Aujourd'hui, je vais vous présenter un peu plus encore mon chez moi. Ouais, comme ça, je vous ouvre mon intimité.
Pourquoi ça ? D'abord, parce que je suis satisfait de mon travail, ensuite parce que je trouve ça beau. J'en profiterai aussi pour vous présenter rapidement fwbuilder.
Nous y voilà donc. Comme je vous l'ai dit précédemment, j'en avais ras le bol de ces coupures intempestives dues à des plantages de ma liveboîte. J'ai donc poussé un peu mes investigations, et j'ai réalisé que je n'étais pas la seule victime, loin de là ! L'explication rencontrée la plus souvent, est un plantage dû au nat. Or pour se faire quelques parties de Diablo II Lord of Destruction avec des amis, il a bien fallu mettre en place 2-3 règles de nat (et plus exactement de pat) pour héberger la partie et un serveur TeamSpeak.
J'avais initialement choisi cette boîte parce que sur le papier, elle offrait pas mal de bonnes choses. En vrac :
- nat/pat firewall partage samba dyndns VoIP SIP Télévision Wifi b/g/n
Au final, c'est une belle arnaque, parce que certes, ces fonctions sont implémentées, mais complétement instables !
Du coup, j'ai fouillé mes placards/greniers/tiroirs, et j'ai réussis à rassembler suffisamment de matériel (hormis une tour) pour me monter une passerelle chez moi. Au vu du matériel récolté, je me suis dit, tient, pourquoi ne pas également en faire un serveur ? Mais comme j'aime bien que ça soit carré, j'ai décidé de dédier une VM par "activité".
Je me retrouve donc avec
- zor0 : passerelle/firewall/dom0 FMG : serveur web Yoda : serveur de "savoir" (SQL, samba, DNS)
À cela, on ajoute un petit routeur wi-fi juste derrière la passerelle, c'est lui qui est en charge du DHCP sur un sous-réseau spécifique nommé NETWORK IN. Il se prénomme road66 Les VM elles, sont sur un autre sous-réseau nommé NETWORK VM. Enfin, entre la Livebox et la zor0, nous avons le NETWORK OUT. Entre zor0 et road66, nous avons un sous-réseaux avec un masque de 30, puisque nous n'avons besoin que de 2^2 - 2 adresses : une pour zor0, une pour road66. Les deux adresses retranchées servent pour le sous-réseau, et pour le broadcast.
Voici donc en image ce que l'on obtient :
Pour arriver à configurer tout ça, sans avoir de bases très solides en iptables, je me suis fort aidé de fwbuilder dont je vous ai déjà parlé. Voici les configurations utilisées :
À noter que le nattage intervient avant le filtrage.
Une fois que tout ça est en place, il ne nous reste plus qu'à désactiver toutes les fonctionnalités instables de la livebox. Ce qui m'a mis dans l'obligation de mettre ma passerelle en DMZ. C'est laid, mais le nat étant inutilisable, je n'avais pas le choix. Cependant, il ne faut pas couper le DHCP si l'on veut pouvoir regarder la télé. Ne me demandez pas pourquoi... J'ai juste constaté que sans DHCP, pas de télé, avec DHCP, télé.