====== Passerelle ======

<WRAP center round important 60%>
Attention, la VM gateway est la passerelle par défaut. L'ip est 192.168.100.101 est 192.168.110.101.
</WRAP>


La VM passerelle sur LitlleBoy est la VM qui permet de passer du réseau d'administration (VLAN 100) au réseau audio (VLAN 110).

===== Règles Firewall =====

Les règles pare-feu de passerelle sont dans un script bash dans /root/firewall.sh. Elles ont été faites par Hugo Rodriguez.

<code>

#!/bin/bash

IPTABLES=/sbin/iptables
LO=lo
IF_PROD="eth0"
IP_PROD=192.168.100.101
IF_PRI="eth2"
IP_PRI=192.168.110.101
IF_PUB="eth1"
IP_PUB=157.159.32.115

case $1 in 

        start)
                echo "starting firewall: "
                # Chargement des modules
                modprobe iptable_filter
                modprobe ipt_state
                modprobe ipt_limit
                modprobe ipt_recent
                modprobe ipt_MASQUERADE
                # Règle du firewall

                
                echo " default mode : paranoid"
                $IPTABLES -P INPUT DROP
                $IPTABLES -P FORWARD DROP
                $IPTABLES -P OUTPUT ACCEPT

                
                $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
                $IPTABLES -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT


                
                $IPTABLES -A INPUT -i $LO -j ACCEPT
                $IPTABLES -A FORWARD -i $LO -j ACCEPT
                $IPTABLES -A FORWARD -o $LO -j ACCEPT
 
                echo "authorize ping"
                $IPTABLES -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

                echo "authorize ssh"
                $IPTABLES -A INPUT -d $IP_PROD -p TCP --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                
                echo "authorize http_proxy"
                $IPTABLES -A INPUT -d $IP_PROD -p TCP --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                
                #règles NAT
                echo "NAT enabled"
                echo 1 > /proc/sys/net/ipv4/ip_forward
                $IPTABLES -A  FORWARD -i $IF_PRI -o $IF_PUB -j ACCEPT
                $IPTABLES -A FORWARD -i $IF_PUB -o $IF_PRI -j ACCEPT
                $IPTABLES -t nat -A POSTROUTING -o $IF_PUB -j MASQUERADE 
        ;;
        stop)
                 echo -n "Stopping the firewall"
                # Arrêt du firewall

                $IPTABLES -F INPUT
                $IPTABLES -F OUTPUT
                $IPTABLES -F FORWARD
                $IPTABLES -P INPUT ACCEPT
                $IPTABLES -P OUTPUT ACCEPT
                $IPTABLES -P FORWARD ACCEPT
                $IPTABLES -t nat -F POSTROUTING 

;;
        *)
esac
exit 0 


</code>
===== SQUID, http proxy =====

La VM héberge un serveur proxy squid pour pouvoir exporter les proxy sur le LAN et mettre à jour le système.


 --- //[[sowarks@minet.net|Yohan Pipereau]] 2017/05/26 21:24//