rebeldu31
Posts: 12
Joined: Fri Mar 10, 2017 7:58 pm

[ABANDONNE] Framboise comme Firewall

Mon Jun 18, 2018 9:12 pm

Bonjour,

Mon souhait/projet : utiliser une framboise comme Firewall (iptables) unique dans mon archi privée.

Je n'ai pas besoin d'une grosse usine à gaz vu que les flux sont assez limités (serveur de mails privé, plex, ssh de mon smartphone).
J'aimerais juste qu'au lieu d'avoir iptables activé sur chacune de mes framboises (4) il n'y ai qu'une seule framboise où iptables sera activé et fasse donc office de firewall "unique" pour toutes les autres.

Mon souhait :

- en entrée : INTERNET ==> BOX ==> FIREWALL ==> SERVEURS LOCAUX
- en sortie : SERVEURS LOCAUX ==> BOX ==> INTERNET (pas besoin de filtre en sortie si je filtre en entrée)

Et actuellement je tourne en rond...
:?
Last edited by rebeldu31 on Tue Apr 30, 2019 1:58 pm, edited 1 time in total.
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

jelopo
Posts: 1565
Joined: Wed Oct 17, 2012 7:53 pm

Re: Framboise comme Firewall

Tue Jun 19, 2018 6:54 am

Bonjour,

Même si la configuration logicielle semble simple, à mon avis, je pense qu'un PI ne soit pas le meilleur matériel pour réaliser un firewall. Du peu que j'ai compris, un firewall (matériel) est situé entre 2 réseaux, il a donc 2 interfaces réseau distinctes, d'un coté le WAN et de l'autre le LAN. Sauf dans le cas où il est installé sur une machine autonome, comme pour tes autres PI, où le firewall (logiciel) est "coincé" entre le réseau et l'OS. Pour installer un firewall matériel, il faudrait donc une nouvelle carte Ethernet (RJ45 ou WIFI) avec tout le trafic passant par l'USB (du fait de l'architecture du PI). Sinon, utiliser le WIFI local (pour les modèles de PI équipés), mais il faut faire des tests si il diffuse assez bien. Dans tous les cas, je crains que le débit ne soit pas terrible.

Pour ce genre de projet je m'orienterais plus, vers un routeur hackable (par exemple le WRT54G pour ne pas le citer) avec un OpenWRT.
Il y a des tas de tutos, et l'OS OpenWRT est aussi un Linux.
Quelques liens :
https://fr.wikipedia.org/wiki/WRT54G
https://fr.wikipedia.org/wiki/OpenWrt
https://openwrt.org/supported_devices

En tout cas c'est une piste...

Je laisse aux autres participants de ce forum laisser également leur avis, à vos plumes...

A+

nikotinux
Posts: 723
Joined: Sat Feb 02, 2013 2:11 am

Re: Framboise comme Firewall

Tue Jun 19, 2018 9:23 am

je rejoins l'avis de jelopo ...

c'est comme faire un NAS avec un raspberry, l' idée peut sembler séduisante, techniquement sa tourne au gros bidouillage, et le résultat final a des "performances" totalement merdiques.

totoharibo
Posts: 4359
Joined: Thu Jan 24, 2013 8:43 am

Re: Framboise comme Firewall

Tue Jun 19, 2018 12:23 pm

eh Niko c'est un firewall pas un NAS.
AMHA (ça faisiat longtemps) le firewall c'est pas top avec un RPi à cause du goulot d'étranglement de l'USB
mais pour un NAS si tu n'es pas trop exigeant (pour la vidéo surtout) ça peut le faire.
À côté, j''ai bien un site web (rustique) qui marche pas mal sur un RPi3.

rebeldu31
Posts: 12
Joined: Fri Mar 10, 2017 7:58 pm

Re: Framboise comme Firewall

Sat Jun 23, 2018 8:25 pm

Pour le peu de flux qu'il y a en entrée, ça devrait suffire largement je pense...

Les flux en entrée sont :
- mon serveur de mails privé (mails qui arrivent)
- gérer mes mails via mon smartphone
- de temps en temps quelques URL via mon smartphone

Le reste des flux sont "en local" sur mon PC de chez moi, donc ne passent pas par le firewall :
- aller sur mon webmail + certaines URL

Mon cloud est sur mon NAS, pas sur 1 RPI.
Pour l'instant je n'ai pas prévu de le filtrer avec ce firewall mais dans tous les cas très peu d'accès "extérieurs" sur mon cloud et les seules choses que j'utilise "souvent" de l'extérieur sur mon cloud sont agenda et contacts. Tout le reste est surtout utilisé en "local".

Mais sinon, j'avance sur ce projet. A petits pas mais j'avance...

Voici ce que j'ai fais :
- mise en place d'une DMZ sur ma box en choisissant mon RPI Firewall
- activer le routage sur le firewall (sysctl -w net.ipv4.ip_forward=1)
- désactiver le nat de ma box
- définition de règles de "forward" avec iptables (iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XX -j DNAT --to-destination XX.XX.XX.XX:XX, iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT)

Et ça à l'air de fonctionner...
Lorsque je vais sur une URL https://www.mon_domaine.fr:port je suis bien redirigé vers l'URL voulue.

