Tomato : utiliser la puissance d'iptables pour contrôler les flux sur les différentes interfaces
By Pierre-Alain B on Saturday, February 27 2016, 19:45 - Permalink
Voici quelques lignes à introduire dans la configuration d'un routeur/point d'accès propulsé par Tomato (dont on a déjà parlé dans ces articles) pour interdire aux périphériques branchés sur une interface d'accéder à certains sous-réseaux. Cela peut être pratique lorsque l'on veut interdire à certains périphériques (par exemple des périphériques connectés sur un réseau "invité") d'accéder à certaines ressources locales.
La petite subtilité est la suivante : il est nécessaire d'introduire les règles nouvelles en amont des règles existantes. Et pour ce faire, il faut donc utiliser l'option '-I' d'iptables en précisant la ligne à laquelle on souhaite insérer la nouvelle commande.
Ainsi :
iptables -P FORWARD DROP iptables -I FORWARD 1 -i br0 -j ACCEPT iptables -I FORWARD 2 -i br1 -d 192.168.0.0/16 -j REJECT iptables -I FORWARD 3 -i br1 -j ACCEPT
conduit au comportement suivant :
- par défaut tout est rejeté
- on accepte tout en provenance de l'interface br0 (par exemple un Wifi 'maître des lieux')
- on refuse tous les accès den provenance de l'interface br1 (par exemple un Wifi 'invité') à destination des IPs du sous-réseau 192.168.0.0/16
- on accepte tout le reste de l'interface br1
Voilà, le tour est joué,