rebeldu31
Posts: 11
Joined: Fri Mar 10, 2017 7:58 pm

Framboise comme Firewall

Mon Jun 18, 2018 9:12 pm

Bonjour,

Mon souhait/projet : utiliser une framboise comme Firewall (iptables) unique dans mon archi privée.

Je n'ai pas besoin d'une grosse usine à gaz vu que les flux sont assez limités (serveur de mails privé, plex, ssh de mon smartphone).
J'aimerais juste qu'au lieu d'avoir iptables activé sur chacune de mes framboises (4) il n'y ai qu'une seule framboise où iptables sera activé et fasse donc office de firewall "unique" pour toutes les autres.

Mon souhait :

- en entrée : INTERNET ==> BOX ==> FIREWALL ==> SERVEURS LOCAUX
- en sortie : SERVEURS LOCAUX ==> BOX ==> INTERNET (pas besoin de filtre en sortie si je filtre en entrée)

Et actuellement je tourne en rond...
:?
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : firewall (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

jelopo
Posts: 1425
Joined: Wed Oct 17, 2012 7:53 pm

Re: Framboise comme Firewall

Tue Jun 19, 2018 6:54 am

Bonjour,

Même si la configuration logicielle semble simple, à mon avis, je pense qu'un PI ne soit pas le meilleur matériel pour réaliser un firewall. Du peu que j'ai compris, un firewall (matériel) est situé entre 2 réseaux, il a donc 2 interfaces réseau distinctes, d'un coté le WAN et de l'autre le LAN. Sauf dans le cas où il est installé sur une machine autonome, comme pour tes autres PI, où le firewall (logiciel) est "coincé" entre le réseau et l'OS. Pour installer un firewall matériel, il faudrait donc une nouvelle carte Ethernet (RJ45 ou WIFI) avec tout le trafic passant par l'USB (du fait de l'architecture du PI). Sinon, utiliser le WIFI local (pour les modèles de PI équipés), mais il faut faire des tests si il diffuse assez bien. Dans tous les cas, je crains que le débit ne soit pas terrible.

Pour ce genre de projet je m'orienterais plus, vers un routeur hackable (par exemple le WRT54G pour ne pas le citer) avec un OpenWRT.
Il y a des tas de tutos, et l'OS OpenWRT est aussi un Linux.
Quelques liens :
https://fr.wikipedia.org/wiki/WRT54G
https://fr.wikipedia.org/wiki/OpenWrt
https://openwrt.org/supported_devices

En tout cas c'est une piste...

Je laisse aux autres participants de ce forum laisser également leur avis, à vos plumes...

A+

nikotinux
Posts: 670
Joined: Sat Feb 02, 2013 2:11 am

Re: Framboise comme Firewall

Tue Jun 19, 2018 9:23 am

je rejoins l'avis de jelopo ...

c'est comme faire un NAS avec un raspberry, l' idée peut sembler séduisante, techniquement sa tourne au gros bidouillage, et le résultat final a des "performances" totalement merdiques.

totoharibo
Posts: 3975
Joined: Thu Jan 24, 2013 8:43 am

Re: Framboise comme Firewall

Tue Jun 19, 2018 12:23 pm

eh Niko c'est un firewall pas un NAS.
AMHA (ça faisiat longtemps) le firewall c'est pas top avec un RPi à cause du goulot d'étranglement de l'USB
mais pour un NAS si tu n'es pas trop exigeant (pour la vidéo surtout) ça peut le faire.
À côté, j''ai bien un site web (rustique) qui marche pas mal sur un RPi3.

rebeldu31
Posts: 11
Joined: Fri Mar 10, 2017 7:58 pm

Re: Framboise comme Firewall

Sat Jun 23, 2018 8:25 pm

Pour le peu de flux qu'il y a en entrée, ça devrait suffire largement je pense...

Les flux en entrée sont :
- mon serveur de mails privé (mails qui arrivent)
- gérer mes mails via mon smartphone
- de temps en temps quelques URL via mon smartphone

Le reste des flux sont "en local" sur mon PC de chez moi, donc ne passent pas par le firewall :
- aller sur mon webmail + certaines URL

Mon cloud est sur mon NAS, pas sur 1 RPI.
Pour l'instant je n'ai pas prévu de le filtrer avec ce firewall mais dans tous les cas très peu d'accès "extérieurs" sur mon cloud et les seules choses que j'utilise "souvent" de l'extérieur sur mon cloud sont agenda et contacts. Tout le reste est surtout utilisé en "local".

Mais sinon, j'avance sur ce projet. A petits pas mais j'avance...

Voici ce que j'ai fais :
- mise en place d'une DMZ sur ma box en choisissant mon RPI Firewall
- activer le routage sur le firewall (sysctl -w net.ipv4.ip_forward=1)
- désactiver le nat de ma box
- définition de règles de "forward" avec iptables (iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XX -j DNAT --to-destination XX.XX.XX.XX:XX, iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT)

Et ça à l'air de fonctionner...
Lorsque je vais sur une URL https://www.mon_domaine.fr:port je suis bien redirigé vers l'URL voulue.

Par contre, je bloque sur 2 choses :
- n'autoriser QUE des macadresses précises à y accéder
- lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne

Je tourne 1 peu en rond là...
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : firewall (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Posts: 11
Joined: Fri Mar 10, 2017 7:58 pm

Re: Framboise comme Firewall

Mon Jul 02, 2018 7:26 pm

Personne n'a d'idées ?
Je demeure bloqué malgré mes différents essais !!!
:cry:
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : firewall (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

jelopo
Posts: 1425
Joined: Wed Oct 17, 2012 7:53 pm

Re: Framboise comme Firewall

Tue Jul 03, 2018 7:32 am

Bonjour,

Comme indiqué plus haut, l'usage d'un firewall sur PI n'est pas chose courante. Du coup, il y a peu de compétences pointues sur le sujet par les membres de ce forum. A moins qu'un poilu passe par ici :ugeek: ...
Puisque Raspbian est sur une base Debian, je te conseille de poster sur debian-fr.org. Les questions sur le firewall sont un peu plus courantes.

A+

nikotinux
Posts: 670
Joined: Sat Feb 02, 2013 2:11 am

Re: Framboise comme Firewall

Tue Jul 03, 2018 7:05 pm

moi un firewall c'est PacketFilter sous BSD ....

Return to “Français”