Centre d’innovation entrepreneuriale et de réorientation vers l’éthique
http://www.cbondesign.com/Borne-DHCP-et-Firewall


Borne DHCP et Firewall

1 modem Ethernet, 1 Point d'accès wifi routeur,plusieurs ordis mobiles ou fixes


Solution pratique et simple pour partager sa connexion Internet avec plusieurs ordis mobiles ou fixes.

- Le serveur DHCP du point d’accès wifi distribue les adresses IP aux clients, et le Firewall sécurise l’ensemble en autorisant ou refusant les accès et les échanges de données réseau/réseau (lan/lan), réseau/web (lan/wan), web/réseau (wan/wan).

La config

- Tout cela par un paramétrage simple, mais astucieux.
Il est aussi possible d’avoir un réseau de clients habituels ayant des IP fixes et communiquant entre eux, ainsi que des clients de passage se connectant via DHCP, mais n’ayant pas accès au réseau d’IP fixes.

- Il suffit là encore de bien paramétrer le Firewall.
Vous pouvez aussi faire en sorte que les clients DHCP ne soient que des personnes vous ayant fait une demande de connexion, en activant le filtrage par adresses MAC des clients DHCP.

- En Pratique, on aura UN AP ayant l’IP 192.168.10.1. La plaque tournante du réseau, et le lieu de la plupart des réglages.
Les clients habituels auront par exemple les adresses 192.168.10.2 à 192.168.10.5 s’ils sont 4.
Ces clients ne sont pas limités dans leur usage du net (P2P, FTP, Mail, contrôle à distance, VPN, etc...)

- Ne pas oublier de spécifier un masque de sous réseau 255.255.255.0 est le réglage couramment utilisé, mais libre à vous d’en changer.
- Les clients de passages, fonctionnant en DHCP auront par exemple les adresses 192.168.10.10 à 192.168.10.12.

- Ainsi, vous limitez votre accès à 3 clients en même temps, 10, 11, et 12. D’autre part, dans les règles du Firewall, vous spécifiez que les adresses de 192.168.10.10 à 12 ne peuvent utiliser que le port 80 (Web). Ils ne pourront pas faire de P2P et autres usages parallèles du Web.

- Vous bloquez aussi tout trafic réseau/réseau (Lan/lan) entre les adresses 10 à 12 vers le reste des adresses possibles du réseau, sauf celle de la borne Wifi (192.168.10.1) ou d’un serveur local (ftp local par ex). Quelques règles de Firewall auront donc suffi à bien sécuriser votre accès wifi. Ajoutez un filtrage des adresses MAC et votre système devient réellement difficile d’accès pour 99,99 % des possesseurs d’ordinateurs.

Solution Serveur

- Adjoindre un Serveur d’authentification n’est nécessaire que si l’accès DHCP est ouvert à toute machine (pas de filtrage des adresses MAC). Dans le cas d’un accès libre de voisinage, ou d’un réseau urbain, ce type de serveur peut être vital à la réussite du projet.

- Encore faut-il savoir manipuler ce type de chose..Quelques infos à ce propos données par un visiteur :
Solution pour installer un serveur (Web mail news etc... avec mysql, php ...) il conseille

- SME/e-smithhttp://www.sme-fr.homelinux.ne...;
c’est une distib Linux qui donne un server clef en main (pas besoin de connaître Linux) entièrement parametrable par page Web

- http://edocs.mitel.com/6000_SME_Ser...;Il utilise ça chez lui et c’est vraiment puissant (selon son mail) voici le lien vers son site :www.chevrier.info

- Un serveur d’authentification des clients Wifi (Nocath par ex) devra se trouver entre le modem et l’AP (si j’ai bien compris).
Si vous voulez, vous pouvez installer sur l’un des ordis un serveur Web, FTP ou mail, il suffira de le spécifier à l’AP

- Finalement, il est assez simple de paramétrer l’AP, surtout que l’aide fournie par le fabricant est souvent bien faite.
Par contre, si vous voulez monter un serveur d’authentification type Nocat, ou bien un serveur Web hébergeant du FTP, un forum, une base MySQL, etc ..., les choses se corsent. Voici quelques liens pouvant aider ces aventuriers

- Site recensant les développements de solutions serveur
- Administration Serveur et BDD (base de donnée) par Webmin
- Apache et les formulaires Put ou Post
- Doc MySQL
- Mac OS X et les solutions serveur (Tomcat, Apache, SSH, PHP, MySQL, etc.)
- Solution Nocat
- How To pour Nocat

Mise en place de l’installation :

Le centre du réseau, (notre AP/serveur DHCP/Firewall/routeur) devra être placé dans un endroit stratégique.
Au centre de vos locaux par ex, si votre réseau Wifi ne concerne que votre local/immeuble. Sur votre Toit, si vous souhaitez émettre dans tout un quartier (interdit par l’ART) pointé en direction d’un ami avec qui vous souhaitez partager votre connexion internet (autorisé s’il est dans le même immeuble).
Dans tous les cas, si vous êtes amenés à utiliser une antenne externepour accroître le signal dans une direction ou dans toutes les directions, réduisez au maximum la longueur du câble reliant l’AP à l’antenne. Plus celui-ci sera long, plus vous aurez de pertes de puissances importantes.Pour un câble de 6mm de diam, évitez les longueurs de plus de 1,5 m
Pour un câble de 10-11mm, évitez de dépasser les 6-7 m. Comment mettre son antenne sur le toit sans perdre toute la puissance par un câble d’antenne trop long ?En mettant l’AP sur le toit !!!!! et pour l’alimentation électrique, on la fait passer par le câble Ethernet reliant l’AP au Modem ou à la machine serveur. Cela s’appelle le POE (Power Over Ethernet)

Quelques liens pour ce type d’installation

- Alimentation de l’AP par Ethernet

Matèriel type

Les fabricants de matériel Wifi les plus réputés chez les wifistes :

- Linksys : http://www.linksys.com/
- D-link : http://www.dlink.com/
- MacSense :http://www.xsense.com/product/broad...

