Je souhaiterai mettre en place un firewall domestique afin de sécuriser mon petit réseau domestique (NAS / box domotique / ordinateurs). Je ne connais pas du tout les micro-ordinateurs raspberry et je connais assez peu les OS linux (je n’ai qu’un ordinateur sur UBUNTU que j’utilise très peu).
Est-il possible de configurer un raspberry pour que l’ensemble des données entrantes et sortantes de ma livebox passe par ce dernier et qu’il surveille si rien d’anormal ne se produise (il tournerait dans ce cas là 24h/24) ? Si oui, quelle configuration il faudrait mettre en place ?
C’est en fait assez simple. Il suffit que tu redirige tout vers ton Raspberry avec ta box (redirection de port 80 et 443 par exemple, ou mettre le Raspberry en DMZ, option qui redirige tout trafic entrant indépendamment des port).
Tu auras Iptables pour ton pare-feux, et nginx pour faire du reverse proxy pour accéder à ton nas en redirigeant les requêtes faites depuis internet.
Merci pour ces éléments de réponses. Le DMZ doit permettre de créer une barrière entre le raspberry (qui aura accès à internet) et le reste du matériel qui ne sera qu’en local ? Pouvez-vous me confirmer le mode opératoire suivant :
mise en place du raspberry avec une adresse IP fixe
mise en place du DMZ en renseignant l’adresse IP du raspberry
installation de Iptables sur le raspberry pour faire firewall (par contre je n’ai pas compris l’utilité de reverse proxy ?)
En partant sur ce système il y a t-il un gain en termes de sécurité ou est-ce inutile ?
Gain de sécu oui, tu pourras installer des outils de surveillance réseau, ton iptables est un Vrai par-feux puissant et fonctionnel.
Le reverse-proxy permet à de faire proxy au lieu de rediriger les requêtes TCP/IP. Ainsi il s’occupe de ta sécu https pour l’accès à ton NAS par exemple, il n’est pas obligatoire, mais pratique quand on veux sécuriser du web (http/https)
Bonsoir, je m’étais aussi penché sur la question et j’avais trouvé le bridge firewall. En gros, on rajoute une interface réseau au Raspberry et on met sur celui-ci une image type Ipfire. Puis le tout entre le routeur et le réseau domestique. Ce n’est pas plus facile pour un débutant ? (car je le suis aussi)
Bon je pense que je n’ai rien compris… La DMZ c’est une zone qui reste connectée à internet et à l’opposé on retrouve le LAN qui est monté en local et qui ne peut pas communiquer avec l’extérieur c’est bien cela ?
Ce que je souhaitais c’était de mettre en place un raspberry qui soit, vous excuserez l’image, comme un point de passage obligatoire pour toutes les informations entrantes et sortantes.
www <-> Box internet <-> Raspberry (DMZ?) <-> NAS en filaire / smartphone en wifi / C en filaire et en wifi (LAN?)
En gros ça reviendrait à dire que le raspberry serait là comme flic pour surveiller toutes les données entrantes et sortantes : est-ce que ce type de configuration est réalisable et si oui comment ? est-ce qu’il faut juste dire que le raspberry sera équipé d’un firewall et d’un antivirus et les laisser tourner en permanence ?
Comment forcer le matériel de la zone LAN à communiquer avec le raspberry ?
Elle peux communiquer avec l’exterieur, mais c’est l’exterieur qui peux pas l’atteindre directement (principe du NAT)[quote=« Omx, post:6, topic:1721 »]
www <-> Box internet <-> Raspberry (DMZ?) <-> NAS en filaire
[/quote]
Ca c’est bon ! Par contre le smartphone tu pourras pas le mettre dessus.[quote=« Omx, post:6, topic:1721 »]
En gros ça reviendrait à dire que le raspberry serait là comme flic pour surveiller toutes les données entrantes et sortantes
[/quote]
Uniquement entrante.
Merci pour ce retour. J’ai essayé de faire un schéma de mon installation. Ce qui m’embête c’est que le matériel connecté en wifi n’est pas « protegeable » et en gros ca serait une chemin pour contourner le firewall ?
Le wifi étant directement connecté ça t’empercherais de filtrer en effet. de meme, le raspberry n’as pas 2 port RJ45 donc ton schéma n’est pas applicable.
La seule chose que tu puisse faire c’est des filtrages dns avec ton raspberry en le transformant en serveur DNS LAN, mais à aucun moment les connexion se feront à travers ton raspberry. Il te faudrait une autre machine avec plusieurs port de type routeur linux.(avec wifi integré pour couper celui de la box.)
Bon en fait je pense que dans mon cas de figure il vaut mieux que je désactive le wifi de la box et que je parte sur une solution de routeur firewall qui centralise toutes les connections du type :
pourquoi tu veux une telle architecture ? On se sert très rarement d’un FW pour les sortie vers internet. Tu dimensionne ton pare-feu pour une entreprise de sécu ou quoi ?
C’est très au dela de ce que à besoins un particulier.
oui le choix du produit est sans doute « surdimensionné » mais il me semble que cette architecture soit la bonne (elle permet de réguler les connections filaires et wifi) ? ou alors ça reviendrait à travailler sur le paramétrage du firewall de la box ?
est-il possible d’obtenir un firewall puissant en travaillant sur le paramètrage d’une box ?
Le problème avec une box, c’est qu’il n’est pas possible d’avoir accès à l’OS, dès lors les fonctions proposées pour le firewall sont limitées (un peu plus étendues sur les offres pro). Le plus simple est d’avoir un firewall dissocié de la box mais aussi de toutes autres fonctions (NAS, Domotique, Telephonie…) afin de garantir son intégrité des deux cotés (opérateur et réseau local). Il existe des distributions linux/bsd pour faire des firewall puissants (Pfsense, Monowall, etc) à faire tourner sur des cartes dédiées (genre Alix board), n’utilisez pas de vieux pc ça va consommer un max pour rien. Maintenant, l’utilisation d’une carte Raspberry est possible, mais reste assez limitante: un seul port Ethernet en 100Mpbs, donc pour ceux qui ont la fibre… bofbof, il est possible d’ajouter des ports Ethernet en USB pour dissocier physiquement WAN et LAN, mais on reste limité niveau matériel (tout passera par le même bus USB sur le SoC). Si tu utilise uniquement l’ADSL, le Raspberry suffit.
Bonjour à tous,
je suis tout nouveau dans le monde raspberry
Pourquoi je m’intéresse à cette sympathique machine
c’est pour la même raison que OMX (qui a ouvert le sujet)
Je voudrais aussi utiliser un raspberry comme firewall domestique
malheureusement avec un seul port ethernet, on est très vite limité
par contre, j’ai une question, si on utilise un switch entre la box et le raspberry ?
ce qui donnerait la possibilité de rediriger tout le traffic qui a été traité par le firewall vers le routeur wifi domestique ?
