WikiMiNET

La documentation technique et administrative

Outils pour utilisateurs

Outils du site

Piste: passerelle

Panneau latéral

wiki:evryone:admin_sys:littleboy:passerelle

Table des matières

Passerelle

Attention, la VM gateway est la passerelle par défaut. L'ip est 192.168.100.101 est 192.168.110.101.

La VM passerelle sur LitlleBoy est la VM qui permet de passer du réseau d'administration (VLAN 100) au réseau audio (VLAN 110).

Règles Firewall

Les règles pare-feu de passerelle sont dans un script bash dans /root/firewall.sh. Elles ont été faites par Hugo Rodriguez. 

#!/bin/bash

IPTABLES=/sbin/iptables
LO=lo
IF_PROD="eth0"
IP_PROD=192.168.100.101
IF_PRI="eth2"
IP_PRI=192.168.110.101
IF_PUB="eth1"
IP_PUB=157.159.32.115

case $1 in 

        start)
                echo "starting firewall: "
                # Chargement des modules
                modprobe iptable_filter
                modprobe ipt_state
                modprobe ipt_limit
                modprobe ipt_recent
                modprobe ipt_MASQUERADE
                # Règle du firewall

                
                echo " default mode : paranoid"
                $IPTABLES -P INPUT DROP
                $IPTABLES -P FORWARD DROP
                $IPTABLES -P OUTPUT ACCEPT

                
                $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
                $IPTABLES -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT


                
                $IPTABLES -A INPUT -i $LO -j ACCEPT
                $IPTABLES -A FORWARD -i $LO -j ACCEPT
                $IPTABLES -A FORWARD -o $LO -j ACCEPT
 
                echo "authorize ping"
                $IPTABLES -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

                echo "authorize ssh"
                $IPTABLES -A INPUT -d $IP_PROD -p TCP --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                
                echo "authorize http_proxy"
                $IPTABLES -A INPUT -d $IP_PROD -p TCP --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                
                #règles NAT
                echo "NAT enabled"
                echo 1 > /proc/sys/net/ipv4/ip_forward
                $IPTABLES -A  FORWARD -i $IF_PRI -o $IF_PUB -j ACCEPT
                $IPTABLES -A FORWARD -i $IF_PUB -o $IF_PRI -j ACCEPT
                $IPTABLES -t nat -A POSTROUTING -o $IF_PUB -j MASQUERADE 
        ;;
        stop)
                 echo -n "Stopping the firewall"
                # Arrêt du firewall

                $IPTABLES -F INPUT
                $IPTABLES -F OUTPUT
                $IPTABLES -F FORWARD
                $IPTABLES -P INPUT ACCEPT
                $IPTABLES -P OUTPUT ACCEPT
                $IPTABLES -P FORWARD ACCEPT
                $IPTABLES -t nat -F POSTROUTING 

;;
        *)
esac
exit 0

SQUID, http proxy

La VM héberge un serveur proxy squid pour pouvoir exporter les proxy sur le LAN et mettre à jour le système.

Yohan Pipereau 2017/05/26 21:24

wiki/evryone/admin_sys/littleboy/passerelle.txt · Dernière modification: 2020/06/27 18:16 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki