WikiMiNET

La documentation technique et administrative

Outils pour utilisateurs

Outils du site


wiki:evryone:admin_sys:littleboy:passerelle

Passerelle

Attention, la VM gateway est la passerelle par défaut. L'ip est 192.168.100.101 est 192.168.110.101.

La VM passerelle sur LitlleBoy est la VM qui permet de passer du réseau d'administration (VLAN 100) au réseau audio (VLAN 110).

Règles Firewall

Les règles pare-feu de passerelle sont dans un script bash dans /root/firewall.sh. Elles ont été faites par Hugo Rodriguez.

#!/bin/bash

IPTABLES=/sbin/iptables
LO=lo
IF_PROD="eth0"
IP_PROD=192.168.100.101
IF_PRI="eth2"
IP_PRI=192.168.110.101
IF_PUB="eth1"
IP_PUB=157.159.32.115

case $1 in 

        start)
                echo "starting firewall: "
                # Chargement des modules
                modprobe iptable_filter
                modprobe ipt_state
                modprobe ipt_limit
                modprobe ipt_recent
                modprobe ipt_MASQUERADE
                # Règle du firewall

                
                echo " default mode : paranoid"
                $IPTABLES -P INPUT DROP
                $IPTABLES -P FORWARD DROP
                $IPTABLES -P OUTPUT ACCEPT

                
                $IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
                $IPTABLES -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT


                
                $IPTABLES -A INPUT -i $LO -j ACCEPT
                $IPTABLES -A FORWARD -i $LO -j ACCEPT
                $IPTABLES -A FORWARD -o $LO -j ACCEPT
 
                echo "authorize ping"
                $IPTABLES -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

                echo "authorize ssh"
                $IPTABLES -A INPUT -d $IP_PROD -p TCP --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                
                echo "authorize http_proxy"
                $IPTABLES -A INPUT -d $IP_PROD -p TCP --dport 3128 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                
                #règles NAT
                echo "NAT enabled"
                echo 1 > /proc/sys/net/ipv4/ip_forward
                $IPTABLES -A  FORWARD -i $IF_PRI -o $IF_PUB -j ACCEPT
                $IPTABLES -A FORWARD -i $IF_PUB -o $IF_PRI -j ACCEPT
                $IPTABLES -t nat -A POSTROUTING -o $IF_PUB -j MASQUERADE 
        ;;
        stop)
                 echo -n "Stopping the firewall"
                # Arrêt du firewall

                $IPTABLES -F INPUT
                $IPTABLES -F OUTPUT
                $IPTABLES -F FORWARD
                $IPTABLES -P INPUT ACCEPT
                $IPTABLES -P OUTPUT ACCEPT
                $IPTABLES -P FORWARD ACCEPT
                $IPTABLES -t nat -F POSTROUTING 

;;
        *)
esac
exit 0 

SQUID, http proxy

La VM héberge un serveur proxy squid pour pouvoir exporter les proxy sur le LAN et mettre à jour le système.

Yohan Pipereau 2017/05/26 21:24

wiki/evryone/admin_sys/littleboy/passerelle.txt · Dernière modification: 2020/06/27 18:16 (modification externe)