Discussion :

[Artemus24]

Salut à tous.

Je ne connais pas du tout la notion de vlan et je ne sais pas si c'est ce qu'il me faut.

Mon problème :
j'ai une box/sfr et j'ai connecté par un câble éthernet ma rapsberry pi b2 (raspbian stretch).
Je me suis constitué un routeur en utilisant hostapd + dnsmasq + dhcpcd + iptables.
Pour ce faire, j'ai branché deux dongles wifi afin d'avoir deux ssid.

Pour le ssid:MyWapOne, j'utilise l'interface wlan0.
Pour le ssid:MyWapTwo, j'utilise l'interface wlan1.

Chaque interface est configuré comme un routeur, à savoir :
--> interface wlan0 : 192.168.52.1/24
--> interface wlan1 : 192.168.53.1/24

Depuis un ordinateur connecté au ssid:MyWapOne, j'ai par exemple l'adresse ip 192.168.52.25.
Or en faisant un "ping 192.168.53.1" depuis cet ordinateur, je vois l'autre routeur (192.168.53.1), ce que je ne désire pas.
De surcroît, je vois tout le sous-réseau qui est associé au ssid:MyWapTwo.

J'aimerai dissocier mes deux interfaces afin de les isoler l'un de l'autre. Comment faire ?

Cordialement.
Artemus24.
@+

[becket]

Salut,

Etant donné que ton AP font partie intégrante de ton routeur, des règles iptables suffisent.
Si ce n'était pas le cas, tu devrais en plus lier ton ap via un trunk ( tag 802.1q vlan ) sur des sous-interfaces tagués de ton routeur

[Artemus24]

Salut becket.

Merci de vous intéresser à mes problèmes.

Etant donné que ton AP font partie intégrante de ton routeur, des règles iptables suffisent.

Comme j'ai trois interfaces, eth0, wlan0 & wlan1, cela devient vite compliqué. Que dois-je rajouter pour dissocier mes deux ssid ?

Si ce n'était pas le cas, tu devrais en plus lier ton ap via un trunk ( tag 802.1q vlan ) sur des sous-interfaces tagués de ton routeur.

Là, il me faut un traducteur.

Qu'est-ce qu'un trunk ? J'ai installé vlan dans la RPi 2B, et j'ai à ma disposition 802.1q.
Qu'est-ce que taguer ? Est-ce marquer la trame du numéro du vlan ?

Donnez moi un exemple pour configurer un vlan, svp ?

@+

[becket]

Tes règles ( si elles sont complètes ) sont suffisantes pour empêcher le trafic entre tes deux SSID

si tu veux aller plus loin, tu peux faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
iptables -P INPUT DROP
iptables -A INPUT -i wlan0 ! -d 192.168.53.0/24 -j ACCEPT 
iptables -A INPUT -i wlan1  ! -d 192.168.52.0/24 -j ACCEPT

Alors,

un trunk, c'est simplement une liaison entre deux matériel actifs qui laissent passer plusieurs vlans. La séparation entre le vlans se fait via de l'étiquetage ( 802.1q )

Pour configurer une sous interface, il faut utiliser vconfig ( paquet vlan ) ou iproute2

[Artemus24]

Salut becket.

Oui, c'est bien le script firewall.sh que j'utilise et il est complet.
Dans mon script, la ligne "iptables -P INPUT DROP" est en commentaire.

Quand je teste, je fais depuis wlan0 (ssid:MyWapOne) un "ping 192.168.53.1".
Ou encore depuis wlan1 (ssid:MyWapTwo) un "ping 192.168.52.1". Et dans les deux cas, le ping fonctionne !

Avec votre modification, le ping ne fonctionne plus et c'est très bien.
Sauf que maintenant, je n'ai plus accès à l'IPv6 vers internet.
Quand je fais un "ping -6 ipv6.google.com", il ne me répond plus du tout, et c'est pas bien.

Par contre, le "ping -6 2001:470:c974:520::1" (IPv6 vers la raspberry) fonctionne correctement.
En fait, je ne connaissais pas le "!" pour interdire un accès.

Voici le script de tests que j'utilise depuis windows.
Je mets en rouge ce qui ne fonctionne plus et en vert, ce qui fonctionne maintenant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
--------------------------
ping -4 jcz.fr : Test IPv4
--------------------------

Envoi d’une requête 'ping' sur jcz.fr [185.31.40.11] avec 32 octets de données*:
Réponse de 185.31.40.11*: octets=32 temps=37 ms TTL=44
Réponse de 185.31.40.11*: octets=32 temps=38 ms TTL=44
Réponse de 185.31.40.11*: octets=32 temps=37 ms TTL=44
Réponse de 185.31.40.11*: octets=32 temps=42 ms TTL=44

Statistiques Ping pour 185.31.40.11:
    Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 37ms, Maximum = 42ms, Moyenne = 38ms

--------------------------
ping -6 jcz.fr : Test IPv6
--------------------------

Envoi d’une requête 'ping' sur jcz.fr [2a00:b6e0:1:20:2::1] avec 32 octets de données*:
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour 2a00:b6e0:1:20:2::1:
    Paquets*: envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

