Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

iptables [openwrt]

jeyy

bonjour.
(je sais que c'est pas trop le bon forum pour ce sujet mais ici ça répond vite 😛 )

j'utilise openwrt sur mon routeur.
j'ai configuré 2 réseaux LAN: 1 où tout est permis , le 2nd est filtré par polipo/dansguardian.

le 1er réseau a comme IP >> 192.168.1.0/24
le 2nd réseau a comme IP >> 10.0.0.0/24

le routeur/passerelle a donc comme IP 192.168.1.1 & 10.0.0.1

je voudrais isoler le 2nd réseau afin que le 1er devienne pour lui invisible , et interdire l'accès à l'admin de la passerelle.
un peu comme les réseaux de type hostpost vous voyez ??

j'ai essayé toute sorte de règle iptables mais en vain,
soit j'ai plus accès a rien du tout
soit je n'ai plus accès au net mais toujours l'admin grrr .

j'ai appliqué ce tuto mais toujours pareil >> http://wiki.openwrt.org/doc/recipes/guest-wlan

bref, je pensais qu'une simple règle iptables pouvais me sortir d'affaire mais apparemment c'est moins simple que ce qu'il n'y paraît..

[supprimé]

Bonjour,

J'utilise également OpenWrt, mais avec un choix cartographique différent : j'utilise 2 routeurs. L'isolation est plus simple à gérer et à mon sens plus efficace :
- Un routeur pour ce que je qualifie de "zone sûre", sans wifi...
- Un second, en amont plus "ouvert" et autorisant le Wifi...Etc

Pas certain de t'avoir aidé 😉

jeyy

je te remercie pour cette réponse mais effectivement ça ne m'aide pas trop car je ne compte pas ajouter de routeur à mon réseau (c'est assez le bordel comme ça déjà 😃 )

-les gens connectés en wifi chez toi peuvent accéder a l'interface admin du routeur non?
-si un PC de bureau est connecté sur ta "zône sûre" , est-ce depuis le wifi on ne le vois pas apparaître dans le menu "réseau" de l'explorer windows par exemple?

moi je me demande juste comment font les box grand public pour avoir un réseau "hostpost" sans que l'on puisse voir le réseau
du domicile en fait.

jeyy

re.

bon bin je pense avoir tout essayé sans succès, a croire que ce que je veux faire est impossible je me demande comment ils font
en entreprise avec des gros parc d'ordi pour protéger leur réseaux :o

dernièrement j'ai changer le masque de sous-réseau au cas où
et j'ai tester ces règles:

iptables -A INPUT -s 10.0.0.0/16 -p tcp -m multiport --dport 80,443,22 -d 192.168.1.1 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -s 10.0.0.0/16 -p tcp -m multiport --dport 80,443,22 -d 192.168.1.1 -j REJECT --reject-with tcp-reset
iptables -A INPUT -s 10.0.0.0/16 -p tcp -m multiport --dport 80,443,22 -d 10.0.0.1 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -s 10.0.0.0/16 -p tcp -m multiport --dport 80,443,22 -d 10.0.0.1 -j REJECT --reject-with tcp-reset

donc, j'suis toujours en galère de solutions ...

[supprimé]

jeyy a écritje te remercie pour cette réponse mais effectivement ça ne m'aide pas trop car je ne compte pas ajouter de routeur à mon réseau (c'est assez le bordel comme ça déjà 😃 )

-les gens connectés en wifi chez toi peuvent accéder a l'interface admin du routeur non?

Non, car la zone "sûre" (tout est relatif hein ;-) ) n'autorise pas le wifi (100% eth0) et est réservée aux postes fixes que je considère comme important (en clair 2 pc fixe + leur serveur de sauvegarde dédié)
Impossible, l'interface d'administration est réservée à un unique poste (le mien) depuis la zone "sûre", et idem pour chaque "sous-zone".

jeyy a écrit-si un PC de bureau est connecté sur ta "zône sûre" , est-ce depuis le wifi on ne le vois pas apparaître dans le menu "réseau" de l'explorer windows par exemple?

Impossible, le routeur bloque tout en entrant.
Pour le wifi, j'utilise donc un autre routeur.

jeyy a écritmoi je me demande juste comment font les box grand public pour avoir un réseau "hostpost" sans que l'on puisse voir le réseau
du domicile en fait.

