[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

config iptables d'un routeur à base iptables derrière une livebox

Bonjour,
Même si ca n'utilise pas explicitement une debian, je pense que l'on peut me répondre sur la liste.
Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec un firmware à base linux: openwrt et qui donc peut utiliser iptables.
En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi + dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
Je voulais avoir votre avis sur la config que je vais utiliser + sur certains petits points dans iptables. 

J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.

Je relie la LB au port wan du routeur à qui je donne une ip en 192.168.0.x.
Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers l'ip wan du routeur.
Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en 192.168.1.qque chose. 

Donc j'aurai un double nat.
Au niveau de la config iptables, j'ai certaines règles que j'hésite à mettre car je ne suis pas sure de leur utilités: 

# Refuser les adresses sources falsifiées ou non routables
  # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

  # Journaliser les adresses sources falsifiées ou non routables
  # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

  # Ignorer les messages de diffusion ICMP
  # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

  # Ne pas envoyer de messages redirigés
  # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

 # Anti Flood
    # iptables -N syn-flood
    # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
    # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
    # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
    # iptables -A syn-flood -j DROP

   # Rejets
     # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
     # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
Je me dis que ces règles de securité peuvent pour un simple nat classique mais pour une double nat, peut-etre que la livebox, filtrera ces paquets parasites non? 

Merci :-)
Reply to: