Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Firewall avec 2 accès internet

atlante

Bonjour,
après avoir cherché vainement de mon côté, j'en appelle à vos lumières.
Je souhaite mettre en place un firewall sur un ordinateur dédié avec 2 accès internet sur deux FAI différents, tel que sur le schéma suivant:
http://i65.tinypic.com/111118i.png

Actuellement, le firewall fonctionne sur la ligne Free, le filtrage et les redirections fonctionnent.
Les postes de travail se connectent sur le serveur par TSE sans problème.

Je souhaite y ajouter une ligne internet pour deux raisons:
1 - Je suis parfois amené à me connecter depuis l'extérieur (internet) au serveur W10, mais ça rame à cause de l'utilisation de la ligne free par les utilisateurs, donc une seconde ligne dédiée sera plus rapide,
2 - Je veux pouvoir couper l'accès externe quand ça me chante pour être sûr que personne ne s'y connecte.

La ligne orange est active et connectée sur le firewall qui a 3 cartes réseau.

Le problème que je rencontre est que mon script iptables définit une route par défaut sortant par free. Or, quand je me connecte sur l'IP orange, je ne reçois donc pas mes paquets en retour, puisqu'ils partent par free.
Je veux que tout ce qui sort du réseau local parte par free, mais que si l'entrée se fait par free, les retours partent par free, et que si l'entrée se fait par orange, les paquets de retour sortent par orange.

Je ne sais pas différencier les entrées pour assurer un retour par le même chemin dans mon script iptables. J'ai essayé sans succès différentes choses du net et je m'en sors aujourd'hui en forçant la route par orange pour tout ce qui concerne le TSE, mais ça ne fonctionne pas si je veux me connecter en SSH sur les deux IP externes.

Si quelqu'un savait et voulait partager, ou me donner une piste ou un lien, je pourrai ainsi garder quelques cheveux sur la tête...

PS: Inutile de me suggérer ipcop ou une autre distribution dédiée.

Merci de respecter les règles du forum, la taille des images est limitée.

smokeh

hello pourquoi ne pas avoir fait de la QOS?

atlante

Salut,
La QOS n'est pas la solution qui augmentera la bande passante, je ne peux pas pénaliser mes utilisateurs. Et j'ai une autre ligne à disposition prévue pour ça.

C'est certainement faisable avec iptables, mais c'est tellement vaste que j'ai besoin d'aide pour savoir où chercher.

Désolé pour l'image, j'ai bien fait attention de la mettre sur un service externe, je ne pensais pas que ça posait problème. Je le ferai plus :/

Brunod

Il faudrait regarder pour du load balancing. Par contre, je ne me souviens pas l'avoir jamais fait avec linux / iptables.
https://help.ubuntu.com/community/UbuntuBonding
Faut chercher mais je n'ai pas le temps pour l'instant.

atlante

Salut,
J'avais regardé et essayé du côté du bonding, mais ça n'est pas une solution parce que ça pose problème pour les mails. Le FAI autorise l'envoi de mail seulement d'une IP qui lui appartient. Dans le bonding, on ne sait pas sur quelle interface, donc sur quel réseau, on va sortir, vu que les deux interfaces sont considérées comme une seule. On retombe alors sur le problème de forcer la sortie des mails vers une interface plus que l'autre.
En plus, je tiens vraiment à être le seul à utiliser la ligne orange, et que toutes les sorties du réseau ne passe que par la ligne free.

smokeh

et de l'agrégation de lien ? il y a OVH qui vend une offre plutôt bien pour ça...

[supprimé]

Le problème que je rencontre est que mon script iptables définit une route par défaut sortant par free. Or, quand je me connecte sur l'IP orange, je ne reçois donc pas mes paquets en retour, puisqu'ils partent par free.

bonjour, peux tu faire voir ton script iptables, comment définit t'il une route ? iptables filtre, re-dirige du traffic mais ne fait pas de routage.

une solution serait d'utiliser iproute pour définir la passrelle d'orange et laisser la route par défaut de chez free.

ensuite avec la table mangle et nat d'iptables, tu forces ton appli ou ton owner à utiliser la passerelle orange,

-la table mangle forcera les paquets choisis à utiliser la passerelle vers orange
-la table nat en postrounting indiquera le retour de ces paquets vers la machine concernée.

je me souviens avoir utilisé cette méthode qui fonctionne très bien, je ne connais plus les syntaxes exactes sans faire de recherche mais je pourrais t'indiquer ce qui va ou ne va pas au fur et à mesure de tes réponses.

bruno

Bonjour,

Plutôt que de batailler avec iptables et les tables de routage, pourquoi n'essaierais-tu pas Shorewall ?

http://www.shorewall.net/MultiISP.html

pires57

A titre perso je trouve iptables plus simple que shorewall... bon après j'ai jamais vraiment accroché a shorewall et je l'ai très peu utilisé.

atlante

Salut,
Je tiens à rester sur iptables parce qu'il n'y a pas de raison de tout changer juste pour une fonction qui doit être possible via iptables, sans compter que ce qui fonctionne j'ai pas envie de le casser.

Mon script ne fait pas grand chose de particulier, à par supprimer la route par défaut pour ensuite recréer celle vers free

route del default
route add default gw ${GW} ${ETHEX}

C'est pour être sûr que la route est bonne, vu que si l'on branche orange après free, la route par défaut devient celle d'orange (le dernier branché).

J'ai déjà essayé de faire avec iproute

cat /etc/iproute2/rt_tables
#
# reserved values
#
255	local
254	main
253	default
0	unspec
#
# local
#
#1	inr.ruhep
201	uplinkorange
200	uplinkfree

puis d'ajouter une mark sur les paquets entrant par l'interface orange, et défini une route des paquets marqués vers orange, mais ça ne fonctionne pas.
J'ai sans doute raté quelque chose, ou ce qui rentre est marqué mais les réponses du serveur ne le sont pas...

C'est pour ça que je cherche de la doc ou un exemple pour arriver à le faire.
Je sais que c'est faisable, j'ai trouvé des posts de plus de 10 ans en parlant, mais soit les liens ne pointent plus nulle part, soit les explications sont dépassées.

Je ne suis pas dans un cas courant, la plupart du temps il n'y a qu'un seul FAI, et s'il y en a deux c'est pour faire de l'aggrégation. Or moi, je veux séparer les deux.
Je continue de chercher (je l'aurai un jour, je l'aurai) dans les 3 langues que je maitrise mais difficiel de trouver quelque chose qui ne parte pas dans une direction qui n'est pas la mienne.

[supprimé]

bien sûr que c'est faisable, voilà un exemple

https://jikan.fr/forcer-une-application-a-utiliser-une-interface-reseau-donnee-sur-gnulinux-ou-comment-utiliser-deux-connections-internet-en-meme-temps/