donc eth0 de mon firewall serait 10.10.10.100/24 et l’ip de mon routeur peut etre 192.168.2.1/24 en ayant la gateway 10.10.10.100 et distribué adresses ip en dhcp et fournir internet ?

[quote=“PascalHambourg”]Si le routeur et le firewall ont la même adresse 10.10.10.100, ça ne marchera pas.
…[/quote]
C’est clair !

En fait ton réseau coté eth0 devrait être par exemple 192.168.1.0/24 (pas de 10.10.10.0/8 ou que ça et pas de 192.168.1.0/24 )

eth0 192.168.1.1/24

et les autres cartes réseaux par exemple

eth2 192.168.1.2/24 pour le serveur FTP et le reste en DHCP 192.168.1.10-50 /24

pas besoin de routeur entre eth0 et les autres machines ! un switch pour inter-connecter les pc, c’est tout !

Enfin je vois ça comme ça en tout cas

je n’ai qu’un switch 5 port et il ne fait pas wifi

et j’en ai besoin pour le pc portable , c’est pourquoi je voulais garder mon routeur belkin wifi

Si tu veux absolument procéder comme ça, tu devra créer un sous-réseau pour chacun des trois pc, et un sous réseau pour ton pc firewall + routeur belkin

Soit 4 sous-réseaux coté eth0 !

C’est toi qui définit les ips des interfaces réseaux de ton routeur Belkin ? (je connais pas)

Chaque interface de ton routeur Belkin devra avoir sa propre IP

En tout cas ça ne me parait pas très saint de procéder ainsi

Bon j’suis HS -> dodo

merci a toi pour tout cela , Bonne nuit

mais oui j’ai besoin de mon routeur wifi pour le pc portable
mais je ne sais pas lui configurer 2 interfaces reseaux

sinon c’est vrai que sans cela , ca serait plus facil lol

@Rantanplan aussi:
Créer un sous-réseau pour chaque PC n’a aucun sens. Je crains que tu embrouilles kiula plus qu’autre chose. On pourrait se concentrer sur la topologie de réseau qu’il a définie et qui est parfaitement valable (excepté le switch qui ne sert à rien, mais transparent au niveau IP de toute façon donc ne gêne pas), qu’il suffit juste de configurer correctement ?

@kiula:
Tu es sûr de la référence F5D2833-4v3 de ton routeur wifi ? Ce modèle est introuvable sur le site de Belkin. Ce ne serait pas plutôt F5D8233-4 ?

Si eth0 du firewall a l’adresse IP 10.10.10.100/24, alors l’adresse IP WAN du routeur doit être dans le même sous-réseau (10.10.10.x/24 avec x entre 1 et 254 et différent de 100). L’adresse LAN du routeur peut être 192.168.2.1/24 (cohérent avec l’adresse fixe du serveur FTP), en tout cas dans un sous-réseau distinct de 10.10.10.0/24.

oui c’est le F5D8233-4 ( mais v3 )

mais je ne vois pas où je peux configurer 2 adresses sur le routeur, pour partie WAN et partie LAN

ou alors pour la partie WAN j’irais changer son adresse ici et en type fixe ( et donc en mettant 10.10.10.10 par exemple ) mais ensuite pour reparametrer au cas ou mon routeur je n arrive pas a le joindre sur l’adresse 10.10.10.10 est-ce normal ?

ensuite cela donne cela

donc cela donnerait ip : 10.10.10.10 netmask 255.255.255.0 et la passerelle ? son ip propre ?

et pour la partie LAN c’est ici, l’endroit normal je vais dire

Tu as finalement trouvé la configuration WAN.

Je ne sais pas, mais habituellement on configure un routeur via son adresse LAN (192.168.2.1 d’après ta capture), pas WAN.

La passerelle est l’adresse du firewall qui fait face au routeur : 10.10.10.100 d’après ton schéma.

derniere question et apres je tente de configuré tout cela

si je n’ai configuré aucune regle sur le firewall, tout doit passer jusqu’au bout / et a travers tout ( je parle d’internet bien sur )

je tenter tout ca et je reviendrai dire si cela a fonctionner et ainsi vous remercier une fois encore pour votre patiente et tout ce qui va avec

Tout ne passera pas, non. Seules les connexions sortantes passent. Pas à cause du firewall mais à cause de l’utilisation d’adresses privées (192.168., 10.). Le masquerading ne marche que dans un sens.

si je comprend bien , je n’aurai pas internet sur mes PC ( ds le reseau 192…)

donc je vais devoir faire les iptables OUTPUT/INPUT ou FORWARD du firewall vers le reseau 192.168 … ? ou faire autre chose ?