Perso, Je trouve le matériel D-link tout à fait satisfaisant. Je n’ai eu aucun problème particulier pour l’installer.
Le DI 614+, connecté directement au modem, fera office de Firewall, serveur DHCP et routeur (ses 4 ports réseau en plus vous permettent une installation mixte filaire/wifi) autonome pour moins de 140 euros
Le DWL900AP+ vous permettra une conversion filaire vers Wifi, avec Serveur DHCP. Il peut aussi jouer le rôle de borne relais, vous permettant d’augmenter la couverture de votre réseau.
Beaucoup de personnes sont aussi assez satisfaites du matériel Lynksys, notamment le WAP 11. Cependant, à service égal, le matos Lynksys me semble un peu plus cher. Certains rapportent quand même que la portée des Lynksys est légèrement supérieure aux D-link. Mais si vous comptez mettre votre propre antenne, cette remarque ne compte pas.
Equivalent DI 614+ chez Lynksys : BEFW11S4 (170 euros) Équivalent DWL900AP+(135 euros) chez Lynksys : WAP 11 (169 euros)Pour les cartes PCMCIA ou adaptateurs PCI et USB, le Wifi étant une norme internationale, tout matos wifi peut communiquer avec n’importe quel matos Wifi. Le reste n’est qu’une question de réglages réseau (DHCP, IP fixe, filtrages MAC, etc...) qui peuvent éventuellement empêcher toute communication.
Il est à noter que certains fabricants proposent du Wifi amélioré communiquant à 22 mbps au lieu de 11.
Si vous voulez bénéficier de tels services, mieux vaut avoir un matériel uniforme en terme de gamme et de marque (gamme Airplus chez Dlink par ex). Les magasins Français pouvant vous procurer AP, Adaptateurs, Cables, connecteurs
- Hflan :http://www.hflan.com/index.html
- Au bon micro :http://www.aubonmicro.com/
- Chez Charlie 12 : http://www.charlie12.fr
- Chez Infracom, http://online.infracom.fr/
- Chez Cyclades, en face de la gare de Lyon à Paris

Ma config (04/2003)

- Afin de proposer un accès public soumis à inscription/autorisation.
- Afin de protéger mon réseau local Wifi
- Afin de pouvoir contrôler mon accès internet, voici ma config.

Avec mon Point d’Accès Dlink DI 614+ branché sur mon modem Ethernet, j’ai :

- Défini des adresses IP fixes pour moi, mon coloc et mes parents. Ces adresses (de 2à9) ont tous les droits, tous les ports dispo.
- Défini une plage d’adresses dispo en DHCP (de 20 à 30 donc pour 11 pers max) qui n’ont accès qu’au port 80 (net) et qui ne peuvent pas communiquer avec la plage d’adresses IP fixes de mon réseau local.
- Le tout défini via le firewall intégré du Dlink 614+ De plus, un filtrage des adresses MAC a été mis en place.
- Toute personne prévoyant de venir se connecter à mon accès depuis le café d’à côté doit s’inscrire via le formulaire mis en place sur la page d’accueil de ce site sur le wifi.Elle me fournit sont adresse MAC, et son nom.
- Le mail que je reçois (issu du formulaire) m’indique aussi l’IP de la personne. Ce qui permet éventuellement de la faire identifier par la justice, si vraiment cela était nécessaire.
- J’autorise alors cette personne à se connecter à mon AP. J’autorise en fait son adresse MAC. Je n’ai pas activé de cryptage wep (ça complique la config du passant, et apporte une sécurité toute relative)
Un log sur mon AP liste toutes les personnes qui se sont connecté et à quelle heure.
- Je peux savoir qui fait quoi sur mon réseau (dans une certaine mesure) et peu fournir ces infos sur toute requête judiciaire. Il me semble donc, disposer d’un réseau interne relativement sûr et de proposer un accès Web aux passants sans trop de risque (sauf si je croise LE hacker, celui que l’on trouve sur 100 000 utilisateurs d’ordi. Soit 1/100000).
- Mais de toute façon, face à cet Hacker, peu de réseaux sont fiables à 100%On est loin du serveur d’authentification sur lequel vous rentrez un login et un mot de passe pour pouvoir surfer, mais c’est économique, simple, et suffisant pour moi.

Clicky Web Analytics
Creative Commons License   Copyright © Cbondesign 2004         Plan du site    
Cbondesign : 16, rue DŽsirŽ Preaux 93100 Montreuil. FRANCE| Tel : 09 81 63 08 93.
Siren : 453 843 476 | Siret : 453 843 476 000 20 | Code ape / NAF : 748K