Peut-être justement qu'il faudrait que tu précise le modèle de ton routeur (car tous ne peuvent faire ce que tu demandes ;-) )

jeyy

ok merci.
je pense qu'il va falloir que je comprennes cette page >> http://wiki.openwrt.org/doc/uci/network/switch
mais c'est loin d'être gagné lol, j'ai l'impression qu'il faut pour isoler un réseau l'assigner à un seul port .
là on voit que le ga galère mais a l'inverse de moi >> https://fiat-tux.fr/2014/11/20/openwrt-les-hotes-du-lan-ne-peuvent-pas-se-connecter-les-uns-aux-autres/

Peut-être justement qu'il faudrait que tu précise le modèle de ton routeur (car tous ne peuvent faire ce que tu demandes ;-) )

le routeur que j'utilise est un "TP-Link TL-WDR4300 v1 " donc grand public quoi.
un des gros avantages a installer openwrt est justement de se retrouver avec des options pro sur du matos tout-public

mon idée était juste de bloquer la requête quand une IP source 10.0.0.1/16 allait a destination de 192.168.1.0/24
donc dans ma logique la règle iptables serait:

iptables -A INPUT -s 10.0.0.0/16 -d 192.168.1.0/24 -j REJECT

mais apparemment ça suffit pas ffffff.

tu dis que en wifi le pc ne vois pas ta zone sûre mais dans mon cas ça devrait être la même chose
je ne passe pas direct du wifi au 1er réseau, les Pc en wifi on carrément un autre type d'IP, avec une autre passerelle comme dans ton cas donc, a la seule différence que c'est "virtualisé" en quelques sortes.

bref, je continu a chercher .....

jeyy

________________________

edit

________________________

voilà ce qu'il y a de marqué dans la page de gestion des switch :

Commutateur
Les ports de votre équipement peuvent être configurés pour combiner plusieurs VLANs dans lesquels les machines connectées peuvent dialoguer directement l'une avec l'autre. Les VLANs sont souvent utilisés pour séparer différences sous-réseaux. Bien souvent il y a un port d'uplink pour une connexion vers un réseau plus vaste, comme internet et les autres ports sont réservés au réseau local.

donc je pense qu'il y a moyen de faire quelques chose a ce niveau pour vraiment "cloisonner" un des réseaux

jeyy

ehlo.

bon finalement j'ai trouvé une autre solution, je poste ici en guise de pense-bête:
PS: j'ai changé l'ip du 2nd réseau entre temps 10.0.0.0/16 devient 192.168.2.0/24

1. limiter l'écoute de uhttpd:
vu sur cette page
donc voici le début la config (fichier "/etc/config/uhttpd">>

config uhttpd 'main'
         list listen_http '192.168.1.1:80'
#       list listen_http '[::]:80'
         list listen_https '192.168.1.1:443' 
#       list listen_https '[::]:443' 
        option home '/www'
........

2. les règles du parefeu a ajouter:

dans le fichier /etc/config/firewall
j'ai ajouter:

config rule
        option src 'lan2'
        option name 'block admin ssh'
        option dest_port '22'
        option dest_ip '192.168.1.1'
        option target 'REJECT'
        option src_ip '192.168.2.0/24'

config rule
        option src 'lan2'
        option name 'block admin http'
        option target 'REJECT'
        option src_ip '192.168.2.0/24'
        option dest_ip '192.168.1.1'
        option dest_port '8080'

config rule
        option src 'lan2'
        option name 'block admin http2'
        option target 'REJECT'
        option src_ip '192.168.2.0/24'
        option dest_ip '192.168.1.1'
        option dest_port '80'

config rule
        option enabled '1'
        option src 'lan2'
        option name 'block admin http3'
        option dest_port '443'
        option target 'REJECT'
        option src_ip '192.168.2.0/24'
        option dest_ip '192.168.1.1'

3. limiter samba:

dans luci > services > partage reseau puis " éditer le modèle"
j'ai ajouté cette ligne

(ou modifier "/etc/samba/smb.conf")

        hosts allow = 192.168.1.0/24

voilà, depuis tous les PC sur le 2nd réseau ne voient rien du 1er et ne peuvent pas
se connecter a l'admin de la passerelle .