-----------------------------------------
ping -6 ipv6.google.com : Autre Test IPv6
-----------------------------------------

Envoi d’une requête 'ping' sur ipv6.l.google.com [2a00:1450:4007:810::200e] avec 32 octets de données*:
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour 2a00:1450:4007:810::200e:
    Paquets*: envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

--------------------------------------
ping -4 192.168.52.1 : Test wlan0 IPv4
--------------------------------------

Envoi d’une requête 'Ping'  192.168.52.1 avec 32 octets de données*:
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64

Statistiques Ping pour 192.168.52.1:
    Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 1ms, Maximum = 1ms, Moyenne = 1ms

--------------------------------------
ping -4 192.168.53.1 : Test wlan1 IPv4
--------------------------------------

Envoi d’une requête 'Ping'  192.168.53.1 avec 32 octets de données*:
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour 192.168.53.1:
    Paquets*: envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

----------------------------------------------
ping -6 2001:470:c974:520::1 : Test wlan0 IPv6
----------------------------------------------

Envoi d’une requête 'Ping'  2001:470:c974:520::1 avec 32 octets de données*:
Réponse de 2001:470:c974:520::1*: temps=2 ms
Réponse de 2001:470:c974:520::1*: temps=1 ms
Réponse de 2001:470:c974:520::1*: temps=1 ms
Réponse de 2001:470:c974:520::1*: temps=1 ms

Statistiques Ping pour 2001:470:c974:520::1:
    Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 1ms, Maximum = 2ms, Moyenne = 1ms

----------------------------------------------
ping -6 2001:470:c974:530::1 : Test wlan1 IPv6
----------------------------------------------

Envoi d’une requête 'Ping'  2001:470:c974:530::1 avec 32 octets de données*:
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour 2001:470:c974:530::1:
    Paquets*: envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

--------------------------------------------------------
nslookup -type=any raspberrypi. : Test DNS via Raspberry
--------------------------------------------------------

Serveur :   RaspberryPi
Address:  2001:470:c974:520::1

raspberrypi     internet address = 192.168.53.1
raspberrypi     internet address = 192.168.52.1
raspberrypi     AAAA IPv6 address = 2001:470:c974:530::1
raspberrypi     AAAA IPv6 address = 2001:470:c974:520::1

-----------------------------------------
ping -4 raspberrypi. : Test hostname IPv4
-----------------------------------------

Envoi d’une requête 'ping' sur raspberrypi [192.168.52.1] avec 32 octets de données*:
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64
Réponse de 192.168.52.1*: octets=32 temps=1 ms TTL=64

Statistiques Ping pour 192.168.52.1:
    Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 1ms, Maximum = 1ms, Moyenne = 1ms

-----------------------------------------
ping -6 raspberrypi. : Test hostname IPv6
-----------------------------------------

Envoi d’une requête 'ping' sur raspberrypi [2001:470:c974:520::1] avec 32 octets de données*:
Réponse de 2001:470:c974:520::1*: temps=1 ms
Réponse de 2001:470:c974:520::1*: temps=1 ms
Réponse de 2001:470:c974:520::1*: temps=1 ms
Réponse de 2001:470:c974:520::1*: temps=1 ms

Statistiques Ping pour 2001:470:c974:520::1:
    Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 1ms, Maximum = 1ms, Moyenne = 1ms

-------------------------------------
nslookup -type=any w-orion : Test DNS
-------------------------------------

Serveur :   RaspberryPi
Address:  2001:470:c974:520::1

DNS request timed out.
    timeout was 2 seconds.
*** Le délai de la requête sur RaspberryPi est dépassé.

---------------------------------------------------
nslookup -type=any e-orion : Test DNS via Raspberry
---------------------------------------------------

Serveur :   RaspberryPi
Address:  2001:470:c974:520::1

e-orion.localhost       internet address = 192.168.52.22
e-orion.localhost       AAAA IPv6 address = 2001:470:c974:520::220

-------------------------------------------------
nslookup -type=any e-tvsamsung : Test DNS via Box
-------------------------------------------------

Serveur :   RaspberryPi
Address:  2001:470:c974:520::1

DNS request timed out.
    timeout was 2 seconds.
*** Le délai de la requête sur RaspberryPi est dépassé.

------------------------------------------------------
nslookup -type=any mail.jcz.fr : Test DNS via Internet
------------------------------------------------------

Serveur :   RaspberryPi
Address:  2001:470:c974:520::1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Le délai de la requête sur RaspberryPi est dépassé.

Appuyez sur une touche pour continuer...

Et voici mon script modifié :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
#!/bin/bash

iptv4=/sbin/iptables
iptv6=/sbin/ip6tables

# -------------- #
# Initialization #
# -------------- #

$iptv4 -F
$iptv4 -X
$iptv4 -Z

$iptv4 -F -t nat
$iptv4 -X -t nat
$iptv4 -Z -t nat

$iptv6 -F
$iptv6 -X
$iptv6 -Z

$iptv6 -F -t nat
$iptv6 -X -t nat
$iptv6 -Z -t nat

# ------------- #
# Default Rules #
# ------------- #

$iptv4 -P   INPUT DROP
# $iptv4 -P  OUTPUT DROP
$iptv4 -P FORWARD DROP

$iptv6 -P   INPUT DROP
# $iptv6 -P  OUTPUT DROP
$iptv6 -P FORWARD DROP

# ------------ #
# Device wlan0 #
# ------------ #

$iptv4 -A INPUT   -i wlan0 ! -d 192.168.53.0/24                              -j ACCEPT

$iptv4 -A FORWARD -i eth0    -o wlan0   -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A FORWARD -i wlan0   -o eth0                                         -j ACCEPT

$iptv6 -A INPUT   -i wlan0 ! -d 2001:470:c974:530::/64                       -j ACCEPT

$iptv6 -A FORWARD -i he-ipv6 -o wlan0   -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A FORWARD -i wlan0   -o he-ipv6                                      -j ACCEPT

# ------------ #
# Device wlan1 #
# ------------ #

$iptv4 -A INPUT   -i wlan1 ! -d 192.168.52.0/24                              -j ACCEPT

$iptv4 -A FORWARD -i eth0    -o wlan1   -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv4 -A FORWARD -i wlan1   -o eth0                                         -j ACCEPT

$iptv6 -A INPUT   -i wlan1 ! -d 2001:470:c974:520::/64                       -j ACCEPT

$iptv6 -A FORWARD -i he-ipv6 -o wlan1   -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptv6 -A FORWARD -i wlan1   -o he-ipv6                                      -j ACCEPT

# --------------------------- #
# Network Address Translation #
# --------------------------- #

$iptv4 -t nat -A POSTROUTING -o eth0                                         -j MASQUERADE

exit

Pour ce qui est du DNS, j'ai trois niveaux :
a) soit au niveau de mon routeur (Test DNS via Raspberry) (adresse 192.168.52.1).
b) soit au niveau de ma box/sfr (Test DNS via box/sfr) (addrese 192.168.1.1).
c) soit au niveau d'internet.

Le test indique que cela ne fonctionne plus niveau box/sfr et internet. Certainement à cause de l'ajout "$iptv6 -A INPUT" dans le fichier firewall.sh.

Ce sont ces notions que je ne comprends pas trop. "Forward" veut bien dire au travers.
Ce que je désire autoriser, c'est eth0 <--> wlan0 ainsi que eth0 <--> wlan1, mais pas wlan0 <--> wlan1.
A priori, tout ce qui vient d'internet (eth0) vers mon ssid:MyWapOne (wlan0) et dans l'autre sens doit être autorisé.
Pour cette section, je pense que c'est bon.

Que signifie alors "input" ? C'est en entrée, mais de quoi ? De eth0 ? ou de wlan0 ?

@+

[becket]

Il est important de comprendre ce que l'on fait.

Tout d'abord, le !, ce n'est pas pour interdire mais pour inverser une condition

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A INPUT -i wlan0 ! -d 192.168.53.0/24 -j ACCEPT

Signifie : Accepte le trafic en provenance de wlan0 qui ne va pas vers 192.168...x

Il faut faire le lien avec la politique par defaut : iptables -P INPUT DROP interdisant le trafic ne correspond pas à une règle.


On pourrait faire l'inverse :

iptables -P INPUT ACCEPT
iptables -A INPUT -i wlan0 -d 192.168.53.0/24 -j DROP

Mais dans ce cas, on autorise par défaut et ce n'est jamais une grande idée.


Avec l'ipv6, le principe est le même. Tu interdis par défaut ... Plus rien ne passe

[Artemus24]

Salut Becket.

J'ai compris comment fonctionne l'iptables (pour l'iPv4).
J'interdis tout sauf ce que je désire conserver, ce qui donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$iptv4 -P  INPUT DROP
$iptv4 -A  INPUT  -i wlan0  -d 192.168.52.0/24  -j ACCEPT

Au départ, j'ai utilisé la règle suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$iptv4 -P  INPUT DROP
$iptv4 -A  INPUT  -i wlan0  ! -d 192.168.53.0/24  -j ACCEPT

mais elle ne fonctionnait pas.

Par contre, je n'ai pas compris comment fonctionne l'ip6tables (pour l'IPv6).
Si je mets :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$iptv6 -P  INPUT DROP
$iptv6 -A  INPUT -i wlan0  -d 2001:470:c974:520::/64  -j ACCEPT

je n'ai plus d'IPv6.

A moins qu'il me manquer quelque chose, mais je ne suis pas arrivé à savoir quoi.

Du coup, pour avoir l'IPv6, j'ai plutôt fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$iptv6 -P  INPUT ACCEPT
$iptv6 -A  INPUT -i wlan0  -d 2001:470:c974:530::/64  -j DROP

mais cette règle ne me plait pas car je préfère "interdire tout sauf".

Comme l'IPv6 vient de l'IPv4 puisque le protocole utilisé est "6in4", que dois-je ajouter si je mets comme règle générale :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$iptv6 -P  INPUT DROP

J'ai découvert qu'il n'est pas nécessaire de créer un règle dans la table "nat" (masquerade) pour l'ipv6.

@+