Je peux quand même faire un "ping -4 192.168.53.1" depuis ma connexion "192.168.52.44".

192.168.53.1 c'est une adresse du Raspberry. Dans ce cas là, c'est pas la table "FORWARD" qui est utilisée mais la table "INPUT"...

La table FORWARD, c'est juste pour les paquets dont ni la source ni la destination ne sont le "routeur" (ici le raspberry pi).

Salut à tous.

Un moyen (le seul ?) pour isoler les interfaces, c'est un firewall sur le raspberry (iptables?) avec les règles adéquates.

J'aimerai savoir si le firewall (iptables) est la solution qui me convient pour isoler mes interfaces ?
Si je me pose cette question, c'est à cause de la remarque de frederic09 : "(le seul ?)"

Le firewall est t-il la solution à ce que je cherche à faire ?

Je me suis fait déjà un firewall (iptables ipv4 & ipv6) avec des difficultés mais je n'avais qu'une seule interface.
Maintenant, qu'il y en a trois (eth0, wlan0 & wlan1) c'est beaucoup plus compliqué.
Auriez-vous un exemple à me communiquer ?

Donc si tu veux tester qu'un firewall bloque bien 2 réseaux entre eux, il faut tester avec tout, sauf de l'ICMP 

Je ne comprends pas pourquoi je ne devrai pas tester avec l'ICMP (ping) ?

Bloquer n'est peut-être pas le mot le plus adéquate de ce que je désire faire.
J'avais pensé à un vlan, mais je ne suis pas sûr que cela soit le cas.
C'est comme si j'avais deux canaux (le terme n'est peut-être pas le bon) indépendant (ou dissocier) l'un de l'autre.

Si le ping permet de voir l'adresse 192.168.53.1 alors que je me trouve en 192.168.52.44, ce n'est pas bon.
Dois-je comprendre que l'ICMP peut aussi être contrôler comme un flux ?

92.168.53.1 c'est une adresse du Raspberry. Dans ce cas là, c'est pas la table "FORWARD" qui est utilisée mais la table "INPUT"...

Dois-je canaliser l'INPUT et l'OUTPUT de la même façon que le FORWARD ?

Interdire tout, puis autoriser seulement  eth0 <--> wlan0 et eth0 <--> wlan1 pour les INPUT, OUTPUT et FORWARD.
Ainsi la partie transversale wlan0 <--> wlan1 ne fonctionnera pas. Est-ce bien cela ?

Il est mieux d'activer le 'routed /48' chez Hurricane et d'utiliser deux /64 distincts plutôt  que de couper le 'routed /64' en deux /80.

Ce n'est pas un réseau d'entreprise que je fais, mais juste un petit routeur pour mon usage personnel.
Avec 250 addresses Ip, c'est largement suffisant pour ce que je fais.
A moins qu'il y a un autre raison de choisir le 'routed /48' plutôt que le '/routed /64' .

@+

Salut

Qu'est-ce qui ne va pas avec ma connexion ?

+------------------------------------+------------------------------------+
|             Propriétés             |               Valeurs              |
+------------------------------------+------------------------------------+
| Suffixe DNS propre à la connexion: | localhost                          |
| Description:                       | Intel(R) WiFi Link 5100 AGN        |
| Adresse physique:                  | 00-21-6B-C8-16-10                  |
| DHCP activé:                       | Oui                                |
| Adresse IPv4:                      | 192.168.52.20                      |
| Masque de sous-réseau IPv4:        | 255.255.255.0                      |
| Bail obtenu:                       |    mardi 24 décembre 2019 13:48:42 |
| Bail expirant:                     | mercredi 25 décembre 2019 13:48:45 |
| Passerelle par défaut IPv4:        | 192.168.52.1                       |
| Serveur DHCP IPv4:                 | 192.168.52.1                       |
| Serveurs DNS IPv4:                 | 192.168.52.1,                      |
|                                    | 8.8.8.8,                           |
|                                    | 8.8.4.4                            |
| Serveur WINS IPv4:                 |                                    |
| NetBIOS sur TCP/IP activé:         | Oui                                |
| Adresse IPv6:                      | 2001:470:1f13:226:520::200         |
| Bail obtenu:                       |    mardi 24 décembre 2019 13:48:45 |
| Bail expirant:                     | mercredi 25 décembre 2019 13:35:36 |
| Adresse IPv6 locale de lien:       | fe80::e4a9:a982:ddaa:6902%12       |
| Passerelle par défaut IPv6:        | fe80::76e1:5c61:7f7a:14e4%12       |
| Serveurs DNS IPv6:                 | 2001:470:1f13:226:520::1,          |
|                                    | 2001:4860:4860::8888,              |
|                                    | 2001:4860:4860::8844               |
+------------------------------------+------------------------------------+

+------------------------------------+------------------------------------+
|              Propriété             |               Valeur               |
+------------------------------------+------------------------------------+
| Suffixe DNS propre à la connexion: | localhost                          |
| Description:                       | Intel(R) WiFi Link 5100 AGN        |
| Adresse physique:                  | 00-21-6B-C8-16-10                  |
| DHCP activé:                       | Oui                                |
| Adresse IPv4:                      | 192.168.52.20                      |
| Masque de sous-réseau IPv4:        | 255.255.255.0                      |
| Bail obtenu:                       | mardi 24 décembre 2019 14:28:33    |
| Bail expirant:                     | mercredi 25 décembre 2019 14:36:39 |
| Passerelle par défaut IPv4:        | 192.168.52.1                       |
| Serveur DHCP IPv4:                 | 192.168.52.1                       |
| Serveurs DNS IPv4:                 | 192.168.52.1,                      |
|                                    | 8.8.8.8,                           |
|                                    | 8.8.4.4                            |
| Serveur WINS IPv4:                 |                                    |
| NetBIOS sur TCP/IP activé:         | Oui                                |
| Adresse IPv6:                      | 2001:470:c974:520::200             |
| Bail obtenu:                       |    mardi 24 décembre 2019 14:28:36 |
| Bail expirant:                     | mercredi 25 décembre 2019 14:28:36 |
| Adresse IPv6 locale de lien:       | fe80::e4a9:a982:ddaa:6902%12       |
| Passerelle par défaut IPv6:        | fe80::76e1:5c61:7f7a:14e4%12       |
| Serveurs DNS IPv6:                 | 2001:470:c974:520::1,              |
|                                    | 2001:4860:4860::8888,              |
|                                    | 2001:4860:4860::8844               |
+------------------------------------+------------------------------------+

J'ai remplacé les adresses 'Routed /64' par 'Routed /48' dans dnsmasq.
Désolé de le dire, mais je ne vois pas trop la différence.

@+

Salut à tous.

J'apprécierai que l'on réponde à mes questions afin que je puisse poursuivre mon projet, surtout celles concernant l'iptables.
Entre autre, me donner un exemple pour isoler mes deux sous-réseaux.

Concernant les deux ssid, je constate quand ma raspberry redémarre, j'ai le comportement suivant :
--> je peux me connecter indifféremment à MyWapOne ou à MyWapTwo, la première fois.
--> si je me déconnecte et que je fais une tentative sur l'autre ssid, la connexion ne se fait pas.
--> si je me reconnecte à mon premier ssid, cela fonctionne.

Il semble que ma première connexion à l'un des ssid m'empêche de pouvoir utiliser l'autre depuis le même ordinateur.
Je peux me tromper, mais tout ce passe comme si ma connexion était persistante.
Comment puis-je résoudre ce problème ?

@+

Salut kgersen.

Je préfère des règles issues de l'iptables et l'ip6tables.
J'ai trouvé ceci :
$iptv4  -P INPUT DROP
$iptv4  -A INPUT wlan0  -d 192.168.52.0/24 -j ACCEPT
$iptv4  -A INPUT wlan1  -d 192.168.53.0/24 -j ACCEPT

$iptv6 -P INPUT DROP
$iptv6  -A INPUT wlan0  -d 2001:470:c974:520::/64  -j ACCEPT
$iptv6  -A INPUT wlan1  -d 2001:470:c974:530::/64  -j ACCEPTPour l'IPv4, ça fonctionne.
Mais pour l'IPv6, je n'ai plus d'ipv6.

Inversement, si je fais :
$iptv6 -P INPUT ACCEPT
$iptv6  -A INPUT wlan0  -d 2001:470:c974:530::/64  -j DROP
$iptv6  -A INPUT wlan1  -d 2001:470:c974:520::/64  -j DROPça fonctionne. Le seul problème est que j'aurai aimé plutôt mon premier exemple, c'est-à-dire "tout interdit sauf".
Qu'est-ce qui fait que l'IPv6 ne fonctionne plus ?

J'ai modifié mon fichier iptables.sh afin de supprimer la règle NAT sur l'IPv6.

@+

Salut kgersen.

tu fais comment les tests de 'marche/marche pas' ?

Je teste depuis mon ordinateur windows qui est connecté au travers de mon routeur/raspberry.

1) je teste l'accès en ipv4 et en ipv6 (ping) sur un site, google par exemple.

2) je teste les accès au dns (nslookup). J'ai trois niveaux : la raspberry, ma box et internet.

3) j'ai le nom "RaspberryPi" que je teste pour accèder en ssh à la raspberry.
Il contient 192.168.52.1, 192.168.53.1, 2001:470:c974:520::1, 2001:470:c974:530::1.
Si je suis en ssid:MyWapOne, je ne dois pas pouvoir accéder à 192.168.53.1 et 2001:470:c974:530::1.
Si je suis en ssid:MyWapTwo, je ne dois pas pouvoir accéder à 192.168.52.1 et 2001:470:c974:520::1.

4) je teste "https://ipv6-test.com/" afin d'avoir 20/20 pour l'accès ipv6.
Dans "IPv6 connectivity", ICMP est FILTERED, ce qui n'est pas bon.
Le problème ne vient pas de Windows car quand j'avais l'IPv6 dans ma box/sfr, j'avais 20/20.

5) les accès au web en http/https. A cause du FORWARD, je n'ai pas de problème.

En dehors de ce routeur/raspberry, j'avais déjà créé un "firewall" juste pour augmenter la sécurité quand je travaille dans ma raspberry.
Comment je m'y suis pris ?
J'ai interdit tous les accès :
$iptv4 -P   INPUT DROP
$iptv4 -P  OUTPUT DROP
$iptv4 -P FORWARD DROP

$iptv6 -P   INPUT DROP
$iptv6 -P  OUTPUT DROP
$iptv6 -P FORWARD DROPEt dans ce service firewall, j'ai placé ces règles-ci :
# --- #
# LOG #
# --- #

$IPTv4 -A   INPUT -j LOG --LOG-PREFIX 'IN4: '
$IPTv4 -A  OUTPUT -j LOG --LOG-PREFIX 'OUT4: '
$IPTv4 -A FORWARD -j LOG --LOG-PREFIX 'FOR4: '

$IPTv6 -A   INPUT -j LOG --LOG-PREFIX 'IN6: '
$IPTv6 -A  OUTPUT -j LOG --LOG-PREFIX 'OUT6: '
$IPTv6 -A FORWARD -j LOG --LOG-PREFIX 'FOR6: 'Cela me permettait d'identifier le flux qui était bloqué et de l'ajouter dans le service.
Je ne sais pas si c'était la bonne méthode mais cela fonctionnait au moins pour ce qui était simple.
HTTP/https (port 80, 443, 8080), SSH (port 22), outlook (ports 25,143,465,587,993), DNS (port 53) ...
Je n'avais pas de difficulté à comprendre INPUT (ce qui vient de eth0), OUTPUT (ce qui retourne vers eth0) et FORWARD (ou routage pour les règles NAT).
Pour l'essentiel, je l'avais fait que pour l'IPv4. A l'époque, j'avais l'ipv6 de SFR mais je n'arrivais pas à formuler correctement les règles.
Puis j'ai laissé tombé car mon firewall ralentissait énormement ma raspberry.

Bien sûr, je n'ai pas recopié bêtement les règles que je trouvais sur le net.
Je m'en servais pour comprendre comment créer mes règles. J'ai aussi compris que l'ordre des règles à de l'importance.

Dans mon routeur/raspberry, je n'arrive pas à comprendre qui est qui, avec trois interface eth0, wla0 et wlan1 et avec l'IPv4 et l'IPv6 (6in4).
En fait, j'ai d'autre interfaces, comme lo, he-ipv6, et sit0.
Je n'utilise pas pour l'instant de service, car j'ai ajouté le script "iptables.sh" à la fin de "/etc/rc.local".

Dans ton exemple (le schema coloré), j'ai d'un coté "Network interface" et de l'autre "local process".
Si j'ai une seule interface et ipv4, disons eth0, je n'ai pas de problème. Mais si j'ai plusieurs interfaces avec en plus l'Ipv6, là je suis complètement perdu.

Comment autoriser l'Ipv6, si je mets "$iptv6 -P INPUT DROP" ?
D'une part, il est encapsulé dans l'IPv4 et d'autre part, ne récupérer que ce que est pour les branches "2001:470:c974:520::" et "2001:470:c974:530::".

@+