mise en place architecture reseau et questions prealables
Le
Kevin
Bonjour,
Je suis en train de mettre en place un reseau pour une ecole.
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite
d'en mettre une troisieme). L'une des pattes donne sur le 'ternet,
l'autre vers l'ecole.
Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants
et une autre en 172.16.0.0/16 pour l'administration.
Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout
le monde a acces a l'internet.
Les machines sont des win (de 95 a 2000 et peut etre du XP).
Ma question:
J'ai peur pour les windows (partage reseau, virus, tout ca). Je souhaite
eviter que les machines etudiants puissent rentrer sur les machines de
l'administration. Avec le decoupage en deux reseaux differents,
le voisinage reseau semble ne rien montrer, c'est ok. Mais le fait que
des machines des deux reseaux partagent les memes switch m'inquiete
un peu. Au hasard: si NetBEUI est installe sur les postes, se
verront ils? (Et le cas echeant, un virus/ver/troyen) Et meme si
NetBEUI n'est pas installe? Comment je peux faire pour separer
tout ca bien proprement? (Actuellement, tout est en egal-a-egal,
des que j'ai un peu de temps, je mets un controleur de domaine
sous samba.)
J'ai de tres fortes contraintes economiques, donc la, tout ce qui
n'est pas solution purement logicielle est a exclure :(
Merci
--
Kevin
Je suis en train de mettre en place un reseau pour une ecole.
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite
d'en mettre une troisieme). L'une des pattes donne sur le 'ternet,
l'autre vers l'ecole.
Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants
et une autre en 172.16.0.0/16 pour l'administration.
Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout
le monde a acces a l'internet.
Les machines sont des win (de 95 a 2000 et peut etre du XP).
Ma question:
J'ai peur pour les windows (partage reseau, virus, tout ca). Je souhaite
eviter que les machines etudiants puissent rentrer sur les machines de
l'administration. Avec le decoupage en deux reseaux differents,
le voisinage reseau semble ne rien montrer, c'est ok. Mais le fait que
des machines des deux reseaux partagent les memes switch m'inquiete
un peu. Au hasard: si NetBEUI est installe sur les postes, se
verront ils? (Et le cas echeant, un virus/ver/troyen) Et meme si
NetBEUI n'est pas installe? Comment je peux faire pour separer
tout ca bien proprement? (Actuellement, tout est en egal-a-egal,
des que j'ai un peu de temps, je mets un controleur de domaine
sous samba.)
J'ai de tres fortes contraintes economiques, donc la, tout ce qui
n'est pas solution purement logicielle est a exclure :(
Merci
--
Kevin
Poser une question
l'administration est sur un réseau IP différent de celui des élèves, et
si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre
cette dernière sur le même réseau que l'administration, jamais les PCs
Windows ne pourront communiquer autrement qu'en IP, via ton routeur
Linux.
Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en
provenance d'un réseau de passer sur l'autre, elles ne pourront jamais
se voir (il ne faut pas que ton linux qui sera la passerelle par défaut
des deux réseaux route d'un réseau à l'autre, comme c'est à priori son
rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins
donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de
poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est
plus installé. Là, tu es bon pour du poledit sur les machines Win9x pour
les empêcher d'installer NetBEUI, parce que effectivement ça risque de
mettre tout ton plan par terre. Lui, il s'appuie directement sur la
couche physique, et pas sur la couche IP comme NetBIOS/NetBT.
--
rantamplan
le chien le plus con
de tout le cyberespace
Non.
Lorsqu'un serveur WINS est installé et utilisé par les machines du
domaine/groupe de travail, il n'y a plus de broadcast.
--
BOFH excuse #185:
system consumed all the paper for paging
Désolé, mais tant que les machines resteront sur le même reseau ethernet
(layer 2), rien n'empeche une machine de faire aussi de l'aliasing et
d'acceder aux machines de l'autre reseau.
La solution la moins chere que je peux voir est d'echanger une carte
reseau contre une carte double port, dans la mesure ou tu as ensuite des
hubs/switchs separés pour les reseaux etudiants et administration.
Ensuite les autres solutions sont de type VLAN tagging mais là, les
switchs coutent carrement plus cher.
--
Thomas Pedoussaut
Dublin IRLANDE
http://irlande.staffeurs.org/
tout con, out of ze box, avec ses petits broadcasts bien musclés, et ses
appels à la cantonade.
--
rantamplan
le chien le plus con
de tout le cyberespace
Non seulement ,amha, c'est un pari risqué que de penser que les élèves ne
pourront changer leurs adresses IP mais en plus un p'tit portable
discretement (si si!) branché à la place du PC et bingo! [1]
Kevin a *explicitement* annoncé que la machine Linux n'avait que 2 pattes,
une vers internet l'autre vers l'école et que les machines étaient connectée
au même switch! Donc tu peux faire ce que tu veux avec netfilter (iptables
est l'outils de config en mode user) il n'est pas en position de faire ce
travail ( en switché il ne devrait même pas voir les trames!).
De plus la contrainte économique forte annoncée laisse à penser que le
switch n'est pas administrable et qu'il ne peut probablement pas verrouiller
ses port sur des adresses MAC et à fortiori encore moins limiter les IP qui
y sont associées (ce n'est d'ailleurs pas son job).
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à
l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix
est devenu suffisament faible pour ne plus se faire chier, mais c'est toi
qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau
soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas
une qui fait switch!).
Si tes machines sont sur le même segment réseau tu t'expose, à mon avis,
inévitablement à des problèmes graves.
Outre que ce n'est pas le problème, NetBEUI reste dispo sur le CD et est
donc installable :(
Eric
[1] j'ai déjà vu un élève être suffisament "consciencieux" pour penser aussi
à changer l'adresse MAC de sa carte ethernet!