Je souhaiterai savoir si il est possible sur un linsys WRT54G avec DD-WRT
derrière une freebox V5 en passerelle de filtrer toutes les connections
(filaires et wifi) par leur adresses MAC et uniquement. Pas de DHCP.
Le Sun, 14 Nov 2010 22:20:19 +0100, Erwan David a écrit:
Alpha écrivait :
Le Sun, 14 Nov 2010 21:03:05 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
je définis par exemple 3 adresses MAC enregistrées à se connecter sur le routeur. Que se soit en filaire ou en wifi. Personne d'autre.
Je ne veux pas que quelqu'un muni d'un rj45 puisse se brancher et se connecter au réseau (local ou internet)
Les communications en ethernet sur le réseau local passent directement par le switch ethernet intégré et non la partie routeur avec iptables, et je ne crois pas que le switch soit capable de faire du filtrage.
y a pas de switch !
Donc il y a une seule connexion physique possible ?
Nan, elles partent *toutes* du routeur. D'où le:
"t'as pas de baskets, tu rentres pas !"
Si la clé est à l'intérieur de la boite, comment l'ouvrir pour qui ne l'a pas ?
DOnc ton "routeur" (je soupçonne que c'est d'ailleurs une simple gateway...) a un switch intégré. Et il y a 99,9 chances sur 100 pour que la communication sur le réseau interne ne soit absolument pas controlée par ton routeur. Ou alors c'est un firmware totalement inconnu de ton WRT54G...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Alpha <pasdespammerci@free.fr> écrivait :
Le Sun, 14 Nov 2010 22:20:19 +0100, Erwan David a écrit:
Alpha <pasdespammerci@free.fr> écrivait :
Le Sun, 14 Nov 2010 21:03:05 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
je définis par exemple 3 adresses MAC enregistrées à se connecter sur
le routeur. Que se soit en filaire ou en wifi. Personne d'autre.
Je ne veux pas que quelqu'un muni d'un rj45 puisse se brancher et se
connecter au réseau (local ou internet)
Les communications en ethernet sur le réseau local passent directement
par le switch ethernet intégré et non la partie routeur avec iptables,
et je ne crois pas que le switch soit capable de faire du filtrage.
y a pas de switch !
Donc il y a une seule connexion physique possible ?
Nan, elles partent *toutes* du routeur. D'où le:
"t'as pas de baskets, tu rentres pas !"
Si la clé est à l'intérieur de la boite, comment l'ouvrir pour qui ne l'a
pas ?
DOnc ton "routeur" (je soupçonne que c'est d'ailleurs une simple
gateway...) a un switch intégré. Et il y a 99,9 chances sur 100 pour que
la communication sur le réseau interne ne soit absolument pas controlée
par ton routeur. Ou alors c'est un firmware totalement inconnu de ton
WRT54G...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Le Sun, 14 Nov 2010 22:20:19 +0100, Erwan David a écrit:
Alpha écrivait :
Le Sun, 14 Nov 2010 21:03:05 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
je définis par exemple 3 adresses MAC enregistrées à se connecter sur le routeur. Que se soit en filaire ou en wifi. Personne d'autre.
Je ne veux pas que quelqu'un muni d'un rj45 puisse se brancher et se connecter au réseau (local ou internet)
Les communications en ethernet sur le réseau local passent directement par le switch ethernet intégré et non la partie routeur avec iptables, et je ne crois pas que le switch soit capable de faire du filtrage.
y a pas de switch !
Donc il y a une seule connexion physique possible ?
Nan, elles partent *toutes* du routeur. D'où le:
"t'as pas de baskets, tu rentres pas !"
Si la clé est à l'intérieur de la boite, comment l'ouvrir pour qui ne l'a pas ?
