Re: wifi libre

トップ ページ

このメッセージに返信
著者: Edgar Bonet
日付:  
To: Liste Guilde
題目: Re: wifi libre
Le mardi 19 septembre, stephane.driussi@??? a écrit :
> je cherche une solution pour offrir internet a mes voisins:
> - j'ai une freebox + wifi en WPA pour mon reseau perso
> - un PC linux qui tourne 24h/24h relie a cette freebox par eth0 et qui offre
> samba, mail pour le reseau perso et l'hebergement de site web pour l'exterieur.
> - un point d'acces wifi ouvert sans clef relie au PC par eth1.
>
> je voudrais que le wifi ouvert puisse aller sur internet a travers mon PC et
> seulement sur internet pas vers mon PC. Il faudrait en plus que seul les ports
> 80/443 soient possible et que le debit soit limite a 128Kbit/s
>
> Est-ce possible ?


Une réponse très partielle : En supposant que ton réseau perso est
192.168.0.0/24, et que tu pars d'une situation où ton serveur est
complètement vérrouillé, tu peux ouvrir ce qui suit (les commandes en
une seule ligne, bien sûr) :

iptables -A FORWARD -j ACCEPT   # On fait suivre les paquets
    -i eth1 -o eth0             # du Wifi public vers le réseau perso
    -d !192.168.0.0/24          # si la destination *n'est pas* dans r. perso
    -p tcp                      # que c'est un paquet TCP
    --destination-port 80,443   # vers le port 80 ou 443
    -m limit --limit 640/minute # au maximum 640 paquets par minute.
iptables -A FORWARD -j ACCEPT   # On fait suivre les paquets
    -i eth0 -o eth1             # dans l'autre sens
    -m state                    # seulement si le paquet est une réponse
    --state ESTABLISHED,RELATED # à un paquet précédent
    -m limit --limit 640/minute # au maximum 640 paquets par minute.


Il te faudra aussi des règles pour pouvoir accéder à ton serveur depuis
Internet et le réseau perso. Tu peux les mettre *après* celle-ci qui
jette tout ce qui vient du Wifi :

iptables -A INPUT -i eth1 -j DROP

Reste à savoir quelles IP tes voisins pourront utiliser sur ton Wifi
public. Je ne pense pas qu'ils puissent utiliser le serveur DHCP de ta
Freebox, le plus simple est peut-être d'installer un serveur DHCP sur
ton serveur à leur intention, et faire du NAT.

Voilà, c'est juste des idées, non testées.

Edgar.