Il me semble avoir lu un jour la description du bidouillage suivant:
Un PC avec deux cartes r=E9seaux servait de routeur (c'=E9tait une
distribution Coyote Linux). On souhaitait pouvoir isoler un PC du LAN
des autres (se trouvant sur le r=E9seau 192.168.0.0) pour des raisons de
s=E9curit=E9, mais comme on l'a vu, le routeur n'a qu'une carte pour un
r=E9seau interne (soit eth1 192.168.0.1) . On attribue au PC une adresse
r=E9seau diff=E9rente (192.168.1.2 par ex), et un alias (192.168.1.1) =E0
eth1 sur le routeur.
De cette mani=E8re, le PC 192.168.1.2 serait invisible et injoignable
des autres, et r=E9ciproquement, sauf si on leur pr=E9cise une route qui
passe par le routeur, sur lequel des r=E8gles de firewall permettraient
de restreindre les acc=E8s de fa=E7on pr=E9cise. Bon, vous me direz, =E0
quoi =E7a sert ? =C0 centraliser les r=E8gles de firewall sur le seul
routeur, le PC en quarantaine =E9tant une vieille riquette sous win98
que l'installation d'un firewall/antivirus mettrait =E0 genoux.
Est-ce que ce sc=E9nario vous semble r=E9alisable, et pr=E9sente-t-il de
l'int=E9r=EAt ? =20
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
Un PC avec deux cartes réseaux servait de routeur (c'était une distribution Coyote Linux). On souhaitait pouvoir isoler un PC du LAN des autres (se trouvant sur le réseau 192.168.0.0) pour des raisons de sécurité, mais comme on l'a vu, le routeur n'a qu'une carte pour un réseau interne (soit eth1 192.168.0.1) . On attribue au PC une adresse réseau différente (192.168.1.2 par ex), et un alias (192.168.1.1) à eth1 sur le routeur.
De cette manière, le PC 192.168.1.2 serait invisible et injoignable des autres, et réciproquement,
Ah ?
sauf si on leur précise une route qui passe par le routeur,
Au hasard, la route par défaut. Ou alors une route directe vers l'autre sous-réseau sans passer par le routeur.
sur lequel des règles de firewall permettraient de restreindre les accès de façon précise. Bon, vous me direz, à quoi ça sert ? À centraliser les règles de firewall sur le seul routeur, le PC en quarantaine étant une vieille riquette sous win98 que l'installation d'un firewall/antivirus mettrait à genoux.
Et alors ? Je n'ai jamais mis d'anti-virus ni firewall sur mes machines qui sont derrière le routeur-firewall. Il suffit de ne pas faire n'importe quoi avec.
Est-ce que ce scénario vous semble réalisable, et présente-t-il de l'intérêt ?
Pour effectuer un semblant de découpage logique, pourquoi pas. Mais du point de vue de la sécurité, aucun intérêt.
Salut,
Un PC avec deux cartes réseaux servait de routeur (c'était une
distribution Coyote Linux). On souhaitait pouvoir isoler un PC du LAN
des autres (se trouvant sur le réseau 192.168.0.0) pour des raisons de
sécurité, mais comme on l'a vu, le routeur n'a qu'une carte pour un
réseau interne (soit eth1 192.168.0.1) . On attribue au PC une adresse
réseau différente (192.168.1.2 par ex), et un alias (192.168.1.1) à
eth1 sur le routeur.
De cette manière, le PC 192.168.1.2 serait invisible et injoignable
des autres, et réciproquement,
Ah ?
sauf si on leur précise une route qui passe par le routeur,
Au hasard, la route par défaut. Ou alors une route directe vers l'autre
sous-réseau sans passer par le routeur.
sur lequel des règles de firewall permettraient
de restreindre les accès de façon précise. Bon, vous me direz, à
quoi ça sert ? À centraliser les règles de firewall sur le seul
routeur, le PC en quarantaine étant une vieille riquette sous win98
que l'installation d'un firewall/antivirus mettrait à genoux.
Et alors ? Je n'ai jamais mis d'anti-virus ni firewall sur mes machines
qui sont derrière le routeur-firewall. Il suffit de ne pas faire
n'importe quoi avec.
Est-ce que ce scénario vous semble réalisable, et présente-t-il de
l'intérêt ?
Pour effectuer un semblant de découpage logique, pourquoi pas. Mais du
point de vue de la sécurité, aucun intérêt.
Un PC avec deux cartes réseaux servait de routeur (c'était une distribution Coyote Linux). On souhaitait pouvoir isoler un PC du LAN des autres (se trouvant sur le réseau 192.168.0.0) pour des raisons de sécurité, mais comme on l'a vu, le routeur n'a qu'une carte pour un réseau interne (soit eth1 192.168.0.1) . On attribue au PC une adresse réseau différente (192.168.1.2 par ex), et un alias (192.168.1.1) à eth1 sur le routeur.
De cette manière, le PC 192.168.1.2 serait invisible et injoignable des autres, et réciproquement,
Ah ?
sauf si on leur précise une route qui passe par le routeur,
Au hasard, la route par défaut. Ou alors une route directe vers l'autre sous-réseau sans passer par le routeur.
sur lequel des règles de firewall permettraient de restreindre les accès de façon précise. Bon, vous me direz, à quoi ça sert ? À centraliser les règles de firewall sur le seul routeur, le PC en quarantaine étant une vieille riquette sous win98 que l'installation d'un firewall/antivirus mettrait à genoux.
Et alors ? Je n'ai jamais mis d'anti-virus ni firewall sur mes machines qui sont derrière le routeur-firewall. Il suffit de ne pas faire n'importe quoi avec.
Est-ce que ce scénario vous semble réalisable, et présente-t-il de l'intérêt ?
Pour effectuer un semblant de découpage logique, pourquoi pas. Mais du point de vue de la sécurité, aucun intérêt.
gvdmoort
sauf si on leur précise une route qui passe par le routeur,
Au hasard, la route par défaut. Ou alors une route directe vers l'autre sous-réseau sans passer par le routeur.
Là, je me suis mal exprimé ; bien sûr la route par défaut passe par le routeur, mais on le peut le configurer pour qu'elle soit bloquée vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les autres postes (windows) peuvent avoir un accès direct sans passer par le routeur.
Je croyais que pour toute destination étrangère au réseau de l'hôte, il fallait spécifier un gateaway situé sur le même réseau. Je me trompais donc ?
Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?
sauf si on leur précise une route qui passe par le routeur,
Au hasard, la route par défaut. Ou alors une route directe vers l'autre
sous-réseau sans passer par le routeur.
Là, je me suis mal exprimé ; bien sûr la route par défaut passe par
le routeur, mais on le peut le configurer pour qu'elle soit bloquée
vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les
autres postes (windows) peuvent avoir un accès direct sans passer par
le routeur.
Je croyais que pour toute destination étrangère au réseau de
l'hôte, il fallait spécifier un gateaway situé sur le même réseau.
Je me trompais donc ?
Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?
sauf si on leur précise une route qui passe par le routeur,
Au hasard, la route par défaut. Ou alors une route directe vers l'autre sous-réseau sans passer par le routeur.
Là, je me suis mal exprimé ; bien sûr la route par défaut passe par le routeur, mais on le peut le configurer pour qu'elle soit bloquée vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les autres postes (windows) peuvent avoir un accès direct sans passer par le routeur.
Je croyais que pour toute destination étrangère au réseau de l'hôte, il fallait spécifier un gateaway situé sur le même réseau. Je me trompais donc ?
Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?
Pascal Hambourg
Là, je me suis mal exprimé ; bien sûr la route par défaut passe par le routeur, mais on le peut le configurer pour qu'elle soit bloquée vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les autres postes (windows) peuvent avoir un accès direct sans passer par le routeur.
Oui, c'est possible puisque les deux sous-réseaux IP sont dans le même réseau, la même couche de liaison.
Je croyais que pour toute destination étrangère au réseau de l'hôte, il fallait spécifier un gateaway situé sur le même réseau. Je me trompais donc ?
Et voilà, encore une victime intoxiquée par le dogme du sous-réseau. ;-) Qu'est-ce que ça veut dire, "être dans un sous-réseau" ? Essentiellement deux choses : - avoir une adresse IP dans ce sous-réseau ; - avoir une route directe vers ce sous-réseau.
Mais ces deux propriétés ne sont pas fondamentalement indissociables l'une de l'autre. On peut tout à fait ajouter des routes directes vers un autre sous-réseau sans pour autant ajouter une adresse dans celui-ci.
Pour reprendre le sujet, la destination n'est pas dans le même sous-réseau IP mais elle est bien dans le même réseau ethernet. On peut avoir autant de sous-réseaux IP qu'on veut sur le même réseau ethernet (couche de liaison), ils sont tous dans le même réseau. Ce qui fait que deux hôtes sont dans deux réseaux différents, ce n'est pas leurs sous-réseaux distincts mais l'interruption de la couche de liaison par un routeur pour aller de l'un à l'autre.
Le sous-réseau est une notion locale à l'hôte et purement arbitraire, alors que le réseau est une notion topologique. On fait seulement coller les deux dans un but pratique pour simplifier l'adressage et le routage IP.
Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?
Il suffit de dire à chaque hôte par quelle interface la destination est joignable. C'est *exactement* comme la route du sous-réseau. Sous Windows, c'est un peu particulier : les interfaces ayant des noms abscons, le plus simple est de spécifier l'adresse IP de l'interface de sortie comme passerelle. Tu parles si c'est intuitif.
Là, je me suis mal exprimé ; bien sûr la route par défaut passe par
le routeur, mais on le peut le configurer pour qu'elle soit bloquée
vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les
autres postes (windows) peuvent avoir un accès direct sans passer par
le routeur.
Oui, c'est possible puisque les deux sous-réseaux IP sont dans le même
réseau, la même couche de liaison.
Je croyais que pour toute destination étrangère au réseau de
l'hôte, il fallait spécifier un gateaway situé sur le même réseau.
Je me trompais donc ?
Et voilà, encore une victime intoxiquée par le dogme du sous-réseau. ;-)
Qu'est-ce que ça veut dire, "être dans un sous-réseau" ? Essentiellement
deux choses :
- avoir une adresse IP dans ce sous-réseau ;
- avoir une route directe vers ce sous-réseau.
Mais ces deux propriétés ne sont pas fondamentalement indissociables
l'une de l'autre. On peut tout à fait ajouter des routes directes vers
un autre sous-réseau sans pour autant ajouter une adresse dans celui-ci.
Pour reprendre le sujet, la destination n'est pas dans le même
sous-réseau IP mais elle est bien dans le même réseau ethernet. On peut
avoir autant de sous-réseaux IP qu'on veut sur le même réseau ethernet
(couche de liaison), ils sont tous dans le même réseau. Ce qui fait que
deux hôtes sont dans deux réseaux différents, ce n'est pas leurs
sous-réseaux distincts mais l'interruption de la couche de liaison par
un routeur pour aller de l'un à l'autre.
Le sous-réseau est une notion locale à l'hôte et purement arbitraire,
alors que le réseau est une notion topologique. On fait seulement coller
les deux dans un but pratique pour simplifier l'adressage et le routage IP.
Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?
Il suffit de dire à chaque hôte par quelle interface la destination est
joignable. C'est *exactement* comme la route du sous-réseau.
Sous Windows, c'est un peu particulier : les interfaces ayant des noms
abscons, le plus simple est de spécifier l'adresse IP de l'interface de
sortie comme passerelle. Tu parles si c'est intuitif.
Là, je me suis mal exprimé ; bien sûr la route par défaut passe par le routeur, mais on le peut le configurer pour qu'elle soit bloquée vers cet "autre" réseau. Ce qui m'intéresse, c'est de savoir si les autres postes (windows) peuvent avoir un accès direct sans passer par le routeur.
Oui, c'est possible puisque les deux sous-réseaux IP sont dans le même réseau, la même couche de liaison.
Je croyais que pour toute destination étrangère au réseau de l'hôte, il fallait spécifier un gateaway situé sur le même réseau. Je me trompais donc ?
Et voilà, encore une victime intoxiquée par le dogme du sous-réseau. ;-) Qu'est-ce que ça veut dire, "être dans un sous-réseau" ? Essentiellement deux choses : - avoir une adresse IP dans ce sous-réseau ; - avoir une route directe vers ce sous-réseau.
Mais ces deux propriétés ne sont pas fondamentalement indissociables l'une de l'autre. On peut tout à fait ajouter des routes directes vers un autre sous-réseau sans pour autant ajouter une adresse dans celui-ci.
Pour reprendre le sujet, la destination n'est pas dans le même sous-réseau IP mais elle est bien dans le même réseau ethernet. On peut avoir autant de sous-réseaux IP qu'on veut sur le même réseau ethernet (couche de liaison), ils sont tous dans le même réseau. Ce qui fait que deux hôtes sont dans deux réseaux différents, ce n'est pas leurs sous-réseaux distincts mais l'interruption de la couche de liaison par un routeur pour aller de l'un à l'autre.
Le sous-réseau est une notion locale à l'hôte et purement arbitraire, alors que le réseau est une notion topologique. On fait seulement coller les deux dans un but pratique pour simplifier l'adressage et le routage IP.
Comment préciser une route directe vers 192.168.1.2 sur 192.168.0.5 ?
Il suffit de dire à chaque hôte par quelle interface la destination est joignable. C'est *exactement* comme la route du sous-réseau. Sous Windows, c'est un peu particulier : les interfaces ayant des noms abscons, le plus simple est de spécifier l'adresse IP de l'interface de sortie comme passerelle. Tu parles si c'est intuitif.