DOnc ton "routeur" (je soupçonne que c'est d'ailleurs une simple gateway...) a un switch intégré. Et il y a 99,9 chances sur 100 pour que la communication sur le réseau interne ne soit absolument pas controlée par ton routeur. Ou alors c'est un firmware totalement inconnu de ton WRT54G...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Alpha
Le Sun, 14 Nov 2010 22:39:07 +0100, Erwan David a écrit:
Alpha écrivait :
Le Sun, 14 Nov 2010 22:20:19 +0100, Erwan David a écrit:
Alpha écrivait :
Le Sun, 14 Nov 2010 21:03:05 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
je définis par exemple 3 adresses MAC enregistrées à se connecter sur le routeur. Que se soit en filaire ou en wifi. Personne d'autre.
Je ne veux pas que quelqu'un muni d'un rj45 puisse se brancher et se connecter au réseau (local ou internet)
Les communications en ethernet sur le réseau local passent directement par le switch ethernet intégré et non la partie routeur avec iptables, et je ne crois pas que le switch soit capable de faire du filtrage.
y a pas de switch !
Donc il y a une seule connexion physique possible ?
Nan, elles partent *toutes* du routeur. D'où le:
"t'as pas de baskets, tu rentres pas !"
Si la clé est à l'intérieur de la boite, comment l'ouvrir pour qui ne l'a pas ?
DOnc ton "routeur" (je soupçonne que c'est d'ailleurs une simple gateway...) a un switch intégré. Et il y a 99,9 chances sur 100 pour que la communication sur le réseau interne ne soit absolument pas controlée par ton routeur. Ou alors c'est un firmware totalement inconnu de ton WRT54G...
Il semblerai que ce soit un gateway. Concernant le firmware, c'est, et c'est dans l'objet, DD-wrt.
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que quelques MAc au détriment de *toutes* les autres ?
Encore MERCI, pour vos participations à mon éducation ;)
Le Sun, 14 Nov 2010 22:39:07 +0100, Erwan David a écrit:
Alpha <pasdespammerci@free.fr> écrivait :
Le Sun, 14 Nov 2010 22:20:19 +0100, Erwan David a écrit:
Alpha <pasdespammerci@free.fr> écrivait :
Le Sun, 14 Nov 2010 21:03:05 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
je définis par exemple 3 adresses MAC enregistrées à se connecter
sur le routeur. Que se soit en filaire ou en wifi. Personne
d'autre.
Je ne veux pas que quelqu'un muni d'un rj45 puisse se brancher et
se connecter au réseau (local ou internet)
Les communications en ethernet sur le réseau local passent
directement par le switch ethernet intégré et non la partie routeur
avec iptables, et je ne crois pas que le switch soit capable de
faire du filtrage.
y a pas de switch !
Donc il y a une seule connexion physique possible ?
Nan, elles partent *toutes* du routeur. D'où le:
"t'as pas de baskets, tu rentres pas !"
Si la clé est à l'intérieur de la boite, comment l'ouvrir pour qui ne
l'a pas ?
DOnc ton "routeur" (je soupçonne que c'est d'ailleurs une simple
gateway...) a un switch intégré. Et il y a 99,9 chances sur 100 pour que
la communication sur le réseau interne ne soit absolument pas controlée
par ton routeur. Ou alors c'est un firmware totalement inconnu de ton
WRT54G...
Le Sun, 14 Nov 2010 22:39:07 +0100, Erwan David a écrit:
Alpha écrivait :
Le Sun, 14 Nov 2010 22:20:19 +0100, Erwan David a écrit:
Alpha écrivait :
Le Sun, 14 Nov 2010 21:03:05 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
je définis par exemple 3 adresses MAC enregistrées à se connecter sur le routeur. Que se soit en filaire ou en wifi. Personne d'autre.
Je ne veux pas que quelqu'un muni d'un rj45 puisse se brancher et se connecter au réseau (local ou internet)
Les communications en ethernet sur le réseau local passent directement par le switch ethernet intégré et non la partie routeur avec iptables, et je ne crois pas que le switch soit capable de faire du filtrage.
y a pas de switch !
Donc il y a une seule connexion physique possible ?
Nan, elles partent *toutes* du routeur. D'où le:
"t'as pas de baskets, tu rentres pas !"
Si la clé est à l'intérieur de la boite, comment l'ouvrir pour qui ne l'a pas ?
DOnc ton "routeur" (je soupçonne que c'est d'ailleurs une simple gateway...) a un switch intégré. Et il y a 99,9 chances sur 100 pour que la communication sur le réseau interne ne soit absolument pas controlée par ton routeur. Ou alors c'est un firmware totalement inconnu de ton WRT54G...
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Alpha
Les ports LAN du WRT54G correspondent à un switch intégré, connecté à la partie routeur par un port interne.
Justement ! c'est ce qui m'intéresse ! Que le switch passe *après* le routeur, qui *lui* manage les connections.
Erwan, c'est si dur que cela de comprendre (rien de personnel, juste peur de mal m'exprimer) que le routeur (avec toutes ses protections) n'autorise que les adresses Mac en *sa* possession, *que* les appareils dument répertoriés ?
Les ports LAN du WRT54G correspondent à un switch intégré, connecté à la
partie routeur par un port interne.
Justement ! c'est ce qui m'intéresse ! Que le switch passe *après* le
routeur, qui *lui* manage les connections.
Erwan, c'est si dur que cela de comprendre (rien de personnel, juste peur
de mal m'exprimer) que le routeur (avec toutes ses protections)
n'autorise que les adresses Mac en *sa* possession, *que* les appareils
dument répertoriés ?
Les ports LAN du WRT54G correspondent à un switch intégré, connecté à la partie routeur par un port interne.
Justement ! c'est ce qui m'intéresse ! Que le switch passe *après* le routeur, qui *lui* manage les connections.
Erwan, c'est si dur que cela de comprendre (rien de personnel, juste peur de mal m'exprimer) que le routeur (avec toutes ses protections) n'autorise que les adresses Mac en *sa* possession, *que* les appareils dument répertoriés ?
Alpha
Le Sun, 14 Nov 2010 22:58:17 +0100, Erwan David a écrit:
Alpha écrivait :
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
A se connecter sur ce routeur*. (toi tu rentre pas, toi tu rentres) que se soit en filaire, ou autre...
*routeur= internet ou réseau local. En bref *toi* tu rentres parce que *autorisé*, toi, *non* parce que *pas* autorisé
Le Sun, 14 Nov 2010 22:58:17 +0100, Erwan David a écrit:
Alpha <pasdespammerci@free.fr> écrivait :
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que
quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
A se connecter sur ce routeur*. (toi tu rentre pas, toi tu rentres) que
se soit en filaire, ou autre...
*routeur= internet ou réseau local. En bref *toi* tu rentres parce que
*autorisé*, toi, *non* parce que *pas* autorisé
Le Sun, 14 Nov 2010 22:58:17 +0100, Erwan David a écrit:
Alpha écrivait :
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
A se connecter sur ce routeur*. (toi tu rentre pas, toi tu rentres) que se soit en filaire, ou autre...
*routeur= internet ou réseau local. En bref *toi* tu rentres parce que *autorisé*, toi, *non* parce que *pas* autorisé
Erwan David
Alpha écrivait :
Le Sun, 14 Nov 2010 22:58:17 +0100, Erwan David a écrit:
Alpha écrivait :
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
A se connecter sur ce routeur*. (toi tu rentre pas, toi tu rentres) que se soit en filaire, ou autre...
*routeur= internet ou réseau local. En bref *toi* tu rentres parce que *autorisé*, toi, *non* parce que *pas* autorisé
La partie *routeur* ne s'occupe *pas* du switch interne. Si tu veux controler ça au niveau du switch, il va te falloir du 802.1x et ça va couter beaucoup plus cher...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Alpha <pasdespammerci@free.fr> écrivait :
Le Sun, 14 Nov 2010 22:58:17 +0100, Erwan David a écrit:
Alpha <pasdespammerci@free.fr> écrivait :
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que
quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
A se connecter sur ce routeur*. (toi tu rentre pas, toi tu rentres) que
se soit en filaire, ou autre...
*routeur= internet ou réseau local. En bref *toi* tu rentres parce que
*autorisé*, toi, *non* parce que *pas* autorisé
La partie *routeur* ne s'occupe *pas* du switch interne. Si tu veux
controler ça au niveau du switch, il va te falloir du 802.1x et ça va
couter beaucoup plus cher...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Le Sun, 14 Nov 2010 22:58:17 +0100, Erwan David a écrit:
Alpha écrivait :
Donc, si on récapitule:
Es-ce possible, avec ce routeur et ce firmware, de *n'autoriser* que quelques MAc au détriment de *toutes* les autres ?
de n'autoriser *à quoi* ?
A se connecter sur ce routeur*. (toi tu rentre pas, toi tu rentres) que se soit en filaire, ou autre...
*routeur= internet ou réseau local. En bref *toi* tu rentres parce que *autorisé*, toi, *non* parce que *pas* autorisé
La partie *routeur* ne s'occupe *pas* du switch interne. Si tu veux controler ça au niveau du switch, il va te falloir du 802.1x et ça va couter beaucoup plus cher...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Alpha
Le Mon, 15 Nov 2010 10:16:56 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
Les ports LAN du WRT54G correspondent à un switch intégré, connecté à la partie routeur par un port interne.
Justement ! c'est ce qui m'intéresse ! Que le switch passe *après* le routeur, qui *lui* manage les connections.
Ça ne va pas être facile, car le switch est physiquement avant le routeur.
Le switch intégré gère les VLAN (c'est d'ailleurs comme ça qu'il isole d'un côté le port WAN et de l'autre côté les ports LAN). Pour faire ce que tu demandes, il faudrait (je ne dis pas comment car je l'ignore, je dis seulement quoi) :
1) Reconfigurer le switch intégré pour isoler chaque port LAN dans un VLAN séparé.
2) Créer les interfaces VLAN associées à chaque port sur l'interface ethernet interne du routeur.
3) Associer ces interfaces VLAN au pont ethernet du LAN, comme l'est déjà l'interface wifi.
Le but de ces trois étapes est de remplacer la commutation matérielle du switch par un pontage logiciel sous le contrôle du firmware.
4a) Créer des règles ebtables pour filtrer les trames en fonction de leur adresse MAC source sur le pont. Cela suppose qu'ebtables est installé et supporté par le noyau (CONFIG_BRIDGE_NF_EBTABLES=y ou m).
4b) Ou bien créer des règles iptables pour filtrer les trames en fonction de leur adresse MAC source sur le pont. Cela suppose que le support de bridge-nf est activé dans le noyau (CONFIG_BRIDGE_NETFILTER=y).
Bon courage.
ok, merci beaucoup, Pascal, d'avoir pris le temps de m'expliquer.
Le Mon, 15 Nov 2010 10:16:56 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
Les ports LAN du WRT54G correspondent à un switch intégré, connecté à
la partie routeur par un port interne.
Justement ! c'est ce qui m'intéresse ! Que le switch passe *après* le
routeur, qui *lui* manage les connections.
Ça ne va pas être facile, car le switch est physiquement avant le
routeur.
Le switch intégré gère les VLAN (c'est d'ailleurs comme ça qu'il isole
d'un côté le port WAN et de l'autre côté les ports LAN). Pour faire ce
que tu demandes, il faudrait (je ne dis pas comment car je l'ignore, je
dis seulement quoi) :
1) Reconfigurer le switch intégré pour isoler chaque port LAN dans un
VLAN séparé.
2) Créer les interfaces VLAN associées à chaque port sur l'interface
ethernet interne du routeur.
3) Associer ces interfaces VLAN au pont ethernet du LAN, comme l'est
déjà l'interface wifi.
Le but de ces trois étapes est de remplacer la commutation matérielle du
switch par un pontage logiciel sous le contrôle du firmware.
4a) Créer des règles ebtables pour filtrer les trames en fonction de
leur adresse MAC source sur le pont. Cela suppose qu'ebtables est
installé et supporté par le noyau (CONFIG_BRIDGE_NF_EBTABLES=y ou m).
