Le mardi 19 septembre, stephane.driussi@??? a écrit :
> je cherche une solution pour offrir internet a mes voisins:
> - j'ai une freebox + wifi en WPA pour mon reseau perso
> - un PC linux qui tourne 24h/24h relie a cette freebox par eth0 et qui offre
> samba, mail pour le reseau perso et l'hebergement de site web pour l'exterieur.
> - un point d'acces wifi ouvert sans clef relie au PC par eth1.
>
> je voudrais que le wifi ouvert puisse aller sur internet a travers mon PC et
> seulement sur internet pas vers mon PC. Il faudrait en plus que seul les ports
> 80/443 soient possible et que le debit soit limite a 128Kbit/s
>
> Est-ce possible ?
Une réponse très partielle : En supposant que ton réseau perso est
192.168.0.0/24, et que tu pars d'une situation où ton serveur est
complètement vérrouillé, tu peux ouvrir ce qui suit (les commandes en
une seule ligne, bien sûr) :
iptables -A FORWARD -j ACCEPT # On fait suivre les paquets
-i eth1 -o eth0 # du Wifi public vers le réseau perso
-d !192.168.0.0/24 # si la destination *n'est pas* dans r. perso
-p tcp # que c'est un paquet TCP
--destination-port 80,443 # vers le port 80 ou 443
-m limit --limit 640/minute # au maximum 640 paquets par minute.
iptables -A FORWARD -j ACCEPT # On fait suivre les paquets
-i eth0 -o eth1 # dans l'autre sens
-m state # seulement si le paquet est une réponse
--state ESTABLISHED,RELATED # à un paquet précédent
-m limit --limit 640/minute # au maximum 640 paquets par minute.
Il te faudra aussi des règles pour pouvoir accéder à ton serveur depuis
Internet et le réseau perso. Tu peux les mettre *après* celle-ci qui
jette tout ce qui vient du Wifi :
iptables -A INPUT -i eth1 -j DROP
Reste à savoir quelles IP tes voisins pourront utiliser sur ton Wifi
public. Je ne pense pas qu'ils puissent utiliser le serveur DHCP de ta
Freebox, le plus simple est peut-être d'installer un serveur DHCP sur
ton serveur à leur intention, et faire du NAT.
Voilà, c'est juste des idées, non testées.
Edgar.