Re: config iptables d'un routeur à base iptables derrière une livebox

To: debian-user-french@lists.debian.org
Subject: Re: config iptables d'un routeur à base iptables derrière une livebox
From: on4hu <on4hu@belgacom.net>
Date: Thu, 21 Sep 2006 16:04:33 +0200
Message-id: <[🔎] 200609211604.33185.on4hu@belgacom.net>
Reply-to: on4hu@belgacom.net
In-reply-to: <[🔎] 45126C80.3080907@thierry.eu.org>
References: <[🔎] 451253A4.5030105@thierry.eu.org> <[🔎] 200609211156.25006.on4hu@belgacom.net> <[🔎] 45126C80.3080907@thierry.eu.org>

pour ta live box cela m'étonnerais car ce n'est jamais souhaitable de mettre
un routeur derriere un autre... alors 3... ! mais je ne connais pas la live 
box
pour moi non un routeur hardware est plus interessant que d'utiliser iptable 
même avec un serveur et sauf si tu utilise un PC sous linux comme routeur
je maintient que le WRT54GL est plus interessant et peut faire exactement ce 
que tu veux faire avec un PC supplémentaire sans compter que même sous Linux 
un partie de ton occupation CPU est exigée autrement pas!
ici j'utilise cela depuis pres de 10 ans sans le moindre ennui avec >1000 
connexions/jour et une demi-douzaine de serveurs

Le Jeudi 21 Septembre 2006 12:42, Thierry B a écrit :
> on4hu a écrit :
> > perso je ne vois aucune utilité d'utililiser 'iptables' ce qui te
> > donnerais 3 routeurs l' un derrière l'autre ????
> > 1) met ta Live Box en 'Bridge' de maniere a n' utiliser que la partie
> > modem
>
> Je ne connais pas trop la livebox, c''est pour le commere de mon père,
> mais apparemment d'après tout ce que j'ai lu et entendu dessus, c'est
> impossible, de n'utiliser que la partie modem de la livebox.
>
> On est obligé de l'utilser en modem-routeur...
>
> > 2) utilise ton routeur WRT54GL
> > 3) aucun pare feu sur ta machine Linux nécessaire, ni sur d'autres PC
> > d'ailleurs
>
> Une config avec pare-feu sous iptables est tjs recommandé quand on a un
> routeur linux histoire d'eviter tout problème comme qqun qui scanne tes
> ports pour voir quels sont les ports que tu as natté sur ton
> routeur...alors que par exemple qque chose du genre:
>
> # J'accepte les connexions du wan vers lan d'une connexion deja etablie
>      iptables -A INPUT -i $WAN -m state --state RELATED,ESTABLISHED -j
> ACCEPT
>
> fera qu'il ne pourra pas savoir quels ports sont ouverts chez toi, s'il
> essaie de scanner avec un nmap.
>
> > 4) utiliser le WiFi du WRT54GL
>
> Merci.
>
> > Le Jeudi 21 Septembre 2006 10:56, Thierry B a écrit :
> >> Bonjour,
> >>
> >> Même si ca n'utilise pas explicitement une debian, je pense que l'on
> >> peut me répondre sur la liste.
> >>
> >> Je vais joindre à une livebox, un linksys WRT54GL que j'ai flashé avec
> >> un firmware à base linux: openwrt et qui donc peut utiliser iptables.
> >>
> >> En fait, vu que le livebox a un wifi pourri, je vais desactiver le wifi
> >> + dhcp de la livebox, pour utiliser ceux du linksys WRT54GL.
> >>
> >> Je voulais avoir votre avis sur la config que je vais utiliser + sur
> >> certains petits points dans iptables.
> >>
> >> J'ai décidé de donner par exemple à la LB une ip du style: 192.168.0.1.
> >>
> >> Je relie la LB au port wan du routeur à qui je donne une ip en
> >> 192.168.0.x.
> >>
> >> Après je fais une dmz, pour rediriger tout ce qui vient sur la LB vers
> >> l'ip wan du routeur.
> >>
> >> Je donne une ip en 192.168.1.x à l'interface lan du routeur et tous les
> >> ordis du lan (que ceux soit fillaire ou wii), utiiseront une ip en
> >> 192.168.1.qque chose.
> >>
> >> Donc j'aurai un double nat.
> >>
> >> Au niveau de la config iptables, j'ai certaines règles que j'hésite à
> >> mettre car je ne suis pas sure de leur utilités:
> >>
> >> # Refuser les adresses sources falsifiées ou non routables
> >>    # echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
> >>
> >>    # Journaliser les adresses sources falsifiées ou non routables
> >>    # echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
> >>
> >>    # Ignorer les messages de diffusion ICMP
> >>    # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> >>
> >>    # Ne pas envoyer de messages redirigés
> >>    # echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
> >>
> >>   # Anti Flood
> >>      # iptables -N syn-flood
> >>      # iptables -A INPUT -i $WAN -p tcp --syn -j syn-flood
> >>      # iptables -A FORWARD -i $WAN -p tcp --syn -j syn-flood
> >>      # iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j
> >> RETURN # iptables -A syn-flood -j DROP
> >>
> >>     # Rejets
> >>       # iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
> >>       # iptables -A INPUT -j REJECT --reject-with icmp-port-unreachable
> >>
> >>
> >> Je me dis que ces règles de securité peuvent pour un simple nat
> >> classique mais pour une double nat, peut-etre que la livebox, filtrera
> >> ces paquets parasites non?
> >>
> >> Merci :-)

-- 
WEB server: http://www.on4hu.be/
FTP server: ftp://ftp.on4hu.be/
COMPUTERS ARE LIKE AIR-CONDITIONERS THEY STOP WORKING
PROPERLY AS SOON AS YOU OPEN WINDOWS

Reply to:

Follow-Ups:
- Re: config iptables d'un routeur à base iptables derrière une livebox
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- config iptables d'un routeur à base iptables derrière une livebox
  - From: Thierry B <debian@thierry.eu.org>
- Re: config iptables d'un routeur à base iptables derrière une livebox
  - From: on4hu <on4hu@belgacom.net>
- Re: config iptables d'un routeur à base iptables derrière une livebox
  - From: Thierry B <debian@thierry.eu.org>

Prev by Date: Re: Fil(s) RSS sur Debian...
Next by Date: Re: Fil(s) RSS sur Debian...
Previous by thread: Re: config iptables d'un routeur à base iptables derrière une livebox
Next by thread: Re: config iptables d'un routeur à base iptables derrière une livebox
Index(es):
- Date
- Thread