Non, ça c’est pour le filtrage, n’y touche pas pour le moment. L’inaccessibilité des adresses privées depuis l’extérieur est un problème distinct.

et comment le resoudre alors ?

voila après avoir néanmoins refait une nouvelle install de debian pour être sur qu’elle soit bien vierge de mes bêtises

j’ai réussis, le net passe bien sur mes machines sur le réseau 192 … j’y tape mon message actuellement

il ne me reste qu’à établir les règles du firewall et la je sens que je vais aussi m’amuser lol
j’espère que je pourrai toujours compter sur vos conseils et remarques
je vais faire un brouillon de mes règles et voir si elles semblent correctes

en tout cas je vous remercie de vos lumières vous m’avez bien aiguillé et remis sur les bon rails lol

Salut,

Pas terrible…
Fais simplement une copie des fichiers de conf que tu modifie, ça t’évitera une réinstallation inutile…

Edit: Et les confs d’origine sont de toute manière dans les paquets qui se trouvent dans le cache d’apt (/var/cache/apt/archives)

merci “lol”, mais si j’ai fais une reinstall c’est parce que justement je n’ai pas fais ces copies , je n’ai pas encore l’habitude mais ca va venir

et merci pour l’info

je suis en train de faire mes règles du firewall

mais je pose la question , y a t il une iptables special par rapport a un wifi ? car je n’ai pas d’interface ( ethX ni pour cote WAN ni LAN )

sinon voila mon script ( pas fini ) , si vous avez des conseils ou remarques , dites je suis preneur

script firewall

function flush_fw {
iptables -t filter -X
iptables -t filter -F
iptables -t nat -X
iptables -t nat -F
}
function f_start {
flush_fw
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Ssh sur le FW sur le port 22

iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth1 --sport 22 -j ACCEPT

Activation du NAT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Autoriser le http vers exterieur

iptables 

}

function f_stop {
flush_fw
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo " Firewall is stopped !!! "

}

function f_restart {
f_stop
f_start
}

function f_status {
iptables -t filter -L
iptables -t nat -L
echo "Statut du Firewall : "
}

case $1 in
start)
f_start
;;
stop)
f_stop
;;
restart)
f_restart
;;
status)
f_status
;;
*)
echo “Syntax error : /etc/init.d/firewall [start/stop/restart/status]”
;;
esac

Bien ! ( je parles de la topologie actuelle de ton réseau, le filtrage j’y connais rien )

J’avais pas compris le genre de matos qu’était ton Belkin, j’ai pas voulu t’embrouiller en tout cas, et je trouvais absurde la config que je te proposais, comme je le disais d’ailleurs.

Sinon, rien à voir avec tes règles de filtrage : si je me rappelle bien tu as un serveur FTP dans ton Lan : il devrait avoir une IP fixe ( pas en DHCP )

Bonne continuation, je lis la suite avec intérêt

Avec une redirection NAT des ports qui doivent être accessibles de l’extérieur. Et comme ton routeur Belkin fait aussi du NAT/masquerading (à moins que ce soit optionnel, dans ce cas je t’engage à le désactiver), il faudra créer aussi les redirections sur ce dernier. NAT en cascade, redirection en cascade :

• sur le pare-feu, redirection du port vers l’adresse extérieure du routeur
• sur le routeur, redirection du port vers l’adresse de la machine cible.

Mais tout ça, c’est uniquement si tu as besoin qu’un port d’une machine du LAN soit accessible depuis l’extérieur.

Concernant ton nouveau schéma, j’ai deux observations.

1. Drôle d’idée d’utiliser un frigo comme pare-feu (parce que ça fait du froid ?).
2. L’adresse de gateway n’a rien à faire sur l’interface LAN du routeur. D’ailleurs on voit bien qu’elle n’est pas dans le même sous-réseau.

Concernant le jeu de règles iptables, plusieurs remarques.

1. SSH (mais généralisable) : Pour laisser passer les paquets retour, généralement on n’utilise pas le port source mais plutôt le suivi de connexion :

Même chose dans les deux autres chaînes de la table filter.
2) SSH encore : ces règles n’acceptent les connexion SSH que depuis internet (par eth1), pas depuis le LAN (par eth0).
3) Il est d’usage d’autoriser le trafic interne à la machine, sur l’interface de loopback.

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
4) Dans l’état actuel, tes règles n’autorisent pas les connexions du routeur vers internet. Pour les accepter, il faut ajouter des règles dans la chaîne FORWARD :

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED