J'ai un serveur Debian qui assure le routage entre Internet et plusieurs
r=C3=A9seaux .
J'ai des utilisateurs qui ont la possibilit=C3=A9 de se connecter =C3=A0 un=
r=C3=A9seau
Invit=C3=A9.
Quelle est la fa=C3=A7on plus "pertinente" (terme volontairement vague qui
englobe les performances, la subjective facilit=C3=A9 =C3=A0 maintenir ces =
r=C3=A8gles) de:
- leur interdire de communiquer avec les autres r=C3=A9seaux locaux,
- leur autoriser de communiquer avec Internet.
J'imagine leur d=C3=A9dier :
- soit une table de routage
- soit des r=C3=A8gles iptables
Qui a d=C3=A9j=C3=A0 r=C3=A9fl=C3=A9chi =C3=A0 la question ? Quelle solutio=
n conseillez-vous ?
<div dir=3D"ltr"><div>Bonjour,</div><div><br></div><div>J'ai un serveur=
Debian qui assure le routage entre Internet et plusieurs r=C3=A9seaux .</d=
iv><div><br></div><div>J'ai des utilisateurs qui ont la possibilit=C3=
=A9 de se connecter =C3=A0 un r=C3=A9seau Invit=C3=A9.</div><div>Quelle est=
la fa=C3=A7on plus "pertinente" (terme volontairement vague qui =
englobe les performances, la subjective facilit=C3=A9 =C3=A0 maintenir ces =
r=C3=A8gles) de:</div><div>- leur interdire de communiquer avec les autres =
r=C3=A9seaux locaux,</div><div>- leur autoriser de communiquer avec Interne=
t.</div><div><br></div><div>J'imagine leur d=C3=A9dier :</div><div>- so=
it une table de routage</div><div>- soit des r=C3=A8gles iptables</div><div=
><br></div><div>Qui a d=C3=A9j=C3=A0 r=C3=A9fl=C3=A9chi =C3=A0 la question =
? Quelle solution conseillez-vous ?</div><div></div><div><br></div><div>Slt=
s<br></div></div>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Michel OLTRA
Bonjour, Le lundi 29 avril 2019, Olivier a écrit...
- soit des règles iptables
Avec des règles iptables, j'ai utilisé ipset pour faire ce genre de choses. Il est facile d'ajouter une entrée dans une liste, ou de la supprimer. Les règles iptables (chaines) qui utilisent la liste sont aisément lisibles. Un script de sauvegarde permet de conserver ses listes après un redémarrage du serveur. -- jm
Bonjour,
Le lundi 29 avril 2019, Olivier a écrit...
- soit des règles iptables
Avec des règles iptables, j'ai utilisé ipset pour faire ce genre de choses.
Il est facile d'ajouter une entrée dans une liste, ou de la supprimer.
Les règles iptables (chaines) qui utilisent la liste sont aisément lisibles.
Un script de sauvegarde permet de conserver ses listes après un redémarrage
du serveur.
Bonjour, Le lundi 29 avril 2019, Olivier a écrit...
- soit des règles iptables
Avec des règles iptables, j'ai utilisé ipset pour faire ce genre de choses. Il est facile d'ajouter une entrée dans une liste, ou de la supprimer. Les règles iptables (chaines) qui utilisent la liste sont aisément lisibles. Un script de sauvegarde permet de conserver ses listes après un redémarrage du serveur. -- jm
Pascal Hambourg
Le 29/04/2019 à 10:55, Olivier a écrit :
J'ai un serveur Debian qui assure le routage entre Internet et plusieurs réseaux . J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau Invité. Quelle est la façon plus "pertinente" (terme volontairement vague qui englobe les performances, la subjective facilité à maintenir ces règles) de: - leur interdire de communiquer avec les autres réseaux locaux, - leur autoriser de communiquer avec Internet. J'imagine leur dédier : - soit une table de routage - soit des règles iptables Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ?
Les deux solutions sont possibles. Avec le routage avancé on peut mettre en place des tables de routage distinctes en fonction du réseau source. La table de routage du réseau invité ne contiendrait pas de routes vers les autres réseaux (seulement une route par défaut vers internet), et la table de routage des autres réseaux ne contiendrait pas de route vers le réseau invité. Néanmoins je pense que du vrai filtrage avec iptables serait plus sûr, plus lisible et plus facile à maintenir. Vu la simplicité du sujet, je ne vois pas l'intérêt d'aller chercher ipset ou pfSense.
Le 29/04/2019 à 10:55, Olivier a écrit :
J'ai un serveur Debian qui assure le routage entre Internet et plusieurs
réseaux .
J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau
Invité.
Quelle est la façon plus "pertinente" (terme volontairement vague qui
englobe les performances, la subjective facilité à maintenir ces règles) de:
- leur interdire de communiquer avec les autres réseaux locaux,
- leur autoriser de communiquer avec Internet.
J'imagine leur dédier :
- soit une table de routage
- soit des règles iptables
Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ?
Les deux solutions sont possibles.
Avec le routage avancé on peut mettre en place des tables de routage
distinctes en fonction du réseau source. La table de routage du réseau
invité ne contiendrait pas de routes vers les autres réseaux (seulement
une route par défaut vers internet), et la table de routage des autres
réseaux ne contiendrait pas de route vers le réseau invité.
Néanmoins je pense que du vrai filtrage avec iptables serait plus sûr,
plus lisible et plus facile à maintenir.
Vu la simplicité du sujet, je ne vois pas l'intérêt d'aller chercher
ipset ou pfSense.
J'ai un serveur Debian qui assure le routage entre Internet et plusieurs réseaux . J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau Invité. Quelle est la façon plus "pertinente" (terme volontairement vague qui englobe les performances, la subjective facilité à maintenir ces règles) de: - leur interdire de communiquer avec les autres réseaux locaux, - leur autoriser de communiquer avec Internet. J'imagine leur dédier : - soit une table de routage - soit des règles iptables Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ?
Les deux solutions sont possibles. Avec le routage avancé on peut mettre en place des tables de routage distinctes en fonction du réseau source. La table de routage du réseau invité ne contiendrait pas de routes vers les autres réseaux (seulement une route par défaut vers internet), et la table de routage des autres réseaux ne contiendrait pas de route vers le réseau invité. Néanmoins je pense que du vrai filtrage avec iptables serait plus sûr, plus lisible et plus facile à maintenir. Vu la simplicité du sujet, je ne vois pas l'intérêt d'aller chercher ipset ou pfSense.
