yvv

C'est super sympa de relire avec autant de detail, mais je crains que l'on s'éloigne du sujet initial. Pour rappel, cette serie de commande est l'execution du script de la distribution openwrt (/lib/firewall/uci_firewall.sh) il est donc possible qu'il soit taillé pour faire des choses compliqués et que j'ai tenté de garder une configuration réseau simple). ce qui peut expliquer des elements vide. L'objectif est de configurer un routeur wifi en mode client et le connecter sur un réseau freewifi. Le reseau distribuant des ip publics internet il faut proteger correctement le routeur pour qu'un rigolo ne se connecte par sur la console http, le ssh, ou passe par n'importe quel autre trou. D'ou l'idée de firewaller le tout et notamment tout ce qui est intrusion par l'interface du wifi. L'interface a protéger ( sur mon modèle) est wl0, et le nom de reseau wifan. 1.La commande iptables -I INPUT -i wl0 -j DROP est-elle suffisante ? 2. est-ce qu'il y aurait un trou que j'aurai crée dans la configuration que j'ai envoyé Hmm aurai tu une reference d'article de tutoriel sur iptables, tout ce que j'ai trouvé fait trop de pages (30 et+), j'aimerai qqc qui me permettrait de comprendre les efffets et interet des elements comme POLICY, chaine,.... comment cela s'emboite les un dans les autres . je supposer que tu parle la de la ligne iptables -P INPUT ACCEPT au milieu de fichier et por ce qui est input_rule je vais regarder un peu plus tard mais plus pour comprendre iptables car je ne compte pas modifier la distrib openwrt. Il s'agit de la distribution openwrt et en fait cette serie de commande est le resultat de lecture de fichier de config et execution d'un script.

Je ne dispose d'aucune regle spécifique. je ne souhaite rien publié sur internet ou rendre accessible. L'objectif est plutot le nomadisme et d'emepcher tout intrusion . J'ai l'impression que la seconde option est celle que je recherche. pour repondre au reste que faudrait il ? est ce que les fichiers fournit sur forum openwrt cité pus haut sont suffisant ? sinon un iptables -L donne : iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere anywhere state INVALID ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere syn_flood tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN input_rule all -- anywhere anywhere input all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination zone_wan_MSSFIX all -- anywhere anywhere zone_wifan_MSSFIX all -- anywhere anywhere DROP all -- anywhere anywhere state INVALID ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED forwarding_rule all -- anywhere anywhere forward all -- anywhere anywhere reject all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere anywhere state INVALID ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere output_rule all -- anywhere anywhere output all -- anywhere anywhere Chain forward (1 references) target prot opt source destination zone_lan_forward all -- anywhere anywhere Chain forwarding_lan (1 references) target prot opt source destination Chain forwarding_rule (1 references) target prot opt source destination Chain forwarding_wan (1 references) target prot opt source destination Chain forwarding_wifan (1 references) target prot opt source destination Chain input (1 references) target prot opt source destination zone_lan all -- anywhere anywhere Chain input_lan (1 references) target prot opt source destination Chain input_rule (1 references) target prot opt source destination Chain input_wan (1 references) target prot opt source destination Chain input_wifan (1 references) target prot opt source destination Chain output (1 references) target prot opt source destination zone_lan_ACCEPT all -- anywhere anywhere zone_wifan_ACCEPT all -- anywhere anywhere zone_wan_ACCEPT all -- anywhere anywhere Chain output_rule (1 references) target prot opt source destination Chain reject (3 references) target prot opt source destination REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT all -- anywhere anywhere reject-with icmp-port-unreachable Chain syn_flood (1 references) target prot opt source destination RETURN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50 DROP all -- anywhere anywhere Chain zone_lan (1 references) target prot opt source destination