Par contre, je bloque sur 2 choses :
- n'autoriser QUE des macadresses précises à y accéder
- lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne

Je tourne 1 peu en rond là...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Posts: 12
Joined: Fri Mar 10, 2017 7:58 pm

Re: Framboise comme Firewall

Mon Jul 02, 2018 7:26 pm

Personne n'a d'idées ?
Je demeure bloqué malgré mes différents essais !!!
:cry:
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

jelopo
Posts: 1565
Joined: Wed Oct 17, 2012 7:53 pm

Re: Framboise comme Firewall

Tue Jul 03, 2018 7:32 am

Bonjour,

Comme indiqué plus haut, l'usage d'un firewall sur PI n'est pas chose courante. Du coup, il y a peu de compétences pointues sur le sujet par les membres de ce forum. A moins qu'un poilu passe par ici :ugeek: ...
Puisque Raspbian est sur une base Debian, je te conseille de poster sur debian-fr.org. Les questions sur le firewall sont un peu plus courantes.

A+

nikotinux
Posts: 723
Joined: Sat Feb 02, 2013 2:11 am

Re: Framboise comme Firewall

Tue Jul 03, 2018 7:05 pm

moi un firewall c'est PacketFilter sous BSD ....

Yves21haut
Posts: 1
Joined: Sun Apr 28, 2019 8:16 pm

Re: Framboise comme Firewall

Sun Apr 28, 2019 8:19 pm

Bonjour,
Moi j'utilise un raspberry pi2 pour bloquer les publicités sur mon réseau avec Pi-Hole
Ça fonctionne super bien... Mais ce n'est pas encore un Firewall...
Bien à vous,

totoharibo
Posts: 4359
Joined: Thu Jan 24, 2013 8:43 am

Re: Framboise comme Firewall

Mon Apr 29, 2019 8:45 am

iptable c'est générique dans Debian pas limité à Raspbian.
Tu trouveras plein d'infirmations et des Howto sur la toile :
https://help.ubuntu.com/community/IptablesHowTo
et plein d'autres

jeanluc
Posts: 312
Joined: Thu Apr 11, 2013 9:44 am

Re: Framboise comme Firewall

Tue Apr 30, 2019 11:05 am

rebeldu31 wrote:
Mon Jun 18, 2018 9:12 pm
Bonjour,

Mon souhait/projet : utiliser une framboise comme Firewall (iptables) unique dans mon archi privée.

- en entrée : INTERNET ==> BOX ==> FIREWALL ==> SERVEURS LOCAUX
- en sortie : SERVEURS LOCAUX ==> BOX ==> INTERNET (pas besoin de filtre en sortie si je filtre en entrée)

Et actuellement je tourne en rond...
:?
Bonjour,

Un peu de lecture sur l'utilité ou non d'un pare-feu pour un réseau domestique:

https://forum.ubuntu-fr.org/viewtopic.p ... #p22089268

et ici:

https://forum.ubuntu-fr.org/viewtopic.php?id=1285441

Edit: Même si c'est Ubuntu, le principe reste le même, puisque Raspbian est bâtie sur DEBIAN ainsi Qu'Ubuntu.

epoch1970
Posts: 4480
Joined: Thu May 05, 2016 9:33 am
Location: Paris, France

Re: Framboise comme Firewall

Tue Apr 30, 2019 1:24 pm

Au passage, "rebeldu31" a tourné en round la dernière fois le 4 juillet 2018, et n'est pas revenu depuis...
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." Les Shadoks, J. Rouxel

rebeldu31
Posts: 12
Joined: Fri Mar 10, 2017 7:58 pm

Re: Framboise comme Firewall

Tue Apr 30, 2019 1:58 pm

A passage, "rebeldu31" a terminé de tourner en rond... ;) :D

Il a simplement abandonné cette idée car avec 1 seule interface réseau, dur dur.

Je vais donc clore le post.
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

tigernero
Posts: 158
Joined: Fri Dec 30, 2016 5:51 pm

Re: [ABANDONNE] Framboise comme Firewall

Tue Apr 30, 2019 5:24 pm

J'utilise un traducteur et j'espère que vous comprenez, puisque je suis italien.

il y a une excellente distribution pour firewal réseau avec interface graphique et vous fait de pare-feu, dns, dhcp, vpn et s'appelle "Zeroshell"

entièrement compatible avec pi3 et pi3b +.

Vous avez besoin d’un port USB pour pouvoir utiliser une interface WAN et utiliser le réseau framboise pour votre réseau interne.

Je suis satisfait et je gère tout grâce à zeroshell qui ressemble à pfsense à certains égards, si vous le savez.

lien de téléchargement ci-dessous:

https://zeroshell.org/download/

Return to “Français”