[Résolus] Iptables derrière Freebox

lilp · Le 06/12/2013, à 18:28

Bonjour, j'aimerais mettre en place un parefeu derrière ma freebox, pour avoir un peut plus de choix de configuration que sur la box de free.
Pour cela, j'ai opter pour Iptables qui me semble être bien complet. J'ai trouver un petit soft fwbuilder.
Mais avant de me lancer j'aurais 2 3 questions.
-D'abord, pour ne pas faire de doublons, il faut que je désactive la fonction parefeu de la freebox?
-Après, je bloque tout le trafic en entrée et sortie sur Iptables, puis autorise au cas par cas?
-J'ai plusieurs postes, les règles seront appliquées pour l'ensemble ou je doit spécifié pour chaque poste?
-Doit-on configurer le réseau local aussi? (partage de documents, dossiers...)
-Sur Iptables peut-on faire un mode routeur, redirection de port?

D'avance merci pour vos réponses.

Je reviendrais surement questionné quand j'aurai tout bloqué et que j'aurai du mal à ouvrir certains services .

Dernière modification par lilp (Le 13/03/2015, à 15:21)

Zakhar · Le 06/12/2013, à 20:25

lilp a écrit :

Bonjour,

Pareillement.

lilp a écrit :

-D'abord, pour ne pas faire de doublons, il faut que je désactive la fonction parefeu de la freebox?

Il n'y a pas de "parefeu" sur la Freebox, pas plus que dans OpenOffice, n'est déplaise à la ministre Albanulle !
Tu parles peut-être du mode routeur ?

lilp a écrit :

-Après, je bloque tout le trafic en entrée et sortie sur Iptables, puis autorise au cas par cas?

Si tu as un seul poste (cf mode routeur), en gros, oui, c'est ça.

lilp a écrit :

-J'ai plusieurs postes, les règles seront appliquées pour l'ensemble ou je doit spécifié pour chaque poste?

Si tu as plusieurs postes (ce qui semble être le cas), le "mode routeur" est donc indispensable.
Dans ce mode, tes PC ne recevront AUCUN trafic entrant, sauf si tu spécifies explicitement des règles de "forward" sur ta freebox.
L'action de la question précédente est donc INUTILE en mode routeur.

lilp a écrit :

-Doit-on configurer le réseau local aussi? (partage de documents, dossiers...)

Reformulation (j'essaie !) est-ce que tu essayes de "spécialiser" un poste en tant que routeur ?
Si c'est le cas, les questions précédentes ont un sens mais :
- il va falloir refaire tous tes câblages et câbler les autres PC sur ce PC routeur au lieu de les câbler sur la Freebox
- il va falloir que ce PC reste tout le temps allumé, sinon les autres n'ont pas accès à internet... pas très pratique !

lilp a écrit :

-Sur Iptables peut-on faire un mode routeur, redirection de port?

On peut faire tout un tas de choses...
Mais il va falloir que tu creuses bien les notions de réseau, sinon tu seras vite bloqué !

Donc au vu des questions, ma recommandation est :
-1) pour le moment laisse la Freebox en mode routeur, et laisse lui faire son travail. Les piles réseaux sur la Freebox ont été conçus par des très bons, elle se défend même contre des attaques ARP si tu as la mauvaise idée de la mettre en WEP. Les gars de chez Free ce sont des bons qui sont capable de te patcher un kernel ou une pile Wifi. La protection de la Freebox est donc sans commune mesure meilleure que ce que tu pourras faire toi avec tes modestes connaissances.
-2) creuse un peu plus les mécanismes réseau, joue avec IPtables, et lance toi progressivement. Mais si tu regardes vraiment le niveau de "durcissement" de la Freebox, attends-toi à des heures et des heures d'apprentissage avant d'arriver à faire aussi secure.
Après, rien ne t'interdit, sans compromettre ta sécurité, de "chainer" les routeurs, c'est à dire de jouer à faire un routeur derrière la Freebox, ainsi tu bénéficieras à la fois de la souplesse de ton routeur "chainé" et de la protection Freebox.

Dernière modification par Zakhar (Le 06/12/2013, à 20:26)

lilp · Le 07/12/2013, à 12:33

Je te remercie pour tes réponses.
J'aimerais effectivement laissé un poste exclusivement allumé pour faire Parefeu routeur.
Donc si j'ai bien compris, avec Iptables je ne pourrais pas faire aussi bien que la freebox (chose tout à fait compréhensible), tu me conseilles donc de laissé ma freebox en l'état, et de rajouter derrière elle mon poste en parefeu n°2.
Dans cette configuration, avec Iptables il est toujours possible de faire le la QoS pour favoriser le flux Tv par rapport aux DL?