input_lan all -- anywhere anywhere zone_lan_ACCEPT all -- anywhere anywhere Chain zone_lan_ACCEPT (2 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain zone_lan_DROP (0 references) target prot opt source destination DROP all -- anywhere anywhere DROP all -- anywhere anywhere Chain zone_lan_MSSFIX (0 references) target prot opt source destination TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU Chain zone_lan_REJECT (1 references) target prot opt source destination reject all -- anywhere anywhere reject all -- anywhere anywhere Chain zone_lan_forward (1 references) target prot opt source destination zone_wifan_ACCEPT all -- anywhere anywhere forwarding_lan all -- anywhere anywhere zone_lan_REJECT all -- anywhere anywhere Chain zone_wan (0 references) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:68 input_wan all -- anywhere anywhere zone_wan_REJECT all -- anywhere anywhere Chain zone_wan_ACCEPT (1 references) target prot opt source destination Chain zone_wan_DROP (0 references) target prot opt source destination Chain zone_wan_MSSFIX (1 references) target prot opt source destination Chain zone_wan_REJECT (2 references) target prot opt source destination Chain zone_wan_forward (0 references) target prot opt source destination forwarding_wan all -- anywhere anywhere zone_wan_REJECT all -- anywhere anywhere Chain zone_wifan (0 references) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:68 input_wifan all -- anywhere anywhere zone_wifan_REJECT all -- anywhere anywhere Chain zone_wifan_ACCEPT (2 references) target prot opt source destination Chain zone_wifan_DROP (0 references) target prot opt source destination Chain zone_wifan_MSSFIX (1 references) target prot opt source destination Chain zone_wifan_REJECT (2 references) target prot opt source destination Chain zone_wifan_forward (0 references) target prot opt source destination forwarding_wifan all -- anywhere anywhere zone_wifan_REJECT all -- anywhere anywhere : A priori sinon si je remplace iptables par echo iptables dans le fichier ca donne fw_init Loading defaults iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -F iptables -t nat -F iptables -t nat -X iptables -X iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT Loading synflood protection iptables -N syn_flood iptables -A syn_flood -p tcp --syn -m limit --limit 25/second --limit-burst 50 -j RETURN iptables -A syn_flood -j DROP iptables -A INPUT -p tcp --syn -j syn_flood Adding custom chains iptables -N input_rule iptables -N output_rule iptables -N forwarding_rule iptables -N prerouting_rule -t nat iptables -N postrouting_rule -t nat iptables -A INPUT -j input_rule iptables -A OUTPUT -j output_rule iptables -A FORWARD -j forwarding_rule iptables -A PREROUTING -t nat -j prerouting_rule iptables -A POSTROUTING -t nat -j postrouting_rule iptables -N input iptables -N output iptables -N forward iptables -A INPUT -j input iptables -A OUTPUT -j output iptables -A FORWARD -j forward iptables -N reject iptables -A reject -p tcp -j REJECT --reject-with tcp-reset iptables -A reject -j REJECT --reject-with icmp-port-unreachable iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -A FORWARD -j reject iptables -P FORWARD DROP Loading zones iptables -N zone_lan iptables -N zone_lan_MSSFIX iptables -N zone_lan_ACCEPT iptables -N zone_lan_DROP iptables -N zone_lan_REJECT iptables -N zone_lan_forward iptables -A zone_lan_forward -j zone_lan_REJECT iptables -A zone_lan -j zone_lan_ACCEPT iptables -A output -j zone_lan_ACCEPT iptables -N zone_lan_nat -t nat iptables -N zone_lan_prerouting -t nat iptables -N input_lan iptables -N forwarding_lan iptables -N prerouting_lan -t nat iptables -I zone_lan 1 -j input_lan iptables -I zone_lan_forward 1 -j forwarding_lan iptables -I zone_lan_prerouting 1 -t nat -j prerouting_lan iptables -N zone_wifan iptables -N zone_wifan_MSSFIX iptables -N zone_wifan_ACCEPT iptables -N zone_wifan_DROP iptables -N zone_wifan_REJECT iptables -N zone_wifan_forward iptables -A zone_wifan_forward -j zone_wifan_REJECT iptables -A zone_wifan -j zone_wifan_REJECT iptables -A output -j zone_wifan_ACCEPT iptables -N zone_wifan_nat -t nat iptables -N zone_wifan_prerouting -t nat iptables -t nat -A POSTROUTING -j zone_wifan_nat iptables -I FORWARD 1 -j