Firewall Ubuntu Serveur 2 nics

TheSwitch · Le 03/06/2014, à 21:53

Bonjour à tous,

J'aimerais mettre en place un Firewall transparent avec IPTables dans un LAN.
J'ai fait quelques recherches sur le forum et le post ci-après en parle : Post

Après avoir lu le tout et ayant fait quelques recherches sur la configuration des NIC sous Linux ainsi qu'un petit aperçu d'IPTables je n'ai toujours pas ma solution.
Je viens donc vous demander de l'aide.

Voici ma configuration:

NET <----> Routeur ADSL (DHCP) <--------> LAN en 192.168.x.x /24 <--------> . Serveur Ubuntu (LAMP, SSH)

J'aimerais mettre entre mon routeur et mon serveur un Firewall transparent (si c'est possible).
Cela donnerais donc :

NET <----> Routeur ADSL (DHCP) <--------> LAN en 192.168.x.x /24 <---> eth0 [FW] eth1 <--------> . Serveur Ubuntu (LAMP, SSH)

Je suis donc parti sur le Post ci-dessus pour faire ma config, mais j'aimerais éviter de faire du NAT car dans le même LAN.
J'aimerais juste faire de l'ip FORWARD et du filtrage.

Est-ce faisable, pour le reste je ferais encore mes recherches pour approfondir mes connaissances en la matière.

Merci d'avance,

Dernière modification par TheSwitch (Le 03/06/2014, à 21:56)

Brunod · Le 03/06/2014, à 21:58

Oui, mais le firewall aura une ip dans chaque réseau différent.
Edit :
Je suppose que tu connais ceci :
Editer le fichier
/etc/sysctl.conf
et mettre :
_net/ipv4/ip_forward=1
le paramètre sera alors toujours activé pour le noyau linux

Dernière modification par Brunod (Le 03/06/2014, à 22:02)

TheSwitch · Le 03/06/2014, à 22:04

Merci Brunod,

Si je te comprends bien je n'ai donc pas le choix d'assigner une IP d'un réseau différente pour chaque interface du Firewall ?
C'est bien cela que j'aurais voulu éviter.

C'est embêtant ,

En tout cas géniale la réactivité,

[EDIT]

Oui pour l'ip forwarding je connais le principe mais connaissait pas la commande.

Dernière modification par TheSwitch (Le 03/06/2014, à 22:06)

Brunod · Le 03/06/2014, à 22:06

TheSwitch a écrit :

Merci Brunod,
Si je te comprends bien je n'ai donc pas le choix d'assigner une IP différente pour chaque interface du Firewall ?
C'est bien cela que j'aurais voulu éviter.
...,

Oui.
Pourquoi est-ce embêtant ? C'est normal, c'est comme si tu placais un mur mais que tu laisses la possibilité de passer à côté.

TheSwitch · Le 03/06/2014, à 22:07

Je me suis mal exprimé,

L'ip unique sur chaque interface ok.
Mais des réseaux différents sont-ils forcément nécessaires ?

Brunod · Le 03/06/2014, à 22:10

Oui, j'avais bien compris, oui il faut des ip dans des ranges différents.
C'est d'ailleurs aussi mentionné ici :
http://forum.ubuntu-fr.org/viewtopic.ph … 1#p5107091
dans le lien que tu cites.

Dernière modification par Brunod (Le 03/06/2014, à 22:13)

pires57 · Le 03/06/2014, à 22:29

quel est l'intérêt de mettre un parefeu si tu mets tout dans le même sous réseau?
pour moi aucun, la DMZ (contenant ton serveur) doit être séparer de ton réseau local.

TheSwitch · Le 04/06/2014, à 08:17

Bonjour Pires,

L'intérêt est d'uniquement protéger mon serveur, le reste n'a pas trop d'importance,
Ce qui m'embête c'est de créer un second LAN uniquement pour 2 NICs , celle du FW coté serveur et celle du serveur.
En plus de cela je suis obligé dans ce cas là de faire du SNAT et du DNAT pour les services qui sont sur le serveur.( SSH par exemple )

Brunod,

quand tu dis

Brunod a écrit :

C'est normal, c'est comme si tu placais un mur mais que tu laisses la possibilité de passer à côté.

