Réseau wifi et réseau lan qui se "voit"

Réseau wifi et réseau lan qui se "voit" - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 23-07-2008 à 18:22:46    

Bonjour,
 
J'ai un petit soucis concernant la mise en place d'un serveur d'authentification pour un réseau wifi. Le soucis se situe au niveau de la configuration du pare-feu (iptables / arno-iptables sur la machine de test).  
 
Sur mon réseau lan, j'ai des serveurs web / ftp interne. Le problème est que les postes connectés en wifi peuvent accéder à ces derniers ce qui est embêtant dans le cas présent.
 
Eth0 --> lan (connexion internet) - 172.0.0.0/16
Eth1 --> connecté au réseau des bornes wifi - 10.1.0.0/24
Tun0 --> créer par coovachilli - 10.1.0.0
 
En fait Tun0 se situe à Eth1. Tun0 étant créer par coovachilli.
 
Voilà, le script iptables par défaut qui est utilisé par coovachilli / chillispot :
 

Code :
  1. IPTABLES="/sbin/iptables"
  2. EXTIF="eth0"
  3. INTIF="eth1"
  5. #Flush all rules
  6. $IPTABLES -F
  7. $IPTABLES -F -t nat
  8. $IPTABLES -F -t mangle
  10. #Set default behaviour
  11. $IPTABLES -P INPUT DROP
  12. $IPTABLES -P FORWARD ACCEPT
  13. $IPTABLES -P OUTPUT ACCEPT
  15. #Allow related and established on all interfaces (input)
  16. $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  18. #Allow releated, established and ssh on $EXTIF. Reject everything else.
  19. $IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT
  20. $IPTABLES -A INPUT -i $EXTIF -j REJECT
  22. #Allow related and established from $INTIF. Drop everything else.
  23. $IPTABLES -A INPUT -i $INTIF -j DROP
  25. #Allow http and https on other interfaces (input).
  26. #This is only needed if authentication server is on same server as chilli
  27. $IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
  28. $IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT
  30. #Allow 3990 on other interfaces (input).
  31. $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT
  33. #Allow ICMP echo on other interfaces (input).
  34. $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
  36. #Allow everything on loopback interface.
  37. $IPTABLES -A INPUT -i lo -j ACCEPT
  39. # Drop everything to and from $INTIF (forward)
  40. # This means that access points can only be managed from ChilliSpot
  41. $IPTABLES -A FORWARD -i $INTIF -j DROP
  42. $IPTABLES -A FORWARD -o $INTIF -j DROP
  44. #Enable NAT on output device
  45. $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE


 
J'ai tenté d'utiliser un iprange histoire de dropper tout ce qui était à destination du réseau lan mais rien n'y a fait.
 
Si vous avez une idée de comment interdire l'accès du wifi au lan je suis preneur pour iptables ou arno-iptables.

Reply

Marsh Posté le 23-07-2008 à 18:22:46   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed