Redirection de la connection entre interfaces reseaux

Support Debian
#1

Bonjour a tous,

Je viens de monter une machine sous Debian.
J’ai une carte réseau eth0 qui est connectée au modem du fournisseur d’accès internet (192.168.1.1), et une carte wlan0 qui permet a client de se connecter dessus avec hostapd et un serveur dhcp (192.168.7.77)
Que faut-il faire pour permettre au client se connectant sur le wifi d’avoir accès a internet.
J’essaie de jouer avec les regles iptables, mais rien ne fonctionne, je peux me connecter sur le wifi, le signale est excellent, mais l’accès est limité (aucun accès a internet), cependant le réseau local fonctionne.

Si quelqu’un a une idée merci de me tenir informé.

Merci d’avance.

#2
  1. Activer la fonction routeur IPv4
  1. Masquer l’adresse du client avec du NAT source sur l’interface extérieure

Une fois vérifié que cela fonctionne, il faut penser à rendre ces actions persistantes à chaque démarrage.
Penser aussi aux services annexes (DNS) utiles mais qui ne font pas partie de la connexion internet au sens strict (=connectivité IP).

#3

Personnellement j’utilise dnsmasq/hostapd et les règles iptables suivantes :

[code]
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

allow loopback

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

allow already established connections on eth0 (useful for SSH)

iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Allow ping on eth0

iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT

allow SSH in, on eth0 only

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

allow HTTPS in, on eth0 only (hotspot’s web server)

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT

allow DNS in, on wlan0

iptables -A INPUT -i wlan0 -p udp -m udp --dport 53 -j ACCEPT

allow DHCP in, on wlan0

iptables -A INPUT -i wlan0 -p udp -m udp --dport 67 -j ACCEPT

packet forwarding rules

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT

allow HTTP and HTTPS to be forwarded

iptables -A FORWARD -i wlan0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i wlan0 -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT

uncomment below to allow SSH to be forwarded

#iptables -A FORWARD -i wlan0 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT

everything else will be forbidden[/code]

#4

Merci a vous deux, cela fonctionne.

Bizarrement certaines pages mettent du temps a se charger, j’ai fait un speedtest, j’ai un meilleur débit aussi en Download qu’en Upload qu’avant, que dois-je faire pour que les pages se charge plus vite dois-je installer Bind9?
J’ai paramétré les clients pour utiliser les DNS de comodo : 8.26.56.26 8.20.247.20.
J’utilise pour DHCP isc-dhcp-server

De plus comment faire pour que les règles ip-tables se charge a chaque redémarrage?
Je suis très paranos, et je souhaite vraiment avoir un réseau sécurisé (chaque ordinateur est équipé d’antivirus et de parfeu réglé par mes soins, et chaque téléphone/tablette est aussi protéger par un antivirus.
Quelles règles dois-je utiliser pour protéger au mieux mon réseau et faire en sorte que tout fonctionne rapidement et sans accroc.

Y’a t’il des choses aque je dois faire sur mon fichier hostapd.conf

#   /etc/hostapd/hostapd.conf
#   authoritative information and specifics are available here:
#   http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blob_plain;f=hostapd/hostapd.conf


# if you want to bridge the onboard eth0 and the wireless USB adapter's wlan0, this should work
interface=wlan0
#bridge=br0


# this is the driver that must be used for ath9k and other similar chipset devices
driver=nl80211


#  yes, it says 802.11g, but the n-speeds get layered on top of it
hw_mode=g


#  this enables the 802.11n speeds and capabilities ...  You will also need to enable WMM for full HT functionality.
ieee80211n=1
wmm_enabled=1



#  self-explanatory, but not all channels may be enabled for you - check /var/log/messages for details
channel=11
#  also, make sure you survey your 2.4GHz environment, and find some uncluttered/uncrowded channels



#   adjust to fit your location
country_code=IE
#   Here is the authoritative list of countries:
#   http://www.iso.org/iso/country_codes/iso_3166_code_lists/country_names_and_code_elements.htm

#   let your AP broadcast the settings that agree with the above-mentioned regulatory requirements per country
ieee80211d=1


#   adjust to fit your preference
ssid=**********


#   this is how I set mine up - works perfectly for iPhone, Mac OS X (SnowLeopard) & Linux
auth_algs=3
wpa=3
wpa_passphrase=**************************************
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
macaddr_acl=0

#   these have to be set in agreement w/ channel and some other values... read hostapd.conf docs
ht_capab=[HT40][SHORT-GI-40]
#                                                        ...  these can be tuned to specific capabilities per device/chipset


#  IIUC, this enables reauthentication for clients, so the passphrase doesn't have to be re-entered
eap_reauth_period=360000000
#   ... my understanding... 3600 seconds = 1 hr, so your device would have to reauthenticate if it rejoined after 1 hr
#   I have mine set quite a bit higher than 3600 seconds... so that my iPhone doesn't ask me to type in the password 
#   frequently...  


# makes the SSID visible and broadcasted
ignore_broadcast_ssid=0




#  debugging output - uncomment them to activate; issue  hostapd -d /etc/hostapd/hostapd.conf
#  to get debugging info in visible/real-time form
#logger_syslog=-1
#logger_syslog_level=2
#logger_stdout=-1
#logger_stdout_level=2

Merci d’avance pour votre aide :slightly_smiling:

#5

installer bind9? aucun rapport.

les ralentissements pour certaines pages (certains sites?) c’est peut-être dû aux DNS utilisés.

pour les règles iptables, tout est dans la doc Debian :

debian.org/doc/manuals/secur … wall-setup

paragraphe “5.14.3.3 Configurer les règles du réseau par ifup”

#6

Bonjour Et merci à tous pour vos réponses.
Mon routeur Sans fil fonctionne parfaitement :smiley: .

Juste une question je souhaite faire une redirection de port pour Utorrent pour un des mes pc Windows.

Le portable se connecte sur le wlan0 et le port source est 53149, est ce que cette ligne est juste? Apparement non car Uttorent me dit que le port est toujours fermé).

-A FORWARD -o wlan0 -p udp -m udp --sport 53149 -m state --state RELATED,ESTABLISHED -j ACCEPT

Merci d’avance.

#7

Redirection de quoi vers quoi ? Depuis où ? Pour quoi faire ?
Ta règle iptables ne fait pas de redirection, elle ne fait qu’accepter des paquets.

#8

S’inspirer plutôt de cette ligne

en remplaçant le port 80 par celui utilisé dans utorrent (pas le port source de ta machine)

il faut aussi que le port soit débloqué dans ta box, pour l’ip de ta machine routeur

#9

Merci pour ta réponse,

Je vais vérifier cela.

l’adresse IP de mon routeur wifi Debian est dans la dmz du routeur de mon ISP, normalement il ne devrait pas y avoir de problème.

Merci encore pour toute cette aide.

Je ferai un retour une fois que j’aurai fais des tests.