Contenu | Rechercher | Menus

Annonce

L'équipe des administrateurs et modérateurs du forum vous invite à prendre connaissance des nouvelles règles.
En cas de besoin, vous pouvez intervenir dans cette discussion.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/07/2018, à 08:09

MrFogHunter83

faire en sorte que le sous reseau ne puisse pas voir le sur reseau

bonjour je vous explique j'ai crée un sous-réseau avec pi-hole qui bloque les pubs tout va bien jusque la, mais je voudrais faire en sorte de bloquer l'accès a l'interface de la box par le sous-réseau par exemple pour évite que l'utilisateur change de dns est mette celui de la box pour passer le bloqueur dns par exemple

puis ça me paraît plus sécurisé si le sous-réseau ce fait pourrir vu qui peut voir le sur réseau avec toutes les machines il peut le pourrir aussi

en gros je voudrai qu’il puisse juste communiquer a la limite que avec la box pour l'accès internet mais ne pas pouvoir aller sur les machines du sur réseau

je précise que le routeur du sous-réseau est géré via machine virtuel

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto enp0s3
iface enp0s3 inet static
address 172.27.0.6
netmask 255.255.0.0
network 172.27.0.0
gateway 172.27.0.1
dns-nameservers 158.69.239.167 198.251.90.143

auto enp0s8
iface enp0s8 inet static
address 192.168.200.1
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
up iptables-restore < /etc/iptables.ipv4.nat2

le fichier /etc/iptables.ipv4.nat2 contient ça

# Generated by iptables-save v1.6.0 on Fri May 18 11:10:43 2018
*filter
:INPUT ACCEPT [3:184]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:376]
-A FORWARD -o enp0s3 -j ACCEPT
-A FORWARD -i enp0s3 -j ACCEPT
-A FORWARD -i enp0s3 -o enp0s8 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s8 -o enp0s3 -j ACCEPT
COMMIT
# Completed on Fri May 18 11:10:43 2018
# Generated by iptables-save v1.6.0 on Fri May 18 11:10:43 2018
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o enp0s3 -j MASQUERADE
-A POSTROUTING -o enp0s3 -j MASQUERADE
-A PREROUTING -i enp0s3 -p tcp --dport 55435 -j DNAT --to-destination 192.168.200.5:55435
-A PREROUTING -i enp0s3 -p udp --dport 55435 -j DNAT --to-destination 192.168.200.5:55435
COMMIT

# Completed on Fri May 18 11:10:43 2018

comme vous avait vue y a un nat forware

-A PREROUTING -i enp0s3 -p tcp --dport 55435 -j DNAT --to-destination 192.168.200.5:55435
-A PREROUTING -i enp0s3 -p udp --dport 55435 -j DNAT --to-destination 192.168.200.5:55435

pour que une des machines du sous réseau puisse recevoir des communications depuis extérieur ( redirection nat internet---->livebox edirection nat----->routeur virtuel ----->redirection nat vers la machine 192.168.200.5

je vous fournis aussi les paramètres de la machine hote car je ne sais pas si il faut bloquer su le parfeu de la machine virtuelle ou si c'est sur l’hôte physique que je dois appliquer la réglè

network:
  version: 2
  renderer: networkd
  ethernets:
    eno1:
      addresses:
        - 172.27.0.2/16
      gateway4: 172.27.0.1
      nameservers:
          addresses: [172.27.0.1, 1.1.1.1]

    eno2:
      addresses:
        - 192.168.200.2/24
      nameservers:
          addresses: [192.168.200.1, 1.1.1.1]

là vous avez tous les paramètres j’espère.
merci pour votre aide futur.

Hors ligne

#2 Le 10/09/2018, à 11:49

DarkBahhh

Re : faire en sorte que le sous reseau ne puisse pas voir le sur reseau

Bonjour MrFogHunter83,

Un firewall sur ton routeur virtuel pourrait faire l'affaire avec des règles du genre :
- Le firewall autorise le sous-réseau à accéder uniquement a l'IP de la box
- Le sous-réseau ne peux pas envoyer de trame DNS en dehors du réseau (les clients du sous-réseau auront pour DNS le routeur virtuel && le "forward DNS" du routeur virtuel ne sera pas impacté car le routeur virtuel a une pate directement dans le réseau de la box).

Pas de problème avec l'hyperviseur, il peut être considéré comme une autre machine du réseau de la box.

PS : Ton routeur virtuel est bien en mode bridge? il recoit sont IP directement de la box?

En ésperant ne pas avoir compris de travers :s

Cdt,
DarkBahhh

Hors ligne

#3 Le 13/09/2018, à 10:29

MrFogHunter83

Re : faire en sorte que le sous reseau ne puisse pas voir le sur reseau

il reçois l'ip attribuer par le dhcp de la box donc oui il a bien une pate dans le réseau ou y a les le serveur les machines virtuels et la box tv (pas le chois)
en gros le routeur virtuel pfsense a une patte dans le réseau box est le sous réseau qui le gere sinon il serais incapable de ping les machine du réseau box

Hors ligne

#4 Le 13/09/2018, à 10:57

DarkBahhh

Re : faire en sorte que le sous reseau ne puisse pas voir le sur reseau

Salut MrFogHunter83,

Oui, je voulais être sur car le switch virtuel créé par l'hyperviseur aurai pu être de l'autre coté avec du NAT.

Je reviens sur ma proposition, ton PF sur le routeur virtuel ferait surement mieux d'autoriser les paquets DNS a sortir du réseau mais uniquement vers la Box. Cela t'évite de devoir créer un serveur DNS sur ton routeur virtuel pour le forward.

Hors ligne