Petite question pour routeur ...

Petite question pour routeur ... - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 15-03-2003 à 11:55:29    

Je pense monter un pitite machine où j'inbstallerais une distrib afin d'en faire un routeur... ( piti K6-2 500 probablement )
 
Est il possible de faire ça sachant que la connexion internet arrivera par le modem usb ECI ...
 
j'ai entendu dire qu'il fallait deux cartes réseaux ..
 
qu'en est il .?
 
merci

Reply

Marsh Posté le 15-03-2003 à 11:55:29   

Reply

Marsh Posté le 15-03-2003 à 11:59:43    

j'aime le terme petit pour désigner un k6-2 500 ;)
 
autrement, il te faut 2 interfaces réseaux, une connectés sur le Web (i.e. ton modem USB) l'autre sur ton réseau (i.e. ta carte réseau)
 


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 15-03-2003 à 12:11:25    

Mjules a écrit :

j'aime le terme petit pour désigner un k6-2 500 ;)
 
autrement, il te faut 2 interfaces réseaux, une connectés sur le Web (i.e. ton modem USB) l'autre sur ton réseau (i.e. ta carte réseau)
 
 


 
 
ok donc ça peut tres bienb marcher, même si c un modem usb ?
 
Pour le k6, ... c juste que j'ai plsu l'habitude de bosser avec des XP ^^


Message édité par paranoidandroid le 15-03-2003 à 12:13:23
Reply

Marsh Posté le 15-03-2003 à 12:12:31    

ben oui, chez moi j'ai une carte ISDN et une carte réseau et ça marche.


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 15-03-2003 à 13:55:20    

Smoothwall 2.0 est la solution facile...
Sinon, vu que ta machine n'est pas si petite une clarckconnect ou une SME 5.6 te permettra d'avoir quelques fonctions sympas...
 
PS: pour info une petite machine que je conscre à un routeur /FW/serveur web/ftp  c maxi un PII200 ... au delà , je préfère garder la machine pour une divxbox ou une workstation.

Reply

Marsh Posté le 16-03-2003 à 00:52:17    

paranoidandroid a écrit :

Je pense monter un pitite machine où j'inbstallerais une distrib afin d'en faire un routeur... ( piti K6-2 500 probablement )
 
Est il possible de faire ça sachant que la connexion internet arrivera par le modem usb ECI ...
 
j'ai entendu dire qu'il fallait deux cartes réseaux ..
 
qu'en est il .?
 
merci


 
Une machine à 500 MHz est largement surdimensionnée pour une simple passerelle. Il te faut 2 interfaces réseau au moins, c'est évident: une pour l'internet, et une autre pour ton réseau local. Dans ton cas, avec un modem USB, il y aura ppp0 et eth0. Mais cela ne veut pas dire qu'il te faut 2 cartes réseaux, puisque tu utilise un port USB pour relier ton modem à ta machine.
 
Le fait que ce soit un modem USB ne pose normalement pas de problème, à partir du moment où il est bien compatible avec Linux.
 
Si tu connais déja un peu Linux, une slackware ou une debian sont pas mal pour faire des routeurs et firewall dédiés. Au moins, ces distributions ne comportent pas 50000 trucs inutiles et "à risque" par défaut.

Reply

Marsh Posté le 16-03-2003 à 01:01:41    

Et je te fournit meme le script qu'il te faut :sol:  
 

#!/bin/sh
# firegate.sh : Rulesset netfilter pour routeur filtrant
# Par lithium
# Version : 2.1
 
### Declalaration des variables ###
IPT="iptables"
DMZ="192.168.1.1"
IFppp="ppp0"
IFlan="eth0"
 
### Declaration des fonctions ###
 
# Parametres du noyau
function KernelConf ()
{
# Je ne veux pas de spoofing
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
   
# Protection contre l'echo en broadcast
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
   
# Protection contre les mauvais messages d'erreur
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
   
# pas de icmp (ping)
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
# Protection contre le syn-flood
$IPT -A FORWARD --protocol TCP --syn -m limit --limit 1/s -j ACCEPT
   
# Protection contre le test de port furtif
$IPT -A FORWARD --protocol TCP --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
 
# Protection contre le ping de la mort
$IPT -A FORWARD --protocol icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
 
# Permettre le forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
}
 
# Purge des reglers etablies
function FlushTables ()
{
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
}
 
# Tout ouvrir
function AcceptAll ()
{
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i $IFlan -j ACCEPT
$IPT -A OUTPUT -o $IFlan -j ACCEPT
}
 
# Tout fermer
function DropAll ()
{
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -t nat -P PREROUTING DROP
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -P OUTPUT DROP
$IPT -A INPUT -i lo -j DROP
$IPT -A OUTPUT -o lo -j DROP
$IPT -A INPUT -i $IFlan -j DROP
$IPT -A OUTPUT -o $IFlan -j DROP
}
 
# Regles par defaut
function DefaultPolicy ()
{
# Bloquer tout le trafic
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
 
# Ouvrir les transctions NAT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
 
# Ouvrir l'interface locale
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
 
# Et le reseau local
$IPT -A INPUT -i $IFlan -j ACCEPT
$IPT -A OUTPUT -o $IFlan -j ACCEPT
 
# La gateway peut acceder au net
$IPT -A OUTPUT -o $IFppp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT  -i $IFppp -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Toute les machines du reseau aussi
$IPT -t nat -A POSTROUTING -o $IFppp -j MASQUERADE
$IPT -A FORWARD -i $IFlan -o $IFppp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IFppp -o $IFlan -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Autoriser l'accés au serveur http de la DMZ depuis l'exterieur
$IPT -t nat -A PREROUTING -i $IFppp -p tcp --dport 80 -j DNAT --to-destination $DMZ:80
 
$IPT -A FORWARD -i $IFppp -o $IFlan -p tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -o $IFppp -i $IFlan -p tcp --source-port 80 -m state --state ESTABLISHED     -j ACCEPT  
}
 
### Programme ###
 
case $1 in
start)
KernelConf
FlushTables
DefaultPolicy
;;
stop)
KernelConf
FlushTables
AcceptAll
;;
lock)
KernelConf
FlushTables
DropAll
;;
*)
echo "Utilisation : ./firegate.sh start | stop | lock"
;;
esac

 
 
D'ailleurs les pros, vous en pensez quoi ..?
 
PS :  met ca dans un fichier texte, tu fait un chmod +x et :
start pour le lancer
stop pour l'arreter
lock pour tout couper

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed