Bonjour,
J'ai un petit soucis concernant la mise en place d'un serveur d'authentification pour un réseau wifi. Le soucis se situe au niveau de la configuration du pare-feu (iptables / arno-iptables sur la machine de test).
Sur mon réseau lan, j'ai des serveurs web / ftp interne. Le problème est que les postes connectés en wifi peuvent accéder à ces derniers ce qui est embêtant dans le cas présent.
Eth0 --> lan (connexion internet) - 172.0.0.0/16
Eth1 --> connecté au réseau des bornes wifi - 10.1.0.0/24
Tun0 --> créer par coovachilli - 10.1.0.0
En fait Tun0 se situe à Eth1. Tun0 étant créer par coovachilli.
Voilà, le script iptables par défaut qui est utilisé par coovachilli / chillispot :
Code :
- IPTABLES="/sbin/iptables"
- EXTIF="eth0"
- INTIF="eth1"
- #Flush all rules
- $IPTABLES -F
- $IPTABLES -F -t nat
- $IPTABLES -F -t mangle
- #Set default behaviour
- $IPTABLES -P INPUT DROP
- $IPTABLES -P FORWARD ACCEPT
- $IPTABLES -P OUTPUT ACCEPT
- #Allow related and established on all interfaces (input)
- $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- #Allow releated, established and ssh on $EXTIF. Reject everything else.
- $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT
- $IPTABLES -A INPUT -i $EXTIF -j REJECT
- #Allow related and established from $INTIF. Drop everything else.
- $IPTABLES -A INPUT -i $INTIF -j DROP
- #Allow http and https on other interfaces (input).
- #This is only needed if authentication server is on same server as chilli
- $IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
- $IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
- #Allow 3990 on other interfaces (input).
- $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT
- #Allow ICMP echo on other interfaces (input).
- $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
- #Allow everything on loopback interface.
- $IPTABLES -A INPUT -i lo -j ACCEPT
- # Drop everything to and from $INTIF (forward)
- # This means that access points can only be managed from ChilliSpot
- $IPTABLES -A FORWARD -i $INTIF -j DROP
- $IPTABLES -A FORWARD -o $INTIF -j DROP
- #Enable NAT on output device
- $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
|
J'ai tenté d'utiliser un iprange histoire de dropper tout ce qui était à destination du réseau lan mais rien n'y a fait.
Si vous avez une idée de comment interdire l'accès du wifi au lan je suis preneur pour iptables ou arno-iptables.