[ANNULE] Mise en place d'un Firewall
Modérateur : Francois
Re: Mise en place d'un Firewall
Traceroute :
que des "*"... (???)
ifconfig :
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.169 netmask 255.255.255.0 broadcast 192.168.1.255
ether b8:27:eb:73b9 txqueuelen 1000 (Ethernet)
RX packets 157207 bytes 16276476 (15.5 MiB)
RX errors 0 dropped 5 overruns 0 frame 0
TX packets 58581 bytes 9725399 (9.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
que des "*"... (???)
ifconfig :
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.169 netmask 255.255.255.0 broadcast 192.168.1.255
ether b8:27:eb:73b9 txqueuelen 1000 (Ethernet)
RX packets 157207 bytes 16276476 (15.5 MiB)
RX errors 0 dropped 5 overruns 0 frame 0
TX packets 58581 bytes 9725399 (9.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
-
- Raspinaute
- Messages : 735
- Enregistré le : lun. 22 déc. 2014 16:50
- Localisation : 67380 LINGOLSHEIM
Re: Mise en place d'un Firewall
Sauf si vous considérez cette info comme étant hautement confidentielle, pouvez-vous nous indiquez quel est votre FAI.
Je pose cette question car j'ai récemment découvert que chez Free, en ZMD Orange, l'adressage IP est ...... très particulier.
Sylvain
Je pose cette question car j'ai récemment découvert que chez Free, en ZMD Orange, l'adressage IP est ...... très particulier.
Sylvain
Re: Mise en place d'un Firewall
Je suis chez Bouygues...
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
-
- Raspinaute
- Messages : 735
- Enregistré le : lun. 22 déc. 2014 16:50
- Localisation : 67380 LINGOLSHEIM
Re: Mise en place d'un Firewall
OK. Ce n'est donc pas l’explication. Je donne tout de même cette particularité car cela peut servir à d'autres lecteurs.
En ZMD (Zone de moyenne densité) Orange, Free utilise une @IP COMMUNE (sic) pour 4 abonnés.
Par contre, chacun d'eux ne dispose que de 1/4 des ports t la séparation des flux s'effectue par PAT. Ceci est transparent pour 99% des usages normaux. Dans l'interface de gestion, il est possible de demander une adresse fixe qui a le nom commercial bizarre de "full stack" (mais c'est gratuit).
Sylvain
Re: Mise en place d'un Firewall
Pour mon "traceroute" qui ne me donnait que des "*****", j'ai "corrigé"...
J'ai autoriser udp sur les ports 33434:33523 du serveur 1 vers le serveur 2, et là j'ai un résultat "parlant" de mon "traceroute"...
traceroute IP_serveur_2
traceroute to IP_serveur_2 (IP_serveur_2), 30 hops max, 60 byte packets
1 serveur_2 (IP_serveur_2) 0.903 ms 0.623 ms 0.861 ms
En clair, il y va direct, sans passer par le firewall...
Un soucis de routes ?? config eth0 ??
voici mon "route" :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default FIREWALL 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
J'ai autoriser udp sur les ports 33434:33523 du serveur 1 vers le serveur 2, et là j'ai un résultat "parlant" de mon "traceroute"...
traceroute IP_serveur_2
traceroute to IP_serveur_2 (IP_serveur_2), 30 hops max, 60 byte packets
1 serveur_2 (IP_serveur_2) 0.903 ms 0.623 ms 0.861 ms
En clair, il y va direct, sans passer par le firewall...
Un soucis de routes ?? config eth0 ??
voici mon "route" :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default FIREWALL 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Re: Mise en place d'un Firewall
Oui, j'ai entendu parlé de ça...spourre a écrit : ↑jeu. 7 juin 2018 16:28OK. Ce n'est donc pas l’explication. Je donne tout de même cette particularité car cela peut servir à d'autres lecteurs.
En ZMD (Zone de moyenne densité) Orange, Free utilise une @IP COMMUNE (sic) pour 4 abonnés.
Par contre, chacun d'eux ne dispose que de 1/4 des ports t la séparation des flux s'effectue par PAT. Ceci est transparent pour 99% des usages normaux. Dans l'interface de gestion, il est possible de demander une adresse fixe qui a le nom commercial bizarre de "full stack" (mais c'est gratuit).
Sylvain
Ça a même créé un problème à 1 particulier qui a vu débarqué les flics chez lui, l'embarqué pour....pédophilie alors que c'était.....son voisin...qui avait la même IP chez leur FAI (on sait pas lequel d'ailleurs... )...
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Re: Mise en place d'un Firewall
Personne pour me guider/aider ?
Dois-je abandonner l'idée de mettre en place un Firewall en entrée ?
Dois-je abandonner l'idée de mettre en place un Firewall en entrée ?
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
-
- Raspinaute
- Messages : 969
- Enregistré le : dim. 28 déc. 2014 15:28
- Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe
Re: Mise en place d'un Firewall
Bonsoir rebeldu31,
Pour ma part, je ne peux pas vous aider sur la base iptable. Je ne sais pas m'en servir
Par contre, suite à votre post, je me suis renseigné comment installer un firewall en tant qu'OS. Il y a IPFire, pfSence, Openwrt(LEDE maintenant) et Turris OS (du fameux routeur Open Source Turris Omnia).
Bien qu'ayant aucune expérience de compilation d'image, j'ai essayé de compiler les sources pour Pi2 et configurer avec les drivers de ma clé wifi avec Turris OS et LEDE. J'ai toujours des erreurs donc pour l'instant j'ai abandonné et j'ai téléchargé (comme un lâche ) une image de LEDE pour Piv2 seulement et celle qui englobe la totale des Pi. La totale ne fonctionne pas sur ma v2 mais l'autre oui. Ca, c'était ce soir et maintenant il faut que j'installe le package de mon driver wifi mais j'y accède en eth0.
