|
Page 3 sur 3 Donc, après avoir longuement cherché sur divers forums comment outrepasser la limite d'une IP pour la DMZ, des forumeurs m'ont aidé à comprendre l'architecture interne du routeur et à comprendre comment mettre en place une DMZ à moindres frais: Pour ce faire, il nous faut créer un VLAN...c'est à dire configurer une interface du routeur pour que cette première dispose d'une adresse IP et d'un masque de sous réseau différents du réseau local... Schéma pour comprendre un peu la logique Linksys et Broadcom: 
Donc on retrouve sur cette photo, honteusement pompé sur un site de news, l'ensemble des interfaces du routeur et leur organisation dans la bête... ETH0 est l'interface réseau centrale du routeur, tout passe par elle. Vlan1 est l'interface WAN du routeur (celle qui est reliée au modem, donc à internet). Vlan0 contient les quatre ports 10/100 du routeur. ETH1 est l'interface Wifi du routeur. Br0 est un pont (Bridge) qui fait le lien entre Vlan0 et ETH1 (pour le réseau local) Attention, toutes les versions du WRT54G n'ont pas le même nommage d'interface, ci dessus une version 2.2. Ce que nous allons chercher à faire c'est "Casser" l'interface VLAN0 (==séparer les ports en plusieurs Vlan) afin d'y ajouter un autre VLAN (Vlan2 par exemple...) Pour cela, connectons-nous en telnet ou en ssh sur le routeur: Dans la ligne de commande, nous allons taper: >nvram set rc_startup="ifconfig vlan2 10.0.0.254 netmask 255.255.255.0"
>nvram set vlan0ports="1 2 3 5*"
>nvram set vlan2hwname=et0
>nvram set vlan2ports="4 5"
>nvram set rc_firewall="
iptables -I FORWARD -i vlan1 -o vlan2 -j ACCEPT
iptables -I FORWARD -i vlan2 -o vlan1 -j ACCEPT
iptables -I INPUT -i vlan2 -j ACCEPT
"
>nvram commit
reboot Ce qui a pour effet, dans l'ordre: Créer l'interface vlan2 au démarrage avec l'ip 10.0.0.254 et le masque de sous réseau 255.255.255.0 Configure vlan0 sur les ports 1 2 3 et 5 (5 étant l'interface br0 je crois) On donne un nom à l'interface vlan2-->et0 On définit sur quel port est cette interface: le port 4 5 Puis on crée une règle dans le firewall afin de laisser passer les trames de Vlan1 vers Vlan2 et inversement (DMZ quoi), puis on autorise toutes les entrées sur VLAN2... La dernière ligne enregistre nos modifications et reboot le routeur. Maintenant, nous disposons d'une vraie DMZ sur le port 4 du routeur. Il ne reste plus qu'à y coller des machines avec des IP fixes... Afin d'améliorer la sécurité de la DMZ, nous pourrions configurer le firewall afin de n'autoriser que les ports utiles (DNS, FTP, MAIL,...) Ce sera sûrement l'objet d'un prochain article...
 Recommandez (0) |  Citez cet article sur votre site | Pages vues: 2420
Seuls les utilisateurs enregistrés peuvent laisser un commentaire.
SVP, connectez vous ou enregistrez vous.
|
