lbailly
08/11/2012, 23h45
Je me suis inscrit chez OVH pour pouvoir bricoler, alors on y va côté réseau et je ne suis pas déçu des capacités qui me sont offertes.
Je me suis aidé de cette page http://npr.me.uk/advdmz.html déjà référencée sur le forum pour me concocter une config différente mais adaptée à mon réseau domestique qu'on pourrait représenter schématiquement comme ceci :
Internet --- proxy http ---- LAN
Donc chez moi, je n'ai pas de DMZ comme dans la page indiquée, mais j'ai un PC en tête de réseau qui héberge nombre de services, notamment :
- un serveur DHCP+DNS (dnsmasq) pour le LAN
- un proxy http avec authentification et filtre parental (squid3+squiguard)
- un firewall (quelques règles netfilter) qui bloque la sortie http/https sur internet sauf pour le compte du service proxy
Jusqu'à présent, j'avais un vieux routeur SpeedTouch 510 avec 1 unique port ethernet et un petit switch bas de gamme. Aujourd'hui, j'ai le Technicolor je trouve dommage de ne pas profiter de ces capacités, notamment de la wifi.
Dans la configuration par défaut du Technicolor, les 4 ports ethernet et la wifi sont routés sur internet, ce qui empêche tout filtrage. Brancher toutes les machines en direct là-dessus ne me convient pas.
Dans ma configuration, il s'agit donc brancher ma tête de réseau sur le port ethernet 1 du technicolor et de rassembler les 3 autres ports ethernet plus l'interface wifi dans un autre bridge, non routé directement à internet.
Le script CLI est finalement très simple :
# création d'un nouveau bridge/switch
eth bridge add brname=lanswitch
# basculement des ports 2, 3, 4 et wifi dans ce nouveau bridge/switch
eth bridge ifdelete intf=ethport2
eth bridge ifadd brname=lanswitch intf=ethport2 dest=ethif3
eth bridge ifattach brname=lanswitch intf=ethport2
eth bridge ifdelete intf=ethport3
eth bridge ifadd brname=lanswitch intf=ethport3 dest=ethif3
eth bridge ifattach brname=lanswitch intf=ethport3
eth bridge ifdelete intf=ethport4
eth bridge ifadd brname=lanswitch intf=ethport4 dest=ethif4
eth bridge ifattach brname=lanswitch intf=ethport4
eth bridge ifdelete intf=WLAN
eth bridge ifadd brname=lanswitch intf=WLAN dest=wlif1
eth bridge ifattach brname=lanswitch intf=WLAN
# sauvegarde des changements
saveall
C'est ma tête de réseau qui fait le routage et le NAT, elle est donc connectée 2 fois, sur les ports 1 et 2.
Je n'ai pas encore creusé les possibilités de routage/NAT du Technicolor, alors pour l'instant, ça fait un double NAT pour les machines du LAN.
Je me suis aidé de cette page http://npr.me.uk/advdmz.html déjà référencée sur le forum pour me concocter une config différente mais adaptée à mon réseau domestique qu'on pourrait représenter schématiquement comme ceci :
Internet --- proxy http ---- LAN
Donc chez moi, je n'ai pas de DMZ comme dans la page indiquée, mais j'ai un PC en tête de réseau qui héberge nombre de services, notamment :
- un serveur DHCP+DNS (dnsmasq) pour le LAN
- un proxy http avec authentification et filtre parental (squid3+squiguard)
- un firewall (quelques règles netfilter) qui bloque la sortie http/https sur internet sauf pour le compte du service proxy
Jusqu'à présent, j'avais un vieux routeur SpeedTouch 510 avec 1 unique port ethernet et un petit switch bas de gamme. Aujourd'hui, j'ai le Technicolor je trouve dommage de ne pas profiter de ces capacités, notamment de la wifi.
Dans la configuration par défaut du Technicolor, les 4 ports ethernet et la wifi sont routés sur internet, ce qui empêche tout filtrage. Brancher toutes les machines en direct là-dessus ne me convient pas.
Dans ma configuration, il s'agit donc brancher ma tête de réseau sur le port ethernet 1 du technicolor et de rassembler les 3 autres ports ethernet plus l'interface wifi dans un autre bridge, non routé directement à internet.
Le script CLI est finalement très simple :
# création d'un nouveau bridge/switch
eth bridge add brname=lanswitch
# basculement des ports 2, 3, 4 et wifi dans ce nouveau bridge/switch
eth bridge ifdelete intf=ethport2
eth bridge ifadd brname=lanswitch intf=ethport2 dest=ethif3
eth bridge ifattach brname=lanswitch intf=ethport2
eth bridge ifdelete intf=ethport3
eth bridge ifadd brname=lanswitch intf=ethport3 dest=ethif3
eth bridge ifattach brname=lanswitch intf=ethport3
eth bridge ifdelete intf=ethport4
eth bridge ifadd brname=lanswitch intf=ethport4 dest=ethif4
eth bridge ifattach brname=lanswitch intf=ethport4
eth bridge ifdelete intf=WLAN
eth bridge ifadd brname=lanswitch intf=WLAN dest=wlif1
eth bridge ifattach brname=lanswitch intf=WLAN
# sauvegarde des changements
saveall
C'est ma tête de réseau qui fait le routage et le NAT, elle est donc connectée 2 fois, sur les ports 1 et 2.
Je n'ai pas encore creusé les possibilités de routage/NAT du Technicolor, alors pour l'instant, ça fait un double NAT pour les machines du LAN.