2 réseaux sur un seul réseau physique

Le
gvdmoort
Bonjour tous,

Il me semble avoir lu un jour la description du bidouillage suivant:

Un PC avec deux cartes rseaux servait de routeur (c'tait une
distribution Coyote Linux). On souhaitait pouvoir isoler un PC du LAN
des autres (se trouvant sur le rseau 192.168.0.0) pour des raisons de
scurit, mais comme on l'a vu, le routeur n'a qu'une carte pour un
rseau interne (soit eth1 192.168.0.1) . On attribue au PC une adresse
rseau diffrente (192.168.1.2 par ex), et un alias (192.168.1.1)
eth1 sur le routeur.

De cette manire, le PC 192.168.1.2 serait invisible et injoignable
des autres, et rciproquement, sauf si on leur prcise une route qui
passe par le routeur, sur lequel des rgles de firewall permettraient
de restreindre les accs de faon prcise. Bon, vous me direz,
quoi a sert ? centraliser les rgles de firewall sur le seul
routeur, le PC en quarantaine tant une vieille riquette sous win98
que l'installation d'un firewall/antivirus mettrait genoux.

Est-ce que ce scnario vous semble ralisable, et prsente-t-il de
l'intrt ?

Merci pour tout avis clair,

Gvdmoort
Vos réponses
Trier par : date / pertinence
Pascal Hambourg
Le #820289
Salut,


Un PC avec deux cartes réseaux servait de routeur (c'était une
distribution Coyote Linux). On souhaitait pouvoir isoler un PC du LAN
des autres (se trouvant sur le réseau 192.168.0.0) pour des raisons de
sécurité, mais comme on l'a vu, le routeur n'a qu'une carte pour un
réseau interne (soit eth1 192.168.0.1) . On attribue au PC une adresse
réseau différente (192.168.1.2 par ex), et un alias (192.168.1.1) à
eth1 sur le routeur.

De cette manière, le PC 192.168.1.2 serait invisible et injoignable
des autres, et réciproquement,


Ah ?

sauf si on leur précise une route qui passe par le routeur,


Au hasard, la route par défaut. Ou alors une route directe vers l'autre
sous-réseau sans passer par le routeur.

sur lequel des règles de firewall permettraient
de restreindre les accès de façon précise. Bon, vous me direz, à
quoi ça sert ? À centraliser les règles de firewall sur le seul
routeur, le PC en quarantaine étant une vieille riquette sous win98
que l'installation d'un firewall/antivirus mettrait à genoux.


Et alors ? Je n'ai jamais mis d'anti-virus ni firewall sur mes machines
qui sont derrière le routeur-firewall. Il suffit de ne pas faire
n'importe quoi avec.

Est-ce que ce scénario vous semble réalisable, et présente-t-il de
l'intérêt ?


Pour effectuer un semblant de découpage logique, pourquoi pas. Mais du
point de vue de la sécurité, aucun intérêt.

gvdmoort
Le #820288
sauf si on leur précise une route qui passe par le routeur,


Au hasard, la route par défaut. Ou alors une route directe vers l'autre
sous-réseau sans passer par le routeur.


Là, je me suis mal exprimé ; bien sûr la route par défaut passe par
le routeur, mais on le peut le configurer pour qu'elle soit bloquée
vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les
autres postes (windows) peuvent avoir un accès direct sans passer par
le routeur.

Je croyais que pour toute destination étrangère au réseau de
l'hôte, il fallait spécifier un gateaway situé sur le même réseau.
Je me trompais donc ?

Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?


Pascal Hambourg
Le #820287

Là, je me suis mal exprimé ; bien sûr la route par défaut passe par
le routeur, mais on le peut le configurer pour qu'elle soit bloquée
vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les
autres postes (windows) peuvent avoir un accès direct sans passer par
le routeur.


Oui, c'est possible puisque les deux sous-réseaux IP sont dans le même
réseau, la même couche de liaison.

Je croyais que pour toute destination étrangère au réseau de
l'hôte, il fallait spécifier un gateaway situé sur le même réseau.
Je me trompais donc ?


Et voilà, encore une victime intoxiquée par le dogme du sous-réseau. ;-)
Qu'est-ce que ça veut dire, "être dans un sous-réseau" ? Essentiellement
deux choses :
- avoir une adresse IP dans ce sous-réseau ;
- avoir une route directe vers ce sous-réseau.

Mais ces deux propriétés ne sont pas fondamentalement indissociables
l'une de l'autre. On peut tout à fait ajouter des routes directes vers
un autre sous-réseau sans pour autant ajouter une adresse dans celui-ci.

Pour reprendre le sujet, la destination n'est pas dans le même
sous-réseau IP mais elle est bien dans le même réseau ethernet. On peut
avoir autant de sous-réseaux IP qu'on veut sur le même réseau ethernet
(couche de liaison), ils sont tous dans le même réseau. Ce qui fait que
deux hôtes sont dans deux réseaux différents, ce n'est pas leurs
sous-réseaux distincts mais l'interruption de la couche de liaison par
un routeur pour aller de l'un à l'autre.

Le sous-réseau est une notion locale à l'hôte et purement arbitraire,
alors que le réseau est une notion topologique. On fait seulement coller
les deux dans un but pratique pour simplifier l'adressage et le routage IP.

Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?


Il suffit de dire à chaque hôte par quelle interface la destination est
joignable. C'est *exactement* comme la route du sous-réseau.
Sous Windows, c'est un peu particulier : les interfaces ayant des noms
abscons, le plus simple est de spécifier l'adresse IP de l'interface de
sortie comme passerelle. Tu parles si c'est intuitif.

Publicité
Poster une réponse
Anonyme