11 – Configuration réseau du routeur firewall

Notre nouvelle machine virtuelle fw001 est en ligne. Nous pouvons y accéder en console depuis l’hyperviseur avec la commande

virsh console fw001

Nous pouvons quitter la console avec ctrl + ] et si jamais vous avez un message qui vous dit que la console est déjà utilisée il suffit de relancer libvirtd et de vous reconnecter.

systemctl restart libvirtd.service

Mais il est quand même plus simple de se connecter en ssh.

Notre objectif est de faire de cette machine virtuelle un routeur pare feu qui sera capable de donner accès à internet aux machines virtuelles connectées au réseau d’admin et de distribuer des ips sur ce même réseau d’admin.

Pour le moment nous n’avons qu’une seule interface. L’interface wan. Il va falloir ajouter une interface réseau sur le réseau d’admin.

Depuis l’hyperviseur on attache une interface à la machine virtuelle fw001 qui sera connectée au réseau admin et qui sera du type virtio. On veut que cette configuration soit persistante.

virsh attach-interface fw001 network admin --model virtio --persistent

Avant :

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
3: ens2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:c6:cf:d0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.16/24 brd 192.168.0.255 scope global ens2
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fec6:cfd0/64 scope link 
       valid_lft forever preferred_lft forever

après

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
3: ens2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:c6:cf:d0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.16/24 brd 192.168.0.255 scope global ens2
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fec6:cfd0/64 scope link 
       valid_lft forever preferred_lft forever
4: ens7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 52:54:00:2c:9a:2d brd ff:ff:ff:ff:ff:ff

Nous avons donc une nouvelle interface ens7 à qui nous allons donner une adresse ip : 192.168.110.254 que nous devrions pouvoir atteindre depuis notre hyperviseur. Et vice versa.

Dans le répertoire /etc/network/interfaces.d créez un fichier admin dans lequel vous mettrez la configuration suivante :

auto ens7
iface ens7 inet static
	address 192.168.110.254
	netmask 255.255.255.0

Vérifiez bien que le réseau (192.168.110.0) est bien celui que vous avez configuré sur votre hyperviseur et que l’interface est bien la bonne.

Maintenant nous devrions pouvoir pinger l’ip de l’hyperviseur. Pour moi c’est 192.168.110.10.

root@fw001:/etc/network# ip addr show ens7
3: ens7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:5f:db:54 brd ff:ff:ff:ff:ff:ff
    inet 192.168.110.254/24 brd 192.168.110.255 scope global ens7
       valid_lft forever preferred_lft forever
root@hv010:~# ip addr show admin 
5: admin: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether e0:d5:5e:14:d5:f1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.110.10/24 brd 192.168.110.255 scope global admin
       valid_lft forever preferred_lft forever

Depuis le firewall :

root@fw001:/etc/network# ping -c 1 192.168.110.10
PING 192.168.110.10 (192.168.110.10) 56(84) bytes of data.
64 bytes from 192.168.110.10: icmp_seq=1 ttl=64 time=0.248 ms

--- 192.168.110.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.248/0.248/0.248/0.000 ms

depuis l’hyperviseur

root@hv010:~# ping -c 1 192.168.110.254
PING 192.168.110.254 (192.168.110.254) 56(84) bytes of data.
64 bytes from 192.168.110.254: icmp_seq=1 ttl=64 time=0.266 ms

--- 192.168.110.254 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.266/0.266/0.266/0.000 ms

On est donc tout bon. On peut passer à la suite.

Installation d’un dhcp et de quelques règles de firewall avec nftables.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *