Mise en place d'un Firewall

Vous avez réalisé ou vous voulez réaliser un truc impensable avec votre Raspberry Pi ? Cet endroit est pour vous...

Modérateur : Francois

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Mise en place d'un Firewall

Message par rebeldu31 » lun. 4 juin 2018 11:32

Bonjour,

Je souhaiterais faire évoluer mon archi perso en ajoutant un Firewall entre ma box fibre et mon archi (RPI, NAS).

Pour cela je souhaite utiliser 1 framboise qui ne fera QUE ça (iptables)... Elle est connectée en direct sur ma box...
Mais voilà, je ne sais pas du tout comment configurer mes serveurs/mon archi pour que les entrées/sorties passent obligatoirement par le Firewall... :?
Sur ma framboise "de test", j'ai modifié le gateway (IP box <==> IP Firewall) mais malgré un blocage volontaire du ssh (pour tester), je passe quand même... :roll:

Si je pouvais avoir quelques conseils et/ou aides, je serais preneur...

Question subsidiaire : je souhaiterais "épurer" au maximum la Raspbian installée sur ma framboise "Firewall" afin de ne conserver que le strict minimum nécessaire mais je ne sais pas trop ce que je peux désinstaller sans problème...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

spourre
Raspinaute
Messages : 735
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Mise en place d'un Firewall

Message par spourre » lun. 4 juin 2018 12:41

rebeldu31 a écrit :
lun. 4 juin 2018 11:32
Bonjour,

Je souhaiterais faire évoluer mon archi perso en ajoutant un Firewall entre ma box fibre et mon archi (RPI, NAS).
...

Si je pouvais avoir quelques conseils et/ou aides, je serais preneur...

Question subsidiaire : je souhaiterais "épurer" au maximum la Raspbian installée sur ma framboise "Firewall" afin de ne conserver que le strict minimum nécessaire mais je ne sais pas trop ce que je peux désinstaller sans problème...
Bonjour,

AMHA, à part pour l'aspect pédagogique et son faible coût, vous commettez une double erreur en choisissant un Raspberry et l Debian pour monter votre firewall.

Le Raspberry est certainement le SBC le moins adapté à cet usage. Vous mentionnez une box fibre optique, sans toutefois préciser laquelle). Les 2 box que j'ai utilisées (orange et maintenant Free) ont un switch Ethernet( Gigabit et avec Free, j'i souvent plus de 800 Mbs de débit.
Un bon firewall présente, au minimum, 2 interfaces Ethernet (une 3 ème est même souhaitable pour la DMZ où l'on placera les serveur accessibles depuis le net). Le Raspberry, même si sa dernière version améliore un peu le débit, ne dispose pas de contrôleur Ethernet et son unique prise est gérée par le bus USB !
Ajouter une carte Ethernet sur le port USB ne pourra que dégrader davantage la situation.

Raspbian est une solution "généraliste" (polyvalent = bon à tout mais propre à rien) , bouffie, mal paramétrée par défaut, installant des centaines de programmes parfaitement inutiles dans cette emploi (jeux, bureautique, strech, multimédia...).

AMHA il faudrait s'orienter vers un clone de Rapberry ayant un vrai port Ethernet Gigabit et vers une distribution dédiée (genre ipcop mais il y en a d'autres).

Pour la dernière question, il faut installer, en DMZ, des relais pour les services utilisés (HTTP, DNS, SNMTP...). Vous noterez que cette architecture requiert encore plus de débit puisque le même flux transite par 3 interfaces.
Si votre box le permet (certain pour la Freebox), vous pouvez la passer en mode bridge mais ce n'est pas obligatoire. Il est en effet possible de faire du double NAT (celui de la box puis celui de votre firewall) et de considérer le LAN entre la sortie de la box (1er NAT) et l'entrée du firewall (2ème NAT) comme étant la DMZ (ceci permet d'utiliser une machine qui n'a que 2 cartes Ethernet).

Bon courage

Sylvain

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » mar. 5 juin 2018 18:22

OK...
Je vois le problème...

Mais puis-je au moins filtrer uniquement le flux entrant, le plus important pour moi ?
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

spourre
Raspinaute
Messages : 735
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Mise en place d'un Firewall

Message par spourre » mar. 5 juin 2018 19:21

rebeldu31 a écrit :
mar. 5 juin 2018 18:22
OK...
Je vois le problème...

