Posted: Sun Dec 19, 2010 18:46 Post subject: WRT54GL et iptables
Bonjour à tous,
Je viens d'avoir un linksys WRT54GL qui me sert de routeur chez moi.
Firmware: DD-WRT v24-sp2 (10/10/09) vpn
voici un peu l'archi chez moi :
@ -> freebox -> WRT54GL -> PC
sachant que ma freebox est en mode modem (bridge) donc mon routeur linksys récupère bien une IP WAN.
Le linksys fait DHCP, AP Wifi, pare feu, NAT, administration HTTPS et SSH. J'ai dèsactiver la QOS dessus pour le moment pour faire mes tests.
Je me permet de faire ce post car j'ai des problèmes mais ne connaissant pas le routeur, je me demande si je ne veux pas lui en demander de trop. Je m'explique :
J'ai de grosses latence au niveau wifi, parfois je perd la connection internet et mon routeur n'est plus joignable, le ping ne réponds pas. Meme quand je surf sur le net correctement et que je lance un ping en continu sur mon linksys, les temps de réponses varie énormément...
Je passe seulement en HTTPS pour administrer le linksys, le routeur met 30 secondes pour mon délivrer le certif SSL..
Quand je me connecte en SSH c'est pareil, parfois je perd la main pendant quelques secondes, parfois je la perd tout court..
Concernant le Wifi je suis en WPA2 AES, pas de filtrage mac, renew key rate a 1800, émission a 23mW.
je n'ai aucun PC connecté en RJ45 sur le routeur. Je vais prochainement avoir un NAS que je compte lebranché physiquement sur le routeur et le mettre sur une DMZ.
En ce moment je bosse sur iptables mais quand je met en place mes règles je n'ai plus accès au net, j'en déduis qu'une de mes règles doit être fausse mais je ne vois pas pourquoi.
Voici mes régles :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -p ICMP --icmp-type echo-request -j limite
iptables -I INPUT -p tcp --dport 2222 -m state --state NEW -j limite
iptables -I INPUT -p tcp --dport 443 -m state --state NEW -j limite
iptables -P INPUT DROP
Je créer une nouvelle chaine limite ou je redirige le traffic WAN qui tape sur le 2222/tcp ou 443/tcp pour éviter le brute force sur ces port. Le 2222 étant mon port SSH.Sachant que pour le SSH j'ai mis en place un système de clé RSA pour éviter le brute force..
Si une personne voit mon erreur dans ma conf du pare feu je lui serai reconnaissant.
J'ai remarqué aussi qu'il n'était pas possible de faire un "iptables-save -c " sur le routeur en SSH. je vois que le File System est en Read Only alors que je suis root.. Il est donc impossible de creer un script sur le routeur ?
Je ne comprends pas, alors que sur l'administration GUI il est possible d'ajouter un cron et donc de pouvoir éxécuter un script. Le cron ou meme ma clé public est bien stocké quelque part non ? Il doit bien y avoir un moyen de faire un "touch" non ?
Est-ce trop demandé pour ce routeur ?
Avez vous une idée de la raison de la latence de mon routeur ?
Merci à veux qui m'ont lu et qui m'aideront.
PS : j'ai reload 2 fois la page pour pouvoir posté ici....
Envoi d'une requête 'Ping' 192.168.1.1 avec 32 octets d
Réponse de 192.168.1.1 : octets=32 temps=1 ms TTL=64
Réponse de 192.168.1.1 : octets=32 temps=4 ms TTL=64
Réponse de 192.168.1.1 : octets=32 temps=3 ms TTL=64
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Réponse de 192.168.1.120 : Impossible de joindre l'hôte
Délai d'attente de la demande dépassé.
Réponse de 192.168.1.1 : octets=32 temps=5 ms TTL=64
Réponse de 192.168.1.1 : octets=32 temps=4 ms TTL=64
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Réponse de 192.168.1.1 : octets=32 temps<1ms TTL=64
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Réponse de 192.168.1.1 : octets=32 temps=4 ms TTL=64
Je rappel que mes régles de pare feu ne sont pas active, j'ai débrancher le routeur et j'ai ses rèle par défaut.
Posted: Tue Dec 28, 2010 12:49 Post subject: Re: WRT54GL et iptables
rat9361 wrote:
Bonjour à tous,
Je viens d'avoir un linksys WRT54GL qui me sert de routeur chez moi.
Firmware: DD-WRT v24-sp2 (10/10/09) vpn
voici un peu l'archi chez moi :
@ -> freebox -> WRT54GL -> PC
sachant que ma freebox est en mode modem (bridge) donc mon routeur linksys récupère bien une IP WAN.
Le linksys fait DHCP, AP Wifi, pare feu, NAT, administration HTTPS et SSH. J'ai dèsactiver la QOS dessus pour le moment pour faire mes tests.
