Différences entre versions de « Passerelle »

De Cliss XXI
Sauter à la navigation Sauter à la recherche
imported>VincentAdolphe
(Page créée avec « = Configuration manuelle = == Option IPv6 == * desactiver IPv6 (il est sans doute préférable de ne pas supporter IPv6 plutôt que de le faire mais d'avoir une passoire). e… »)
 
imported>VincentAdolphe
Ligne 1 : Ligne 1 :
= Configuration manuelle =
+
= Configuration de base =
 
== Option IPv6 ==
 
== Option IPv6 ==
 
* desactiver IPv6 (il est sans doute préférable de ne pas supporter IPv6 plutôt que de le faire mais d'avoir une passoire).
 
* desactiver IPv6 (il est sans doute préférable de ne pas supporter IPv6 plutôt que de le faire mais d'avoir une passoire).
Ligne 10 : Ligne 10 :
 
  sysctl --system
 
  sysctl --system
  
== iptables / NAT ==
+
== NAT ==
 +
=== iptables / NAT ===
 
* faire un simple ''masquerading'' d'IP
 
* faire un simple ''masquerading'' d'IP
 
  iptables -t nat -A POSTROUTING -o <outbound_interface> -j MASQUERADE
 
  iptables -t nat -A POSTROUTING -o <outbound_interface> -j MASQUERADE
  
= Configuration FireHOL =
+
=== Configuration FireHOL ===
 
FireHOL permet de facilement mettre en place un firewall efficace. Dans le cas de machine GNU/Linux qui ont souvent une configuration par défaut robuste le problème se pose peu. Par contre s'il faut proteger des machines non linux ou faire de la protection de reseau (les invités sur le réseau wifi ne doivent pas voir le réseau interne ou on permet des connexions d'internet vers l'application mais on protège contre les syn-floods).
 
FireHOL permet de facilement mettre en place un firewall efficace. Dans le cas de machine GNU/Linux qui ont souvent une configuration par défaut robuste le problème se pose peu. Par contre s'il faut proteger des machines non linux ou faire de la protection de reseau (les invités sur le réseau wifi ne doivent pas voir le réseau interne ou on permet des connexions d'internet vers l'application mais on protège contre les syn-floods).
  

Version du 22 octobre 2014 à 12:26

Configuration de base

Option IPv6

  • desactiver IPv6 (il est sans doute préférable de ne pas supporter IPv6 plutôt que de le faire mais d'avoir une passoire).
echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/local-no-ipv6.conf
sysctl --system

Option routage

  • activer le forward
echo net.ipv4.ip_forward=1 > /etc/sysctl.d/local-forward.conf
sysctl --system

NAT

iptables / NAT

  • faire un simple masquerading d'IP
iptables -t nat -A POSTROUTING -o <outbound_interface> -j MASQUERADE

Configuration FireHOL

FireHOL permet de facilement mettre en place un firewall efficace. Dans le cas de machine GNU/Linux qui ont souvent une configuration par défaut robuste le problème se pose peu. Par contre s'il faut proteger des machines non linux ou faire de la protection de reseau (les invités sur le réseau wifi ne doivent pas voir le réseau interne ou on permet des connexions d'internet vers l'application mais on protège contre les syn-floods).

  • apres un apt-get install firehol, faire un
 firehol helpme > /etc/firehol/test-conf
  • editer le fichier /etc/firehol/test-conf, il devrait ressembler a ca:
interface eth0 dhcp
       policy return
       server dhcp accept

interface eth0 lan src "10.21.0.0/24" dst 10.21.0.254
       policy reject
       # Here are the services listening on eth0.
       server dhcp accept
       server dns accept
       server ICMP accept
       server ssh accept
       client all accept

interface eth1 wan
       policy reject
       server ICMP accept
       server ssh accept
       client all accept

router lan2wan inface eth0 outface eth1 src "10.21.0.0/24"
      masquerade
      server all accept