -j LOG --log-level info --log-prefix '[IPTABLES FORWARD] : '
iptables -A LOG_FORWARD -j DROP
# Politique de refus
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Je veux pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
    do
       echo 1 > $filtre
    done
 fi
# Enable broadcast echo Protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Disable Source Routed Packets
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
    echo 0 > $f
done
# Enable TCP SYN Cookie Protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Disable ICMP Redirect Acceptance
for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
    echo 0 > $f
done
# Don¹t send Redirect Messages
for f in /proc/sys/net/ipv4/conf/*/send_redirects; do
    echo 0 > $f
done
# Drop Spoofed Packets coming in on an interface, which if replied to,
# would result in the reply going out a different interface.
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
done
# Log packets with impossible addresses.
for f in /proc/sys/net/ipv4/conf/*/log_martians; do
    echo 1 > $f
done
# ------- Stealth Scans and TCP State Flags ------------
# All of the bits are cleared
iptables -A INPUT   -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
# SYN and FIN are both set
iptables -A INPUT   -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# SYN and RST are both set
iptables -A INPUT   -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# FIN and RST are both set
iptables -A INPUT   -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
# FIN is the only bit set, without the expected accompanying ACK
iptables -A INPUT   -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set, without the expected accompanying ACK
iptables -A INPUT   -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set, without the expected accompanying ACK
iptables -A INPUT   -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j DROP
# On accepte tout en local
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#      ----------- FORWARD -----------------
# FORWARD du local vers wan si cnx etablies par local
iptables -t filter -A FORWARD -i $wan -o $local -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i $local -o $wan -m state --state ! INVALID -j ACCEPT
# FORWARD pour l'imap :)
iptables -t filter -A FORWARD -i $wan -o $local -m state --state ! INVALID -p tcp --dport 143 -j ACCEPT
iptables -t filter -A FORWARD -i $local -o $wan -m state --state ! ESTABLISHED,RELATED -p tcp --sport 143 -j ACCEPT
#      ----------- INPUT / OUTPUT ----------
# FTP
iptables -A INPUT -i $wan -d $wanip -m state --state ESTABLISHED,RELATED -p tcp --sport 20:21 -j ACCEPT
iptables -A OUTPUT -o $wan -d $wanip -m state --state ! INVALID -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i $local -d $localip -m state --state ESTABLISHED,RELATED -p tcp --sport 20:21 -j ACCEPT
iptables -A OUTPUT -o $local -d $localip -m state --state ! INVALID -p tcp --dport 20:21 -j ACCEPT
# SSH serveur
iptables -A INPUT -i $local -m state --state ! INVALID -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o $local -m state --state ESTABLISHED,RELATED -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i $wan -m state --state ! INVALID -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ESTABLISHED,RELATED -p tcp --sport 22 -j ACCEPT
# SSH client
iptables -A INPUT -i $local -m state --state ESTABLISHED,RELATED -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o $local -m state --state ! INVALID -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ! INVALID -p tcp --dport 22 -j ACCEPT
# Regle pour DNS
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ! INVALID --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ! INVALID --protocol tcp --destination-port 53 -j ACCEPT
# Regle pour HTTP et HTTPS
iptables -A INPUT  -i $wan -m state --state ESTABLISHED -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ! INVALID -p tcp --dport 443 -j ACCEPT
iptables -A INPUT  -i $wan -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ! INVALID -p tcp --dport 80 -j ACCEPT
iptables -A INPUT  -i $local -m state --state ESTABLISHED -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -o $local -m state --state ! INVALID -p tcp --dport 443 -j ACCEPT
iptables -A INPUT  -i $local -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o $local -m state --state ! INVALID -p tcp --dport 80 -j ACCEPT
# server apache venant du local
iptables -A INPUT  -i $local -m state --state ! INVALID -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o $local -m state --state ESTABLISHED,RELATED -p tcp --sport 80 -j ACCEPT
# SNMP
iptables -A OUTPUT -o $wan -d $wanip -m state --state ! INVALID -p tcp --dport 161 -j ACCEPT
iptables -A INPUT -i $wan -s $wanip -m state --state ESTABLISHED -p tcp --sport 161 -j ACCEPT
iptables -A OUTPUT -o $wan -d $wanip -m state --state ! INVALID -p udp --dport 161 -j ACCEPT
iptables -A INPUT -i $wan -s $wanip -m state --state ESTABLISHED -p udp --sport 161 -j ACCEPT
iptables -A OUTPUT -o $local -d $localip -m state --state ! INVALID -p tcp --dport 161 -j ACCEPT
iptables -A INPUT -i $local -s $localip -m state --state ESTABLISHED -p tcp --sport 161 -j ACCEPT
iptables -A OUTPUT -o $local -d $localip -m state --state ! INVALID -p udp --dport 161 -j ACCEPT
iptables -A INPUT -i $local -s $localip -m state --state ESTABLISHED -p udp --sport 161 -j ACCEPT
# ntp ( synchro de l'heure pour serveur IRC )
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -p tcp --sport 37 -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ! INVALID -p tcp --dport 37 -j ACCEPT
iptables -A INPUT -i $local -d $localip -m state --state ESTABLISHED,RELATED -p tcp --sport 1024:65000 --dport 1024:65000 -j ACCEPT
iptables -A OUTPUT -o $local -d $localip -m state --state ! INVALID -p tcp --sport 1024:65000 --dport 1024:65000 -j ACCEPT
# Accept les pings pour hervé ;)
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
#      ----------- MASQUERADE / FORWARD DE PORT -----------------
# forward du port imap
iptables -t nat -A PREROUTING -i $wan -s $wanip -d $localip -p tcp --dport 143 -m state --state ! INVALID -j DNAT --to-destination 10.1.1.6:143
# On active le NAT...
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -j MASQUERADE
# Logs des paquets refuses
echo "4 4 1 7"> /proc/sys/kernel/printk # Pour ne pas que les logs arrivent sur la console
iptables -A INPUT -p tcp -j LOG_DROP
iptables -A OUTPUT -p tcp -j LOG_DROP
iptables -A INPUT -p udp -j LOG_DROP
iptables -A OUTPUT -p udp -j LOG_DROP
iptables -A FORWARD -j LOG_FORWARD