Je me permet de faire ce post car j'ai des problèmes mais ne connaissant pas le routeur, je me demande si je ne veux pas lui en demander de trop. Je m'explique :
J'ai de grosses latence au niveau wifi, parfois je perd la connection internet et mon routeur n'est plus joignable, le ping ne réponds pas. Meme quand je surf sur le net correctement et que je lance un ping en continu sur mon linksys, les temps de réponses varie énormément...
Je passe seulement en HTTPS pour administrer le linksys, le routeur met 30 secondes pour mon délivrer le certif SSL..
Quand je me connecte en SSH c'est pareil, parfois je perd la main pendant quelques secondes, parfois je la perd tout court..
Ton routeur n'a que trés peux de mémoire. le https est trés gourmand en mémoire, si tu ne l'administre que de l'intérieur et que ton réseau wifi est protégé, le http te suffira amplement.
Quote:
Concernant le Wifi je suis en WPA2 AES, pas de filtrage mac, renew key rate a 1800, émission a 23mW.
23mW c'est vraiment trés faible...c'est en dessous des 28mW de n'importe quel routeur wifi résidentiel.
Quote:
je n'ai aucun PC connecté en RJ45 sur le routeur. Je vais prochainement avoir un NAS que je compte lebranché physiquement sur le routeur et le mettre sur une DMZ.
En ce moment je bosse sur iptables mais quand je met en place mes règles je n'ai plus accès au net, j'en déduis qu'une de mes règles doit être fausse mais je ne vois pas pourquoi.
Voici mes régles :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -p ICMP --icmp-type echo-request -j limite
iptables -I INPUT -p tcp --dport 2222 -m state --state NEW -j limite
iptables -I INPUT -p tcp --dport 443 -m state --state NEW -j limite
iptables -P INPUT DROP
Je créer une nouvelle chaine limite ou je redirige le traffic WAN qui tape sur le 2222/tcp ou 443/tcp pour éviter le brute force sur ces port. Le 2222 étant mon port SSH.Sachant que pour le SSH j'ai mis en place un système de clé RSA pour éviter le brute force..
Si une personne voit mon erreur dans ma conf du pare feu je lui serai reconnaissant.
J'ai remarqué aussi qu'il n'était pas possible de faire un "iptables-save -c " sur le routeur en SSH. je vois que le File System est en Read Only alors que je suis root.. Il est donc impossible de creer un script sur le routeur ?
Je ne comprends pas, alors que sur l'administration GUI il est possible d'ajouter un cron et donc de pouvoir éxécuter un script. Le cron ou meme ma clé public est bien stocké quelque part non ? Il doit bien y avoir un moyen de faire un "touch" non ?
Est-ce trop demandé pour ce routeur ?
Avez vous une idée de la raison de la latence de mon routeur ?
Merci à veux qui m'ont lu et qui m'aideront.
PS : j'ai reload 2 fois la page pour pouvoir posté ici....
Pour l'iptable, je laisse cette tache a lextuy qui est un cador dans ce domaine...
pour ce qui est du read-only, seule deux répertoire sont accessible en écriture.../tmp et /jffs(quand la jffs2 est activé).
tout d'abord merci de ta réponse et d'avoir pris le temps de me lire.
Pour le puissance d'émission de mon routeur, 23mW est suffisant. Mon appartement est relativement petit et quelque soit l'endroit ou je me trouve, la réception du wifi depuis mes postes clients est excellente. Donc je dirai qu'à ce niveau la il n'y a pas de problème, à ma connaissance...
Je te remercie pour l'information sur le RO sur le routeur et les répertoire en RW. Il est vrai que ce sujet est discutable étant donner que DD WRT est un firmware open source... Mais bon, ce n'est pas le topic.
Concernant mes règles iptables, j'ai eu le temps de les refaires, mais cela n'a pas tout arranger et, encore une fois je ne comprends pas pourquoi...
voici donc mes nouvelles règles iptables et j'espere que lextuy me lira :
iptables -A INPUT -i br0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -i vlan1 -j ACCEPT
iptables -I INPUT -p ICMP --icmp-type echo-request -i vlan1 -j limite
iptables -I INPUT -p tcp --dport 2222 -m state --state NEW -i vlan1 -j limite
iptables -P INPUT DROP
Sachant que vlan1 est l'interface WAN par défaut sur le linksys (arreter moi si je dis des bêtises) et br0 est l'interface LAN.
j'ai donc retirer le filtrage sur le port 443, afin d'éviter toutes connexion venant du WAN. D'ailleurs, je vais faire comme tu m'as dit, c'est a dire, enlever le HTTPS et faire que du HTTP en partant du principe que mon réseau est relativement sécurisé quitte a rajouter du filtrage MAC sur le wifi et autorisé certaines IP pour l'admin du routeur (si cela n'est pas trop gourmand en ressource... )
)