4b) Ou bien créer des règles iptables pour filtrer les trames en
fonction de leur adresse MAC source sur le pont. Cela suppose que le
support de bridge-nf est activé dans le noyau
(CONFIG_BRIDGE_NETFILTER=y).
Bon courage.
ok, merci beaucoup, Pascal, d'avoir pris le temps de m'expliquer.
Le Mon, 15 Nov 2010 10:16:56 +0100, Pascal Hambourg a écrit:
Alpha a écrit :
Les ports LAN du WRT54G correspondent à un switch intégré, connecté à la partie routeur par un port interne.
Justement ! c'est ce qui m'intéresse ! Que le switch passe *après* le routeur, qui *lui* manage les connections.
Ça ne va pas être facile, car le switch est physiquement avant le routeur.
Le switch intégré gère les VLAN (c'est d'ailleurs comme ça qu'il isole d'un côté le port WAN et de l'autre côté les ports LAN). Pour faire ce que tu demandes, il faudrait (je ne dis pas comment car je l'ignore, je dis seulement quoi) :
1) Reconfigurer le switch intégré pour isoler chaque port LAN dans un VLAN séparé.
2) Créer les interfaces VLAN associées à chaque port sur l'interface ethernet interne du routeur.
3) Associer ces interfaces VLAN au pont ethernet du LAN, comme l'est déjà l'interface wifi.
Le but de ces trois étapes est de remplacer la commutation matérielle du switch par un pontage logiciel sous le contrôle du firmware.
4a) Créer des règles ebtables pour filtrer les trames en fonction de leur adresse MAC source sur le pont. Cela suppose qu'ebtables est installé et supporté par le noyau (CONFIG_BRIDGE_NF_EBTABLES=y ou m).
4b) Ou bien créer des règles iptables pour filtrer les trames en fonction de leur adresse MAC source sur le pont. Cela suppose que le support de bridge-nf est activé dans le noyau (CONFIG_BRIDGE_NETFILTER=y).
Bon courage.
ok, merci beaucoup, Pascal, d'avoir pris le temps de m'expliquer.
Alpha
La partie *routeur* ne s'occupe *pas* du switch interne. Si tu veux controler ça au niveau du switch, il va te falloir du 802.1x et ça va couter beaucoup plus cher...
Merci beaucoup, Erwan. Pascal, un peu plus haut, à pris le soin d'expliquer pourquoi ce n'est pas simple à mettre en place.
Quoi qu'il en soit, je vous remercie pour toutes vos explications, et contributions de qualité.
La partie *routeur* ne s'occupe *pas* du switch interne. Si tu veux
controler ça au niveau du switch, il va te falloir du 802.1x et ça va
couter beaucoup plus cher...
Merci beaucoup, Erwan. Pascal, un peu plus haut, à pris le soin
d'expliquer pourquoi ce n'est pas simple à mettre en place.
Quoi qu'il en soit, je vous remercie pour toutes vos explications, et
contributions de qualité.
La partie *routeur* ne s'occupe *pas* du switch interne. Si tu veux controler ça au niveau du switch, il va te falloir du 802.1x et ça va couter beaucoup plus cher...
Merci beaucoup, Erwan. Pascal, un peu plus haut, à pris le soin d'expliquer pourquoi ce n'est pas simple à mettre en place.
Quoi qu'il en soit, je vous remercie pour toutes vos explications, et contributions de qualité.
Jo Kerr
Nicolas George avait soumis l'idée :
Il ne change rien sur le routeur, il change l'adresse MAC de l'interface réseau de son ordinateur à lui, en mettant une des adresses MAC autorisées.
Et comment il connait les adresses MAC autorisées ? En se conncetant sur le routeur ? C'est publié dans un journal ?
-- In gold we trust (c)
Nicolas George avait soumis l'idée :
Il ne change rien sur le routeur, il change l'adresse MAC de l'interface
réseau de son ordinateur à lui, en mettant une des adresses MAC autorisées.
Et comment il connait les adresses MAC autorisées ?
En se conncetant sur le routeur ? C'est publié dans un journal ?