Mais puis-je au moins filtrer uniquement le flux entrant, le plus important pour moi ?
Je pense qu'à titre purement pédagogique, pour vous familiariser avec une distribution dédiée et vous faire la main, vous pouvez tenter l'expérience.
Au pire, cela vous permettra de valider mes observations avant d’investir dans une autre carte.
Il y a toujours à apprendre, même d'un échec (ou d'un 1/2 succès).

Sylvain

dyox
Raspinaute
Messages : 521
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Mise en place d'un Firewall

Message par dyox » mar. 5 juin 2018 20:11

Bonsoir,

Pourrait-on avoir le contenu de votre iptable ?
Il doit y avoir une mauvaise config pour laisser passer le ssh alors qu'il devrait être bloqué :ugeek:

Je ne suis pas expert réseau mais effectivement je suis d'accord avec vous, tout appareil du réseau doit avoir comme passerelle l'@ip du firewall pour un filtrage.

De mémoire, le réseau, c'est le coeur de métier de Maxty01 (vaudou inside :D )

Et pour une utilisation purement firewall, il existe IPFire
Débutant sous RPi / linux

:arrow: :arrow: :arrow: [Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (liste de liens utiles)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » mer. 6 juin 2018 11:27

Je ne vais pas fournir le contenu complet de mon iptable, beaucoup trop long...
:shock:

Ce que je fais, je ferme tout et n'ouvre que ce que je veux autoriser...
Actuellement j'ai 1 iptable local par serveur...

Pour mes tests :
- sur le serveur 1, laisser le gateway "par défaut" (ma box)
- sur le serveur 1, autoriser mon serveur 1 à faire du ssh sur le serveur 2
- sur le serveur 2, autoriser le serveur 2 à recevoir le serveur 1 en ssh
==> ça passe (normal)

- sur le serveur 1, laisser le gateway "par défaut" (ma box)
- sur le serveur 1, autoriser mon serveur 1 à faire du ssh sur le serveur 2
- sur le serveur 2, interdire ("DROP") le serveur 2 à recevoir le serveur 1 en ssh
==> ça ne passe pas (normal)

- sur le serveur 1, modifier le gateway (firewall à la place de ma box)
- sur le serveur 1, autoriser mon serveur 1 à faire du ssh sur le serveur 2
- sur le serveur 2, autoriser le serveur 2 à recevoir le serveur 1 en ssh
- sur le firewall, interdire ("DROP") le ssh du serveur 1 vers le serveur 2
==> ça passe (pas normal) :o

- sur le serveur 1, modifier le gateway (firewall à la place de ma box)
- sur le serveur 1, autoriser mon serveur 1 à faire du ssh sur le serveur 2
- sur le serveur 2, autoriser le serveur 2 à recevoir le serveur 1 en ssh
- sur le firewall, rien accepter ou interdire en ssh du serveur 1 vers le serveur 2
==> ça passe (pas normal) :o

:roll: :roll:
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

dyox
Raspinaute
Messages : 521
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Mise en place d'un Firewall

Message par dyox » mer. 6 juin 2018 12:46

Il ne reste qu'à voir quelle route est utilisée pour les paquets je dirai, lancez la commande traceroute pour voir. Je ne pense pas que les paquets passent par le firewall. Il doivent avoir en cache (si cela existe) une ancienne route.
Le serveur 2 n'utilise pas la passerelle du firewall ?
Débutant sous RPi / linux

:arrow: :arrow: :arrow: [Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (liste de liens utiles)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » mer. 6 juin 2018 16:12

dyox a écrit :
mer. 6 juin 2018 12:46
Il ne reste qu'à voir quelle route est utilisée pour les paquets je dirai, lancez la commande traceroute pour voir. Je ne pense pas que les paquets passent par le firewall. Il doivent avoir en cache (si cela existe) une ancienne route.
Le serveur 2 n'utilise pas la passerelle du firewall ?
Non, le serveur 2 n'a pas le firewall comme gateway...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » mer. 6 juin 2018 16:32

Gateway du serveur changée...
==> ça passe malgré le blocage du firewall...
:roll:
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

nexen
Raspinaute
Messages : 175
Enregistré le : lun. 29 sept. 2014 13:58

Re: Mise en place d'un Firewall

Message par nexen » jeu. 7 juin 2018 10:18

Et avec le traceroute, ça donne quoi ?

pourrais-tu nous fournir la conf (Ipconfig ou ifconfig) de ton client ?

Répondre

Retourner vers « Utilisateurs avancés »