jaywax · 26/11/2004 22:24:37

--> Ca devrait faire des heureux, car ce routeur tourne sous linux (uname -a : Linux gateway 2.4.20 #2 Wed Nov 17 11:49:43 CET 2004 mips unknown). Vu que le firmware de base est opensource, une multitude en est sorti et est dispo sur le web, ce que je trouve bien sympathique ^^.
En tout cas, merci pour ton script (un peu bizarre, le : "j'accepte tout par défaut, puis je flush puis je refuse" lol). Je creuse la question et posterais mon script, histoire de traquer les erreurs

Jaywax, content de son AP mais qui commence doucement à regretter son achat...
@++

Malekal_morte · 26/11/2004 23:19:39

--> Ca devrait faire des heureux, car ce routeur tourne sous linux (uname -a : Linux gateway 2.4.20 #2 Wed Nov 17 11:49:43 CET 2004 mips unknown).

ben la freebox, c'est un hybride de linux aussi.
par contre, 2.4.20 c'est mal, y a plein de failles de sécu ! enfin sous linux... ché pas si sur ton routeur, elles peuvent être exploitées )

Vu que le firmware de base est opensource, une multitude en est sorti et est dispo sur le web, ce que je trouve bien sympathique ^^

oui c'est une des forces de l'opensource

je creuse la question et posterais mon script, histoire de traquer les erreurs

np

Jaywax, content de son AP mais qui commence doucement à regretter son achat...

c'est quoi AP ?

jaywax · 26/11/2004 23:35:05

AP = Access point --> Point d'accés pour le wifi...

Malekal_morte · 26/11/2004 23:39:00

ho ok
chuis une bille en Wifi

merci

ledub · 27/11/2004 00:10:20

np

c'est quoi NP ?

LeDub qui n'a rien compris à cette conversation !!!

Malekal_morte · 27/11/2004 00:12:11

np
c'est quoi NP ?

LeDub qui n'a rien compris à cette conversation !!!

no problem

Andesi - forum

#1 26/11/2004 18:24:15

2 accés réseau derriere un routeur

#2 26/11/2004 19:29:52

Re : 2 accés réseau derriere un routeur

#3 26/11/2004 20:06:59

Re : 2 accés réseau derriere un routeur

#4 26/11/2004 20:20:34

Re : 2 accés réseau derriere un routeur

#5 26/11/2004 22:24:37

Re : 2 accés réseau derriere un routeur

#6 26/11/2004 23:19:39

Re : 2 accés réseau derriere un routeur

#7 26/11/2004 23:35:05

Re : 2 accés réseau derriere un routeur

#8 26/11/2004 23:39:00

Re : 2 accés réseau derriere un routeur

#9 27/11/2004 00:10:20

Re : 2 accés réseau derriere un routeur

#10 27/11/2004 00:12:11

Re : 2 accés réseau derriere un routeur

Pied de page des forums