Regles IPTABLES pour dmz

Post new topic   Reply to topic    DD-WRT Forum Index -> Matériels à base de Broadcom
Author Message
blade46
DD-WRT Novice


Joined: 03 Jun 2009
Posts: 34

PostPosted: Tue Sep 01, 2009 11:23    Post subject: Regles IPTABLES pour dmz Reply with quote
Salut à tous,

Voila j'ai un linksys comme routeur en IP 192.168.1.1, j'ai donc plusieurs postes clients sur ce même réseau 192.168.1.X, sur mon routeur j'ai créé un vlan pour accueillir un serveur en dmz en ip 192.168.2.1 avec mon serveur en 192.168.2.2.

Voici les regles iptables ajoutés dans la config de mon routeur:

iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I FORWARD -s 192.168.1.2 -d 192.168.2.2 -j ACCEPT

Je veux qu'il n'y ait aucune possibilité de routage entre mais 2 réseaux (2 vlans), sauf depuis mon client (192.168.1.2) vers ce serveur (192.168.2.2)

Je sais que ca marche, ma question est juste en terme de sécurité mon réseau 192.168.1.X est-il bien à l' abri du net.
Si non quelles règles faut-il que j'ajoute dans mon routeur.

Merci pour vos réponses.

++
Sponsor
blade46
DD-WRT Novice


Joined: 03 Jun 2009
Posts: 34

PostPosted: Thu Sep 10, 2009 15:15    Post subject: Reply with quote
Je suppose que c'est bon si j'ai pas de reponses.

++
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Thu Sep 10, 2009 19:10    Post subject: Reply with quote
active le firewall Wink ton réseau (premier vlan) sera ainsi protégé du net sans te retaper toutes les iptables défaut.
_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
blade46
DD-WRT Novice


Joined: 03 Jun 2009
Posts: 34

PostPosted: Fri Sep 11, 2009 7:59    Post subject: Reply with quote
Oui, merci pour ta reponse le firewall est bien sur activer, les regles iptables sont créées pour bien optimiser la securité et eviter toutes intrusions de ma dmz vers mon reseau local si mon serveur est attaqué.

Merci.

++
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Fri Sep 11, 2009 13:52    Post subject: Reply with quote
Alors il n'était pas nécessaire de creer un deuxieme Vlan, avec une regle Iptable tu pouvais isoler une adresse ip du reste du réseau
_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
blade46
DD-WRT Novice


Joined: 03 Jun 2009
Posts: 34

PostPosted: Fri Sep 11, 2009 17:09    Post subject: Reply with quote
ha d'accord, je comprends mieux ton raisonnement, je vois ce que tu veux dire, crerer les memes regles mais avec juste l'adrese ip de mon serveur.

merci.

++
remid13
DD-WRT Novice


Joined: 01 Apr 2011
Posts: 2

PostPosted: Fri Apr 01, 2011 9:40    Post subject: Reply with quote
Bonjour,

Je suis dans le même cas pour toi.

J'ai un réseau local, en 10.1.1.X ou j'ai des pc.
J'ai crée un vlan, pour crée un second réseau local, en 10.1.2.X

Dans se second réseau local, j'ai un serveur VPN sous windows. Je cherche à le mettre en DMZ afin que le protocole GRE d'encapsulation de windows puisse passer. ( A moins que quelqu'un sache router ce protocole à travers mon DDWRT... )

Dans la config de mon DDWRT, il me propose automatiquement de crée une DMZ vers 10.1.1.[] (une adresse que je choisi dans mon lan )
Mais moi je veut ma DMZ dans ma deuxième vlan.

J'ai donc repris tes Iptables, mais ca ne fonctionne toujours pas. Quelqu'un à t'il une idée ?

Pour info afin que mes deux réseaux ne communique pas, j'ai fait des règles iptables :
iptables -I FORWARD -s 10.1.1.0/24 -d 10.1.2.0/24 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -d 10.1.1.0/24 -j DROP


Merci d'avance de votre aide,
bonne journée
remid13
DD-WRT Novice


Joined: 01 Apr 2011
Posts: 2

PostPosted: Thu Apr 07, 2011 9:09    Post subject: Reply with quote
Je me permet de faire un Up sur ce sujet...

Je suis vraiment embêter sur ce point la, et je n'est toujours rien trouvé nulle part...

J'ai essayer tout tas de commande iptables et aucun n'a fonctionné...

Merci par avance de votre aide.
Bonne journée.
Oaxley
DD-WRT User


Joined: 19 Jul 2007
Posts: 105

PostPosted: Tue May 03, 2011 10:43    Post subject: Pour Blade46 Reply with quote
Hello Blade,

Pour completement isoler ton rezo 192.168.1.x du net
iptables -I FORWARD -s 0.0.0.0/32 -d 192.168.1.0/24 -j DROP

Inseres bien sur cette regle APRES
iptables -I FORWARD -s 192.168.1.2 -d 192.168.2.2 -j ACCEPT

Sinon plus rien :0)

Concernant la DMZ, essayer
iptables -I FORWARD -s 0.0.0.0/32 -d 192.168.1.0/24 -j ACCEPT pourrait fonctionner au niveau iptables bien sur mais le principal pb est que les flux seront examines par le routeur et passeront par la couche "Firewall" ce qui n'est pas ce que l'on vut lors d'un DMZ, meme natté.

Oaxley
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Matériels à base de Broadcom All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum