Français

Bonjour,

actuellement ma config réseau est on ne peut plus simple :

Internet<-->(ip publique)Routeur(172.30.1.254)<------------------------------>(172.30.0.0/16)LAN

Le routeur est installé par notre FAI, et on n'a pas la main dessus pour tout ce qui est filtrage, etc....

j'avais inséré entre le routeur et le LAN un PC sous Debian avec deux interfaces, en mode bridge. Il était donc invisible et avec les bonnes règles iptables je pouvais faire tout ce que je voulais au niveau filtrage (blocage, redirection, stats, etc...). Evidemment, déclaration à la CNIL, information des utilisateurs, tout ça (y'avait aussi un squid/squidGuard).
Malheureusement ce pc a claqué, et c'est l'occasion de tester des outils spécialisés comme monowall !

donc ma question est : est-il possible d'utiliser monowall (à la place du PC bridge) dans le type de configuration suivante :

Internet<-->(ip publique)Routeur(172.30.1.254)<------->(nic)PC Bridge(nic)<------>(172.30.0.0/16)LAN

Le pc bridge a une adresse IP assigné à l'interface "bridge" br0 : 172.30.20.25 pour pouvoir néanmoins se connecter à distance par ssh.

j'ai vu qu'on pouvait bridger une 3e interface (OPT) avec l'interface WAN, mais je n'ai pas tout saisi je l'avoue.

merci d'avance pour vos lumières !

Salut,
Oui c'est possible et ça fonctionne très depuis plusieurs mois sur notre réseau.

Il y a un mode d'emploi pour la mise en route
http://doc.m0n0.ch/handbook/examples-filtered-bridge.html

Si tu as besoin d'autres informations n'hésite pas
Salutations et bonne journée

bonjour meuced,
je suis interessé par tes connaissances sur les pare-feu filtrants : j'ai installé un pc sous debian en mode bridge comme toi et je galere avec les commandes iptables pour bloquer,filtrer...comment as-tu configuré ca sur ton bridge svp ?
en fait, je souhaite bloquer tous les ports par defaut et n'autoriser ensuite que certains http,ftp,dns par ex. Voir, n'autoriser ftp que pour certains pc. interdire msn....
merci d'avance