Reseau basique

Support Debian
#1

bonjour,

je débute dans le monde de linux, et comme je pense qu’on apprend plus que tout en mettant les mains dans le cambouis, je me suis fixé comme but de monter un petit firewall pour chez moi.

Après avoir pas mal cherché à droite à gauche, j’ai trouvé une soekris 4801 d’occase pour remplir cette fonction.

j’ai réussi à installer squeeze en debootstrap sur une CF card, c’était pas évident mais on y arrive quand même, le système boot et je peux me connecter en ssh depuis mon laptop et gérer ma machine, jusqu’ici tout va bien.

j’ai une question concernant le schéma et les divers branchements que devrait / doit avoir mon réseau.
j’ai un router / modem wifi belkin F5D8636-4A.

le router fait actuellement firewall et portforwarding mais j’aimerais désormais gérer cela avec la soekris et iptalbes. d’autre part je ne peux pas enlever le NAT de mon router visiblement il n’y a pas d’options.
voilà ce que je pensais faire comme schéma de branchement :
internet<------>belkin<(a)------(b)>soekris<©------>desktop 1

(a) belkin branché directement à internet, pas de dhcp (le router pourrait le gérer), adresse 192.168.2.1
(b) eth0 de la soekris, adresse 192.168.2.2, gateway 192.168.2.1, netmask /24
© eth1 de la soekris, 192.168.2.3, gateway 192.168.2.2 ou .1 ?? , netmask /24

est-ce que c schéma fait sens ? est ce que je m’enmele les pinceaux ? :slightly_smiling: est-ce que sur le belkin je doit faire un port forward de tous les paquets tcp&udp sur tous les ports vers la soekris ?

merci de votre aide

#2

* pour le gateway : c’est 192.168.2.1
[*]normalement pas de réglage spécifique sauf pour interdire des ports

Bon apprentissage ! :038

#3

merci,
quand tu dis pas de réglage spécifique sauf pour interdire les ports, j’ai une question subsidiaire.

j’aurais du peut être plus précis dans ma question faut-il port forwarder de la belkin a la soekris.

pour le desktop 1 en bout de chaine, je vois bien “physiquement” tous les paquets passer du router vers la soekris, y être analysés et filtrés, puis arriver a la machine desktop 1

maintenant quid des paquets qui passeraient en wifi a un laptop1 ayant l’adresse 192.168.2.4 avec gateway 192.168.2.1 ?

#4

[quote=“euridice”]merci,
quand tu dis pas de réglage spécifique sauf pour interdire les ports, j’ai une question subsidiaire.

j’aurais du peut être plus précis dans ma question faut-il port forwarder de la belkin a la soekris.
[/quote]

A mon sens, le port forwarding ne serait utile si la station Desktop est un serveur pour l’extérieur du réseau local … Là c’est un autre problème !
Donc ici, à priori non.
par contre il faut activer le routage (forward) sur le soekris !

Effectivement 192.168.2.2 comme passerelle serait plus logique sinon le soekris serait shunté. A lui ensuite de retransmettre au modem/routeur.
Le mieux serait aussi de faire 2 réseaux locaux :
192.168.1.0 entre le modem et le soekris
192.168.2.0 entre le soekris et le reste
Toute tentative de passer directement sur le modem sera soldée par un échec.

Là c’est très bien expliqué [urlhttp://irp.nain-t.net/doku.php/110masquerade:010_theorie[/url] et le reste du site.

#5

[quote=“euridice”]internet<------>belkin<(a)------(b)>soekris<©------>desktop 1

(a) belkin branché directement à internet, pas de dhcp (le router pourrait le gérer), adresse 192.168.2.1
(b) eth0 de la soekris, adresse 192.168.2.2, gateway 192.168.2.1, netmask /24
© eth1 de la soekris, 192.168.2.3, gateway 192.168.2.2 ou .1 ?? , netmask /24
[/quote]
Le schéma est correct, mais pour la configuration IP il va falloir (re)voir les notions d’adressage et de routage IP.

  1. Le masque n’est pas là pour faire joli : il sert à construire le préfixe du sous-réseau auquel une interface est connectée. Concrètement c’est-à-dire l’ensemble des adresses qui sont directement joignable sur cette interface. ipcalc est ton ami.

eth0 : 192.168.2.2/24 -> sous-réseau 192.168.2.0/24 -> 192.168.2.0 à 192.168.2.255
eth1 : 192.168.2.3/24 -> sous-réseau 192.168.2.0/24 -> 192.168.2.0 à 192.168.2.255

Donc d’après ta configuration les mêmes adresses sont joignables par deux interfaces différentes. Ta machine, elle ne va plus savoir où donner de la tête.

Les sous-réseaux, comme les adresses IP, doivent être uniques et ne pas se recouvrir.
Tu dois changer le préfixe de celui d’eth1. Par exemple 192.168.1.0/24. Tu pourras ensuite affecter à eth1 et au PC des adresses dans ce sous-réseau.

  1. Une passerelle ou route par défaut, c’est par où doivent être envoyés les paquets dont la destination n’est pas couverte par une route plus précise - par défaut comme son nom l’indique. Il ne peut y en avoir qu’une, comme la clause ‘default’ dans une construction de type ‘case’ en programmation. D’autre part, associer une passerelle par défaut à une interface n’a de sens que si cette passerelle est joignable directement via cette interface. Tout ça pour dire qu’il n’y pas physiquement de passerelle connectée à eth1, donc pas de passerelle à déclarer pour cette interface.

Ça dépend. Si tu as besoin de rediriger des connexions (et non des paquets) entrantes du belkin vers la soekris, alors oui. Sinon, non.

Ils ne concernent pas la soekris. Si tu veux que tout passe par elle, alors il faut désactiver le wifi du belkin et ne rien y connecter d’autre que la soekris.