zone_wifan_MSSFIX iptables -N input_wifan iptables -N forwarding_wifan iptables -N prerouting_wifan -t nat iptables -I zone_wifan 1 -j input_wifan iptables -I zone_wifan_forward 1 -j forwarding_wifan iptables -I zone_wifan_prerouting 1 -t nat -j prerouting_wifan iptables -N zone_wan iptables -N zone_wan_MSSFIX iptables -N zone_wan_ACCEPT iptables -N zone_wan_DROP iptables -N zone_wan_REJECT iptables -N zone_wan_forward iptables -A zone_wan_forward -j zone_wan_REJECT iptables -A zone_wan -j zone_wan_REJECT iptables -A output -j zone_wan_ACCEPT iptables -N zone_wan_nat -t nat iptables -N zone_wan_prerouting -t nat iptables -t nat -A POSTROUTING -j zone_wan_nat iptables -I FORWARD 1 -j zone_wan_MSSFIX iptables -N input_wan iptables -N forwarding_wan iptables -N prerouting_wan -t nat iptables -I zone_wan 1 -j input_wan iptables -I zone_wan_forward 1 -j forwarding_wan iptables -I zone_wan_prerouting 1 -t nat -j prerouting_wan Loading forwarding iptables -I zone_lan_forward 1 -j zone_wifan_ACCEPT Loading redirects Loading rules iptables -I zone_wan 1 -p udp --dport 68 -j ACCEPT iptables -I zone_wifan 1 -p udp --dport 68 -j ACCEPT Loading includes

Bonjour, J'essaye de configurer un routeur Linksys WRT54GL qui tourne sous openwrt, afin que ce dernier fonctionne en mode client wifi pour se connecter sur des points d'accès wifi. L'objectif est de pouvoir utiliser le routeur afin de se connecter sur des points d'accès wifi. En effet dans certains cas ou le signal est perturbé, ou bien lorsqu'il y a un même reseau sur plusieurs canaux ca marche pas top. Et puis plutôt que de brancher un PC directement sur le réseau l'idée serait que ce soit le routeur qui soit branché, qu'il fasse du NAT et du firewalling. Mais voila il faudrait qu'il soit bien configuré pour cela Pourquoi poster ici ? J'aurai besoin d'aide sur la partie iptables . J'ai bien posté chez openwrt mais il n'y a pas trop de réponses. Or je vois que dans ce forum il y a des gens et le modérateur qui sont actifs en iptables, et c'est la compétence dont j'ai besoin. le post total ce trouve sur https://forum.openwrt.org/viewtopic.php?id=23510 Pour résumé donc, je dispose d'un réseau lan en filaire, d'un reseau WAN filaire que je ne souhaite pas utiliser, et du reseau wifi que j'ai nommé wifan qui tourne sur l'interface wl0. Le wifi est en mode client et va se connecter au reseau freewifi par script. Le "freewifi" correspond au réseau de l'opérateur français free qui va m'allouer une IP public internet dédié. Qui dit IP public internet dit exposition au risque et donc mieux vaudrait un bon niveau de protection et de configuration. Bref j'ai besoin de passer les bonnes commandes iptables pour verrouiller toute tentative d'entrée par l'IP wifi. J'ai un peu essayé de faire des tests d'intrusions ainsi que des tests de nmap. La configuration iptables est au dela de mon niveau actuel en iptables, mais je dispose de connaissance suffisante pour savoir qu'il peut y avoir un soucis et que j'aimerai trouver quelqu'un d'un niveau suffisant pour verifier si j'ai les bonnes commandes ou pas. En gros pour l'instant j'ai trouvé deux moyens : 1. verrouiller chaque port qu'un scanner externe m'a déclaré ouvert avec iptables --append input_rule --protocol tcp --dport $port --jump DROP mais le hic est que l'on ne peux plus piloter le routeur après, et que je repose sur le site de test pour la liste des ports, d'ou un risque de faille residuel 2. verrouiller l'interface avec iptables -I INPUT -i wl0 -j DROP , et la je me sens plus confiant car pas port par port, mais le hic est que depuis le pc qui est derriere le routeur j'arrive encore a me connecter en SSH et http sur l'ip public wifi, meme si le site de test de pénétration externe me dit que je suis safe, j'ai un doute raisonnable sur il y reste un trou ou pas. J'ai tenté un full nmap depuis un autre pc en freewifi sans que cela ne revele rien, mais j'ai pu ne pas passer les bonnes commandes de test, et comme j'arrive a me connecter j'ai un doute qui reste. Cher iptables guru(ssss) j'apprécierai un peu d'aide et ca servira a d'autres (enfin j'espère) . Qu'elle est / serait la bonne commande a passer, soit dans ce que j'ai trouvé ou sinon autre, et quelles explications auriez vous sur les comportements decrits ?