Posted: Sun Jul 03, 2011 20:02 Post subject: Isolation wifi -> lan
Bonsoir à tous,
Voilà j'utilise depuis longtemps dd-wrt sur un routeur Buffalo et quelques changements imposent que je doive isoler les utilisateurs du wifi de ceux du lan pour éviter que toute personne puisse avoir accès à un pc sur le lan.
Ma configuration actuelle se présence comme ceci:
DSL ---> Switch LAN (avec pc et imprimantes) ---> Buffalo ---> Wifi
Je ne sais pas si je m'explique correctement mais en résumé tout utilisateur du wifi ne doit pas avoir accès aux pc/imprimantes.
Est-ce qu'il y a moyen de faire ce genre de configuration sur dd-wrt?
Posted: Mon Jul 04, 2011 9:59 Post subject: Du firewall...
Hello djsmoye,
Si je comprend bien:
Le port WAN de ton WRT54 est connecté a un des ports de ton switch, switch sur lequel sont connectées imprimantes et PC. Right ?
Ce que tu cherches a faire c'est:
Lorsque connecté en WiFi sur ton AP Buffalo (que je ne connais pas coz WRT54) tu veux empecher ces users d'atteindre le rezo du switch.
Le mieux c'est de scripter des regles de Firewall type iptables.
Indiques ton plan d'adressage LAN, WAN ce sera plus simple.
C'est exactement ça que je cherche à faire. Pour mes adresses je suis en 192.168.1.x sur le routeur dsl et 192.168.11.x sur le routeur buffalo (whr-g54s).
Posted: Mon Jul 04, 2011 10:44 Post subject: Fw avec iptables
OK,
Le mieux est de te familiariser avec iptables.
Je pense que si tuas dd-wrt sur ton Buffalo, tu peux a minima aller ds le tab "Administration-> Shell"
Si c'est le cas, tu auras un espace ds lequele tu pourras entrer les commandes.
Ds un premier temps, fais un test avec un PC connecté en WiFi et pour lequel tu auras noté l'@IP (pour l'exemple 192.168.11.100)
avec qque chose du type
iptables -t filter -A OUTPUT -s 192.168.11.100 -d 192.168.1.0/24 -j DROP
tu indiques au routeur Buffalo que les flux (tt protocole) qui viennent de 192.168.11.100 et qui sont a destination du rezo 192.168.1.0 seront droppés (ils vont direct aux oubliettes)
Attention !
L'ordre dans un fichier IPTABLES est tres important car pour une chaine (ici OUTPUT) donnée, les regles sont executées ligne apres ligne.
Le mieux serait que tu nous indique le resultat de la commande:
iptables -L OUTPUT -nv (tu peus enlever le v final si pb)
l'otion -A d'une cmd iptables signifie append, mettre a la fin... ce qui n'est aps forcement ideal.
un iptables -I numero_de_ligne pourrait etre bcp plus opportun.
Je vous remercie pour vos réponses. Comme je suis un peu une bille dans ce domaine est-ce qu'il y aurait moyen de reprendre la configuration d'une borne accton (ou Fonera 2100) flashée avec open mesh? Ce firmware gère d'office l'isolation du lan telle que je l'aimerais.
Pour la reprise openmesh, les règles firewall du type de celle que nou vennons de te donner sont masqué par le dashboard (elles sont généré automatiquement par ce dernier).
donc il te faudrait deux regles (a supposer que ton wrt est comme adresse 192.168.1.1):