Voici tout ce que peut faire LEDE, un vrai couteau suisse.
Mon objectif est d"installé adblock. Cette distribution est bien plus complète que Pi-Hole.
D'ailleurs, je pensais faire un groupe de travail avec des personnes intéressées où chacun avance à son rythme et explique ses difficultés / choix de packages / explication...
Là j'avance...à mon rythme
La finalité sera de se compiler sa propre distribution ou la distribution standard + script d'install package + configuration
Etes-vous intéressé par cette distribution ?
Pour ma part, je ne peux pas vous aider sur la base iptable. Je ne sais pas m'en servir
Par contre, suite à votre post, je me suis renseigné comment installer un firewall en tant qu'OS. Il y a IPFire, pfSence, Openwrt(LEDE maintenant) et Turris OS (du fameux routeur Open Source Turris Omnia).
Bien qu'ayant aucune expérience de compilation d'image, j'ai essayé de compiler les sources pour Pi2 et configurer avec les drivers de ma clé wifi avec Turris OS et LEDE. J'ai toujours des erreurs donc pour l'instant j'ai abandonné et j'ai téléchargé (comme un lâche ) une image de LEDE pour Piv2 seulement et celle qui englobe la totale des Pi. La totale ne fonctionne pas sur ma v2 mais l'autre oui. Ca, c'était ce soir et maintenant il faut que j'installe le package de mon driver wifi mais j'y accède en eth0.
Voici tout ce que peut faire LEDE, un vrai couteau suisse.
Mon objectif est d"installé adblock. Cette distribution est bien plus complète que Pi-Hole.
D'ailleurs, je pensais faire un groupe de travail avec des personnes intéressées où chacun avance à son rythme et explique ses difficultés / choix de packages / explication...
Là j'avance...à mon rythme
La finalité sera de se compiler sa propre distribution ou la distribution standard + script d'install package + configuration
Etes-vous intéressé par cette distribution ?
[Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (index de liens utiles)
Awesome Raspberry Pi
Awesome Raspberry Pi
Re: Mise en place d'un Firewall
Bonjour,dyox a écrit : ↑mar. 12 juin 2018 21:53Bonsoir rebeldu31,
Pour ma part, je ne peux pas vous aider sur la base iptable. Je ne sais pas m'en servir
Par contre, suite à votre post, je me suis renseigné comment installer un firewall en tant qu'OS. Il y a IPFire, pfSence, Openwrt(LEDE maintenant) et Turris OS (du fameux routeur Open Source Turris Omnia).
Bien qu'ayant aucune expérience de compilation d'image, j'ai essayé de compiler les sources pour Pi2 et configurer avec les drivers de ma clé wifi avec Turris OS et LEDE. J'ai toujours des erreurs donc pour l'instant j'ai abandonné et j'ai téléchargé (comme un lâche ) une image de LEDE pour Piv2 seulement et celle qui englobe la totale des Pi. La totale ne fonctionne pas sur ma v2 mais l'autre oui. Ca, c'était ce soir et maintenant il faut que j'installe le package de mon driver wifi mais j'y accède en eth0.
Voici tout ce que peut faire LEDE, un vrai couteau suisse.
Mon objectif est d"installé adblock. Cette distribution est bien plus complète que Pi-Hole.
D'ailleurs, je pensais faire un groupe de travail avec des personnes intéressées où chacun avance à son rythme et explique ses difficultés / choix de packages / explication...
Là j'avance...à mon rythme
La finalité sera de se compiler sa propre distribution ou la distribution standard + script d'install package + configuration
Etes-vous intéressé par cette distribution ?
iptables me suffit largement... Il suffit juste que je fasse les bonnes règles !!!
Mais merci de l'info.
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Re: Mise en place d'un Firewall
J'avance....
A petits pas mais j'avance...
Voici ce que j'ai fais :
- mise en place d'une DMZ sur ma box en choisissant mon RPI Firewall
- activer le routage sur le firewall (sysctl -w net.ipv4.ip_forward=1)
- désactiver le nat de ma box
- définition de règles de "forward" avec iptables (iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XX -j DNAT --to-destination XX.XX.XX.XX:XX, iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT)
Et ça à l'air de fonctionner...
Lorsque je vais sur une URL https://www.mon_domaine.fr:port je suis bien redirigé vers l'URL voulue.
Par contre, je bloque sur 2 choses :
- n'autoriser QUE des macadresses précises à y accéder
- lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Je tourne 1 peu en rond là...
A petits pas mais j'avance...
Voici ce que j'ai fais :
- mise en place d'une DMZ sur ma box en choisissant mon RPI Firewall
- activer le routage sur le firewall (sysctl -w net.ipv4.ip_forward=1)
- désactiver le nat de ma box
- définition de règles de "forward" avec iptables (iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XX -j DNAT --to-destination XX.XX.XX.XX:XX, iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT)
Et ça à l'air de fonctionner...
Lorsque je vais sur une URL https://www.mon_domaine.fr:port je suis bien redirigé vers l'URL voulue.
Par contre, je bloque sur 2 choses :
- n'autoriser QUE des macadresses précises à y accéder
- lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Je tourne 1 peu en rond là...
Pi3 : envoi/réception SMS et sauvegardes
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)
Pi4 : serveur de mail privé
Pi3 : serveur de surveillance
Pi3 : serveur web
Pi3 : serveur de tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)