Ici tous les paquets sont sensé passer par le FW, j'ai pas d'autre connexion surle côté, ou alors il y a quelque chose que je
ne comprends pas bien.

Un firewall est en principe uniquement un filtre, pour interconnecter 2 réseaux différents on mettrai en place un Routeur non ?

Dernière modification par TheSwitch (Le 04/06/2014, à 08:17)

bruno · Le 04/06/2014, à 08:35

Bonjour,

TheSwitch a écrit :

L'intérêt est d'uniquement protéger mon serveur, le reste n'a pas trop d'importance,

Le protéger de quoi ?
Le rôle du pare-feu est de protéger le sous-réseau, il devrait donc être intercalé entre le modem (eth0 ip publique) et le réseua local (eth1 ip privée)

Si tu ne veux pas faire de translation d'adresse, redirection de ports, etc. et que tu veux ne « protéger » que ton serveur, il te suffit de configurer iptables, ufw, ou autre directement sur le serveur.

pires57 · Le 04/06/2014, à 09:00

il va rien filtrer si t'es dans le même sous réseau ton firewall.
Et pour info un firewall peut remplir la fonction de routeur (zeroshell et ipfire par exemple )

casperfr · Le 04/06/2014, à 10:13

Bonjour,

si j'ai bien compris ta topologie,
tu as la dmz de ton routeur qui est branché sur un eth0 de ton serveur web
et l'eth1 qui permet de le relier a ton réseau local ?
ce que tu voudrait c'est utilisé le firewall pour pour l'accès a l'eth0 pour protégé les connections du serveur qui vienne depuis la DMZ de ton routeur mais tu ne veux pas que le firewall soit effectif pour ton réseau local, c'est ça ?

TheSwitch · Le 04/06/2014, à 13:59

Bonjour Casper,

D'avance merci aux autres pour vos réponses,

ma topologie est la suivante :

ISP ------ (adresse publique) ---- ROUTER (DHCP server) ------------ SERVEUR WEB (ip fixe)
|
|____ STATION X (ip dhcp)

Je n'ai pas configuré de DMZ sur mon Router mais j'aimerais mettre un firewall entre mon router et mon serveur Web.

J'ai peut-être trouvé la solution mais je dois encore chercher un peu:

Cela consisterais à mettre en place un Bridge/ Firewall , ceci me permettrais de:
- ne pas faire de (sous-)réseaux différents
- pas de NAT
- utiliser IPTables en filtrage

Je n'en sais pas plus pour le moment mais je vous tiens au courant.

Brunod · Le 04/06/2014, à 17:40

C'est pas clair ta topologie : où vois-tu déjà une liaison linéaire nécessitant 2 interfaces réseau ? Tu n'as pas besoin de forward.
Si tu veux protéger ton serveur, mets des règles iptables dessus; mais alors ça ne changera rien pour ta station X.
Dessine un peu ce que tu as actuellement ET ce que tu veux faire, en terme de topologie et explique.

casperfr · Le 04/06/2014, à 20:07

je suis d'accord avec Brunod dans ton schéma il n'y a qu'un seul interface réseau a utilisé sur ton serveur web,
de plus, ton routeur donne accès a internet a STATION X donc c'est le routeur qui fait le NAT et non ton serveur web,
vu que c'est un routeur qui n'est pas configurer en DMZ pour l'accès a ton serveur web, il va faloir que tu prévois des redirections de port pour que les requètes arrivant du Net soit rediriger sur l'adresse ip de ton serveur,
mais tout cela est fait sur ton routeur,
ensuite la protection de ton serveur web elle ce fait uniquement sur un interface (eth0) avec de simple règle de filtrage d'entré sortie.
bref, tu n'as rien a faire hormis tes règle de filtrage d'iptable et la redirection des port de ton routeur.

TheSwitch · Le 06/06/2014, à 19:51

Bonjour Brunod et Casperfr,

Désolé pour cette réponse tardive,
Alors voici en image les 3 topologies,
Actuelle, de Test (celle dont on parle), et situation futur :

Vous comprendrez que pour le moment je suis en phase de test,
pour, premièrement me faire la main avec la configuration réseau sous Ubuntu et,
deuxièmement pour apprendre plus sur IPtables.

Je vous laisse juger,
Actuellement dans la config de TEST, j'évite une DMZ et le découpage en 2 réseaux distinct.

Le Bridge me permet de filtrer quand même avec IPTables et de plus est transparent vis à vis du réseau interne et externe
qui accèderais au serveur Web.

Merci encore pour vos réponses et vos points de vues,
Je mettrais bientôt ma configuration finale en espérant que cela puisse aider quelqu'un.

CasperFr a écrit :

(...)vu que c'est un routeur qui n'est pas configurer en DMZ pour l'accès a ton serveur web, il va faloir que tu prévois des redirections de port pour que les requètes arrivant du Net soit rediriger sur l'adresse ip de ton serveur,(...)

C'est déjà fait, le serveur à également une ip fixe, un Dyndns et est accessible de par le Net.

Dernière modification par TheSwitch (Le 06/06/2014, à 19:57)

jplemoine · Le 06/06/2014, à 19:59

Y a-t-il une raison pour utiliser Ubuntu ? Il y a une distribution fait pour : Smoothwall.

Brunod · Le 06/06/2014, à 20:10

Pourquoi pas :
router -----(firewall-serveur web) ------switch (optionnel) ------ station

Le firewall fonctionnera toujours en même temps que le serveur web.
Tu économises une machine, le switch est inutile si tu n'as qu'un poste derrière et tu diminues ta conso électrique.
Ce n'est qu'une suggestion
BD

pires57 · Le 06/06/2014, à 20:17

sur ton deuxième schéma autant mettre le firewall sur ton serveur web, il sert a rien comme tu le place la (a part a consommer plus d'énergie)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 03/06/2014, à 21:53

Firewall Ubuntu Serveur 2 nics

#2 Le 03/06/2014, à 21:58

Re : Firewall Ubuntu Serveur 2 nics

#3 Le 03/06/2014, à 22:04

Re : Firewall Ubuntu Serveur 2 nics

#4 Le 03/06/2014, à 22:06

Re : Firewall Ubuntu Serveur 2 nics

#5 Le 03/06/2014, à 22:07

Re : Firewall Ubuntu Serveur 2 nics

#6 Le 03/06/2014, à 22:10

Re : Firewall Ubuntu Serveur 2 nics

#7 Le 03/06/2014, à 22:29

Re : Firewall Ubuntu Serveur 2 nics

#8 Le 04/06/2014, à 08:17

Re : Firewall Ubuntu Serveur 2 nics

#9 Le 04/06/2014, à 08:35

Re : Firewall Ubuntu Serveur 2 nics

#10 Le 04/06/2014, à 09:00

Re : Firewall Ubuntu Serveur 2 nics

#11 Le 04/06/2014, à 10:13

Re : Firewall Ubuntu Serveur 2 nics

#12 Le 04/06/2014, à 13:59

Re : Firewall Ubuntu Serveur 2 nics

#13 Le 04/06/2014, à 17:40

Re : Firewall Ubuntu Serveur 2 nics

#14 Le 04/06/2014, à 20:07

Re : Firewall Ubuntu Serveur 2 nics

#15 Le 06/06/2014, à 19:51

Re : Firewall Ubuntu Serveur 2 nics

#16 Le 06/06/2014, à 19:59

Re : Firewall Ubuntu Serveur 2 nics

#17 Le 06/06/2014, à 20:10

Re : Firewall Ubuntu Serveur 2 nics

#18 Le 06/06/2014, à 20:17

Re : Firewall Ubuntu Serveur 2 nics

Pied de page des forums