Mise en place d'un Firewall

Vous avez réalisé ou vous voulez réaliser un truc impensable avec votre Raspberry Pi ? Cet endroit est pour vous...

Modérateur : Francois

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » jeu. 7 juin 2018 10:48

Traceroute :

que des "*"... (???)

ifconfig :

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.169 netmask 255.255.255.0 broadcast 192.168.1.255
ether b8:27:eb:73:de:b9 txqueuelen 1000 (Ethernet)
RX packets 157207 bytes 16276476 (15.5 MiB)
RX errors 0 dropped 5 overruns 0 frame 0
TX packets 58581 bytes 9725399 (9.2 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

spourre
Raspinaute
Messages : 735
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Mise en place d'un Firewall

Message par spourre » jeu. 7 juin 2018 12:31

Sauf si vous considérez cette info comme étant hautement confidentielle, pouvez-vous nous indiquez quel est votre FAI.
Je pose cette question car j'ai récemment découvert que chez Free, en ZMD Orange, l'adressage IP est ...... très particulier.

Sylvain

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » jeu. 7 juin 2018 15:55

Je suis chez Bouygues...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

spourre
Raspinaute
Messages : 735
Enregistré le : lun. 22 déc. 2014 16:50
Localisation : 67380 LINGOLSHEIM

Re: Mise en place d'un Firewall

Message par spourre » jeu. 7 juin 2018 16:28

rebeldu31 a écrit :
jeu. 7 juin 2018 15:55
Je suis chez Bouygues...
OK. Ce n'est donc pas l’explication. Je donne tout de même cette particularité car cela peut servir à d'autres lecteurs.
En ZMD (Zone de moyenne densité) Orange, Free utilise une @IP COMMUNE (sic) pour 4 abonnés.
Par contre, chacun d'eux ne dispose que de 1/4 des ports t la séparation des flux s'effectue par PAT. Ceci est transparent pour 99% des usages normaux. Dans l'interface de gestion, il est possible de demander une adresse fixe qui a le nom commercial bizarre de "full stack" (mais c'est gratuit).

Sylvain

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » jeu. 7 juin 2018 16:35

Pour mon "traceroute" qui ne me donnait que des "*****", j'ai "corrigé"...
J'ai autoriser udp sur les ports 33434:33523 du serveur 1 vers le serveur 2, et là j'ai un résultat "parlant" de mon "traceroute"...

traceroute IP_serveur_2
traceroute to IP_serveur_2 (IP_serveur_2), 30 hops max, 60 byte packets
1 serveur_2 (IP_serveur_2) 0.903 ms 0.623 ms 0.861 ms


En clair, il y va direct, sans passer par le firewall...

Un soucis de routes ?? config eth0 ??

voici mon "route" :

Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default FIREWALL 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » jeu. 7 juin 2018 16:38

spourre a écrit :
jeu. 7 juin 2018 16:28
rebeldu31 a écrit :
jeu. 7 juin 2018 15:55
Je suis chez Bouygues...
OK. Ce n'est donc pas l’explication. Je donne tout de même cette particularité car cela peut servir à d'autres lecteurs.
En ZMD (Zone de moyenne densité) Orange, Free utilise une @IP COMMUNE (sic) pour 4 abonnés.
Par contre, chacun d'eux ne dispose que de 1/4 des ports t la séparation des flux s'effectue par PAT. Ceci est transparent pour 99% des usages normaux. Dans l'interface de gestion, il est possible de demander une adresse fixe qui a le nom commercial bizarre de "full stack" (mais c'est gratuit).

Sylvain
Oui, j'ai entendu parlé de ça...
Ça a même créé un problème à 1 particulier qui a vu débarqué les flics chez lui, l'embarqué pour....pédophilie alors que c'était.....son voisin...qui avait la même IP chez leur FAI (on sait pas lequel d'ailleurs... ;) )...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » mar. 12 juin 2018 21:07

Personne pour me guider/aider ?
Dois-je abandonner l'idée de mettre en place un Firewall en entrée ?
:o :shock: :?
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

dyox
Raspinaute
Messages : 555
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Mise en place d'un Firewall

Message par dyox » mar. 12 juin 2018 21:53

Bonsoir rebeldu31,

Pour ma part, je ne peux pas vous aider sur la base iptable. Je ne sais pas m'en servir :mrgreen:

Par contre, suite à votre post, je me suis renseigné comment installer un firewall en tant qu'OS. Il y a IPFire, pfSence, Openwrt(LEDE maintenant) et Turris OS (du fameux routeur Open Source Turris Omnia).
Bien qu'ayant aucune expérience de compilation d'image, j'ai essayé de compiler les sources pour Pi2 et configurer avec les drivers de ma clé wifi avec Turris OS et LEDE. J'ai toujours des erreurs donc pour l'instant j'ai abandonné et j'ai téléchargé (comme un lâche :D) une image de LEDE pour Piv2 seulement et celle qui englobe la totale des Pi. La totale ne fonctionne pas sur ma v2 mais l'autre oui. Ca, c'était ce soir et maintenant il faut que j'installe le package de mon driver wifi mais j'y accède en eth0.

Voici tout ce que peut faire LEDE, un vrai couteau suisse.

Mon objectif est d"installé adblock. Cette distribution est bien plus complète que Pi-Hole.

D'ailleurs, je pensais faire un groupe de travail avec des personnes intéressées où chacun avance à son rythme et explique ses difficultés / choix de packages / explication...
Là j'avance...à mon rythme :ugeek:
La finalité sera de se compiler sa propre distribution ou la distribution standard + script d'install package + configuration

Etes-vous intéressé par cette distribution ?
Débutant sous RPi / linux

:arrow: :arrow: :arrow: [Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (liste de liens utiles)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » sam. 23 juin 2018 20:53

dyox a écrit :
mar. 12 juin 2018 21:53
Bonsoir rebeldu31,

Pour ma part, je ne peux pas vous aider sur la base iptable. Je ne sais pas m'en servir :mrgreen:

Par contre, suite à votre post, je me suis renseigné comment installer un firewall en tant qu'OS. Il y a IPFire, pfSence, Openwrt(LEDE maintenant) et Turris OS (du fameux routeur Open Source Turris Omnia).
Bien qu'ayant aucune expérience de compilation d'image, j'ai essayé de compiler les sources pour Pi2 et configurer avec les drivers de ma clé wifi avec Turris OS et LEDE. J'ai toujours des erreurs donc pour l'instant j'ai abandonné et j'ai téléchargé (comme un lâche :D) une image de LEDE pour Piv2 seulement et celle qui englobe la totale des Pi. La totale ne fonctionne pas sur ma v2 mais l'autre oui. Ca, c'était ce soir et maintenant il faut que j'installe le package de mon driver wifi mais j'y accède en eth0.

Voici tout ce que peut faire LEDE, un vrai couteau suisse.

Mon objectif est d"installé adblock. Cette distribution est bien plus complète que Pi-Hole.

D'ailleurs, je pensais faire un groupe de travail avec des personnes intéressées où chacun avance à son rythme et explique ses difficultés / choix de packages / explication...
Là j'avance...à mon rythme :ugeek:
La finalité sera de se compiler sa propre distribution ou la distribution standard + script d'install package + configuration

Etes-vous intéressé par cette distribution ?
Bonjour,

iptables me suffit largement... Il suffit juste que je fasse les bonnes règles !!!
Mais merci de l'info.
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Raspinaute
Messages : 245
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » sam. 23 juin 2018 21:08

J'avance....
A petits pas mais j'avance...

Voici ce que j'ai fais :
- mise en place d'une DMZ sur ma box en choisissant mon RPI Firewall
- activer le routage sur le firewall (sysctl -w net.ipv4.ip_forward=1)
- désactiver le nat de ma box
- définition de règles de "forward" avec iptables (iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XX -j DNAT --to-destination XX.XX.XX.XX:XX, iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT)

Et ça à l'air de fonctionner...
Lorsque je vais sur une URL https://www.mon_domaine.fr:port je suis bien redirigé vers l'URL voulue.

Par contre, je bloque sur 2 choses :
- n'autoriser QUE des macadresses précises à y accéder
- lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne

Je tourne 1 peu en rond là...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : serveur web (Roundcube, Postfixadmin, Nextcloud en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

Répondre

Retourner vers « Utilisateurs avancés »