Bonjour à tous,
 
 
Je souhaiterais mettre en place sur mon réseau local un portail captif filtrant par adresses MAC.
 
En clair, les périphériques autorisés (liste blanche d'adresse MAC) auront accès à internet au sens large, sans aucune restriction. Les périphériques non autorisés (qui ne sont pas dans le liste blanche d'adresse MAC) verront toutes leurs requêtes HTTP/HTTPS redirigés vers une simple page web hébergé chez moi et toutes les autres requêtes vers l'extérieur bloqués.
Par contre, tous les périphériques auront un accès complet au réseau local.
 
 
Le but étant de pouvoir laisser une connexion Wifi ouverte pour tous qui fonctionne comme une connexion Wifi classique pour mes périphériques, mais qui bloque tout internet pour les autres tout en permettant un accès aux partages locaux (une espère de share-box).
 
 
Etat des lieux actuel :
Je dispose d'un serveur sous Nexenta (qui me sert actuellement principalement de NAS) qui gère les données sous ZFS et les partages CIFS. Le serveur a une adresse IP sur le réseau local (192.168.1.252).
Quelques machine virtuelles sous VirtualBox sur le serveur, dont une sous Ubuntu Serveur qui contient un LAMP et un Firewall (ufw/iptable). Cette machine virtuelle a une interface réseau bridged et donc une adresse IP sur le réseau local (192.168.1.250).
J'utilise la Freebox Revolution comme routeur Wifi/switch gigabit, DNS réglés sur ceux de Google. Actuellement, la zone démilitarisé renvoie sur la machine virtuelle (192.168.1.250).
 
Tous les partages CIFS sur le serveur ont des droits qui permettent un simple accès en lecture aux données, et en lecture/écriture dans un dossier d'échange, à l'utilisateur Guest. Donc de ce côté c'est OK pour une ouverture sans risque.
 
 
J'aimerais arriver à mes fins assez facilement, si possible simplement avec quelques règles Iptables et une page hébergés par mon Apache en utilisant ma machine virtuelle.
Seulement, j'ai quelques notions en réseau, mais pas suffisamment...
 
Comment faire pour que tout le trafic vers l'extérieur transite par cette machine virtuelle (pour y être filtré/redirigé) ?
Je ne sais pas si c'est possible avec la Freebox... J'ai également un D-Link DIR-825 dans un carton, mais je préfèrerais ne pas avoir à l'utiliser
Il faudrait que la passerelle sortante soit ma machine virtuelle, mais ça semble pas possible via la Freebox.
 
 
J'ai assez peu de notion avec Iptables, puis-je arriver au fonctionnement voulu simplement avec des règles Iptables ?
 
 
Merci par avance

Bonjour,
 
Permettre le trafic entrant sur un port spécifique
Pour permettre le trafic entrant sur le port 22 (traditionnellement utilisé par SSH, vous devrez indiquer à iptables tout le trafic TCP sur le port 22 de votre adaptateur réseau.  
 
# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
 
http://doc.ubuntu-fr.org/iptables