Bonjour à tous
Je voudrais mettre quelque chose derrière ma box pour sécuriser mon réseau chez moi.
J'ai un vieux laptop sur lequel je pourrais installer une version de Linux pour jouer le rôle de routeur firewall server de fichier.
Je ne sais pas si c'est une bonne solution et si quelle distri et la meilleure, ou s'il ya des moyens différents.
Je suis preneur de toute s idées ou conseils.
Merci d'avance.
Salut,
Je vois deux solutions, chacune a ses avantages et inconvénients :
----- Choix 1 -----
Pour mettre "quelque chose" derrière la box, il faut déjà que la connectique le permette.
Si tu as une box avec modem DSL intégré comme c'est souvent le cas (sortie vers Internet en RJ11), ça va être compliqué :
J'ai pu tester dans la soirée car j'ai une box avec sortie WAN en RJ45Réseau local -> BOX -> "quelque chose" -> Internet
Voici ce que j'ai fait :
J'ai configuré 2 interfaces en bridge pour avoir l'équivalent d'un switch sur mon PC à plusieurs cartes réseaux. J'ai bien accès à Internet avec ça. J'ai essayé de mettre des règles de pare-feu en FORWARD sur mon PC avec le bridge de configuré, mais j'ai l'impression que le bridge "court-circuite" les règles de pare-feu. Elles ne bloquent rien, ce n'est pas le résultat attendu.Réseau local -> BOX avec sortie WAN RJ45 -> PC avec 4 cartes réseaux -> Modem Ethernet -> Internet
Pour ce qui est du serveur de fichiers, il vaut mieux qu'il soit sur le LAN. Mais dans ce cas, il ne pourra pas servir de pare-feu car le trafic ne le traversera pas.
Ce que je pourrai te conseiller, c'est de remplacer la box par le laptop
Au moins deux cartes réseaux nécessaires.
Le laptop servira de box, pare-feu, et serveur de fichiers.
Et tu peux utiliser la box d'origine en tant que switch et point d'accès WLAN. (Box connectée à l'interface coté LAN du Laptop).
Il te faudra aussi un Modem Ethernet pour l'accès à internet.
Pour la distribution, j'utiliserai Debian car j'ai l'habitude avec, mais une autre irai tout aussi bien.LAN -> Switch de la box -> Coté LAN du Laptop sur le switch de la box -> Modem Ethernet sur l'autre interface du laptop (coté WAN) -> Internet
Administration locale/distante avec openssh-server
Règles SNAT (NAT vers Internet) / DNAT (Redirection de ports) / parefeu avec iptables
proftpd pour le serveur de fichiers
isc-dhcp-server pour le dhcpv4 dhcpv6
(Je me rappelle avoir eu un problème avec le dhcpv6 pour les machines clientes Linux. Les requêtes tournaient en boucle sans pouvoir récupérer d'adresse)
Éventuellement un openvpn (j'adore cet outil)
Un cache DNS
Un client comme dyndns/noip pour retrouver ta "nouvelle box" sur internet par un nom DNS qui pointera vers son IP coté WAN avec MAJ automatique
Le modem que j'ai est un Netgear ADSL2+ DM111Pv2
Les + :
- C'est toi qui gère tous les services de ta "nouvelle box"
- Tu évites beaucoup de bridages
Les - :
- Il te faut un modem
- Le téléphone fixe ne fonctionnera pas
----- Choix 2 -----
Tu fais quelque chose comme ça :
Les + :LAN -> Laptop -> BOX -> Internet
- C'est la box qui gère la connexion Internet
- Le téléphone fonctionnera toujours
- Pas besoin de modem
Les - :
- Pour le chemin retour (ce qui revient ou arrive d'internet), la box ne connait pas le LAN derrière le laptop.
Il faut donc le déclarer par une route statique dans la box (beaucoup ne le permettent pas). Si ce n'est pas possible, prévoir du nat sortant sur le laptop (avec iptables). On aura donc 2 nat sortants en cascade. Le laptop + la box (c'est pas terrible)
- Pour rendre une machine accessible depuis internet, il faudra faire la redirection de ports comme d'habitude dans la box mais mettre l'adresse du laptop en destination, et refaire une redirection avec du laptop vers la machine concernée. 2 nat entrants en cascade : (USINE A GAZ)
Ou bien, tu connectes la machine devant être accessible d'Internet au port de la box (sans passer par le laptop), mais c'est contraire à la question de départ vu qu'il fallait sécuriser en traversant le pare-feu.
J'espère que c'est assez clair.
Je peux aussi donner quelques tuyaux sur iptables et les commandes à utiliser.
A+
