Bien souvent les modems, neubox, freebox,livebox, … possèdent une interface web pour les configurer.
Mais lorsque la neufbox est branché sur l’interface WAN du WRT, par défaut il est impossible d’accéder a cette interface.

Pour cela il suffit de d’ajouter quelques règles au firewall et d’ajouter une @IP sur l’interface vlan1 :

• ip addr add 192.168.1.10/24 dev vlan1
• iptables -I POSTROUTING -t nat -d 192.168.1.1 -j SNAT –to 192.168.1.10
• iptables -A FORWARD -o vlan1 -j ACCEPT
• iptables -A INPUT -i vlan1 -j ACCEPT

Dans l’exemple suivant le modem à pour Ip 192.168.1.1 et on a ajouté une @IP 192.168.1.10 sur l’interface vlan1

Explication (by gdtux) :

Le SNAT (Source NAT) modifie l’adresse de source des paquets. C’est strictement identique au MASQUERADING (la seule chose qui change est la conservation ou non des tables de masquerading lors des coupures reconnexions).

L’option –to indique la nouvelle adresse de source, ici en l’occurrence celle du WRT afin que les paquets soient redirigés vers lui en premier lorsqu’ils reviennent du modem. Le WRT qui remettra la bonne adresse de l’ancien expéditeur pour que le paquet puisse aller au bon endroit.

Fonctionnement

Le PortKnocking écoute en permanence les tentatives de connexions sur les ports concernés (portsfermés par defaut). Si une séquence est reconnue dans un laps de temps prédéfini, alors les commandes correspondantes seront exécutées, notamment des modifications des règles du firewall, mais aussi l’éxecution d’une commande quelconque.

Etablir une connexion

L’utilisateur doit venir “frapper” aux ports du serveur suivant une séquence prédéfinie qui constitue une code pour ouvrir le port au service voulu. S’il la séquence est correcte, le serveur lui ouvre le port demandé.

Installation

• apt-get install knockd

Configuration

modifier le fichier “/et/default/knockd” mettre START_KNOCKD=1 et decommenter KNOCKD_OPTS=”-i eth0″

Wiki knockd