Zakhar · Le 07/12/2013, à 15:25

Oui, c'est bien ça !
Mais penses que si tu veux dédier un PC à jouer le rôle de routeur, tu dois recâbler les autres PC sur ce routeur au lieu de les brancher à la Freebox. Ce PC doit donc a minima avoir 2 cartes réseaux : celle qui le relie à la Freebox et qui permet d'aller "vers l'extérieur" (vu des autres PC), et celle qui le relie au LAN (l'ensemble des autres PC). Ceci est de toute façon par définition d'un routeur qui doit avoir a minimum 2 interfaces pour que router ait un sens !
Si tu as plus d'un PC en dehors du routeur, il te faut : soit autant de carte réseau dans le routeur, soit un switch supplémentaire.

La QoS sur le flux télé/téléphone se fera "toute seule" vu que de toute façon tu vas passer par la Freebox (qu'elle soit mode routeur ou pas d'ailleurs !). Donc même si tes règles IPtables ne font rien pour ça, la Freebox le fera.

Dernière modification par Zakhar (Le 07/12/2013, à 15:26)

PPdM · Le 07/12/2013, à 15:58

Zakhar a écrit :

Oui, c'est bien ça !
Mais penses que si tu veux dédier un PC à jouer le rôle de routeur, tu dois recâbler les autres PC sur ce routeur au lieu de les brancher à la Freebox. Ce PC doit donc a minima avoir 2 cartes réseaux : celle qui le relie à la Freebox et qui permet d'aller "vers l'extérieur" (vu des autres PC), et celle qui le relie au LAN (l'ensemble des autres PC). Ceci est de toute façon par définition d'un routeur qui doit avoir a minimum 2 interfaces pour que router ait un sens !
Si tu as plus d'un PC en dehors du routeur, il te faut : soit autant de carte réseau dans le routeur, soit un switch supplémentaire.
La QoS sur le flux télé/téléphone se fera "toute seule" vu que de toute façon tu vas passer par la Freebox (qu'elle soit mode routeur ou pas d'ailleurs !). Donc même si tes règles IPtables ne font rien pour ça, la Freebox le fera.

Je plussoie, il va falloir une deuxième carte réseau, et un deuxième switch, programmer les PC en serveur DHCP ou assigner des IP fixes a tout les postes client, en gros faire un réseau pro, dont je ne vois absolument pas l’intérêt dans un usage domestique.
L’articulation du réseau doit se faire comme ceci
Freebox >>> PC serveur DHCP/pare-feux carte réseau1 >>carte reseau2 >> Switch >>>PCs Clients.
Je ne sais pas si c'est clair pour toi.

lilp · Le 07/12/2013, à 16:09

Ok merci pour ces éclaircissements.
Etant donné que c'est un vieux pc (c'était pour tester) je n'ai qu'une carte réseau dessus, je vais donc laissé tombé, et plutôt m'orienter sur un autre projet.
Un backup de mes data avec Rsync via Timeshift il me semble.

Merci de ces réponses en tout cas.

Spirale21 · Le 07/12/2013, à 23:48

sinon... tu gardes le même projet et tu installes une Ubuntu en mode serveur sur une machine virtuelle pour pouvoir avoir deux cartes réseaux.... et laisser un ordi 24h/24h ça use du courant (mine de rien), tu installes juste derrière la freebox un rapsberry pi qui fait office de parefeu et un dongle wifi pour en USB en faire un point d'accès wi fi... comme il s'alimente en micro USB ça consomme rien, et la tu configures ton iptable avec tes règles perso mais après comme le dit PPdm c'est faire un réseau pro mais je trouve que c hyper didactique... si tu fais ça je rejoins Zakhar tu vas devoir approfondir tes connaissances en réseaux (AMHA tu devrais commencer par là)

Zakhar · Le 08/12/2013, à 00:26

Spirale21 a écrit :

et laisser un ordi 24h/24h ça use du courant (mine de rien)

Tout à fait.

Les gens ne se rendent pas compte d'ailleurs.

Tiens, juste la Freebox (5 ou 6), les 2 boîtiers allumés consomment 30watts. C'est peu en soi, mais sur l'année, ça fait environ 30€ (facile, c'est environ 1€ le Watt 24/24 7/7 sur l'année)

Donc la Freebox (réseau et TV) allumée, ça te fait un mois d'abonnement en plus.

Hallucinant non quand on fait le calcul !

Alors si tu as un vieux PC, même sans écran, il va bien te consommer 150W, je te laisse faire le calcul simple à 1€ le W par an !

Dernière modification par Zakhar (Le 08/12/2013, à 00:27)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/12/2013, à 18:28

[Résolus] Iptables derrière Freebox

#2 Le 06/12/2013, à 20:25

Re : [Résolus] Iptables derrière Freebox

#3 Le 07/12/2013, à 12:33

Re : [Résolus] Iptables derrière Freebox

#4 Le 07/12/2013, à 15:25

Re : [Résolus] Iptables derrière Freebox

#5 Le 07/12/2013, à 15:58

Re : [Résolus] Iptables derrière Freebox

#6 Le 07/12/2013, à 16:09

Re : [Résolus] Iptables derrière Freebox

#7 Le 07/12/2013, à 23:48

Re : [Résolus] Iptables derrière Freebox

#8 Le 08/12/2013, à 00:26

Re : [Résolus] Iptables derrière Freebox

Pied de page des forums