Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3
salles différentes avec chacun une dizaine de postes.
Est-il possible de spécifier que tous les postes situés derrière le switch
n°2 par ex. ne peuvent se connecter à internet ?
En effet, comme les adresses sont allouées dynamiquement on ne peut pas
spécifier à l'avance lesquelles sont autorisées à aller sur le web, non ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On Thu, 2 Sep 2004 18:02:21 +0200, Teo wrote:
Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3 salles différentes avec chacun une dizaine de postes. Est-il possible de spécifier que tous les postes situés derrière le switch n°2 par ex. ne peuvent se connecter à internet ?
Plusieurs options: - le switch supporte des fonctions "niveau 3" ou "niveau 4", et on effectue un filtrage sur le switch des adresses IP qui ne sont pas dans le LAN - on raccorde ce switch-là sur une interface différente du routeur, on met les postes correspondants dans un autre réseau IP, et on ne lui donne pas accès à Internet au niveau du routeur - suivant l'architecture, si le ou les switches supportent des VLANs, la même chose en plus "fin".
En effet, comme les adresses sont allouées dynamiquement on ne peut pas spécifier à l'avance lesquelles sont autorisées à aller sur le web, non ?
Non, et ce serait totalement illusoire que de se baser sur des adresses IP attribuées en DHCP.
Notons que comment tout ça n'a finalement pas grand rapport avec Ethernet, il conviendrait de poursuivre la discussion sur fr.comp.reseaux.ip, le cas échéant.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Thu, 2 Sep 2004 18:02:21 +0200, Teo <nospam@nospam.com> wrote:
Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3
salles différentes avec chacun une dizaine de postes.
Est-il possible de spécifier que tous les postes situés derrière le
switch n°2 par ex. ne peuvent se connecter à internet ?
Plusieurs options:
- le switch supporte des fonctions "niveau 3" ou "niveau 4", et on
effectue un filtrage sur le switch des adresses IP qui ne sont pas dans le
LAN
- on raccorde ce switch-là sur une interface différente du routeur, on met
les postes correspondants dans un autre réseau IP, et on ne lui donne pas
accès à Internet au niveau du routeur
- suivant l'architecture, si le ou les switches supportent des VLANs, la
même chose en plus "fin".
En effet, comme les adresses sont allouées dynamiquement on ne peut pas
spécifier à l'avance lesquelles sont autorisées à aller sur le web, non ?
Non, et ce serait totalement illusoire que de se baser sur des adresses IP
attribuées en DHCP.
Notons que comment tout ça n'a finalement pas grand rapport avec Ethernet,
il conviendrait de poursuivre la discussion sur fr.comp.reseaux.ip, le cas
échéant.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3 salles différentes avec chacun une dizaine de postes. Est-il possible de spécifier que tous les postes situés derrière le switch n°2 par ex. ne peuvent se connecter à internet ?
Plusieurs options: - le switch supporte des fonctions "niveau 3" ou "niveau 4", et on effectue un filtrage sur le switch des adresses IP qui ne sont pas dans le LAN - on raccorde ce switch-là sur une interface différente du routeur, on met les postes correspondants dans un autre réseau IP, et on ne lui donne pas accès à Internet au niveau du routeur - suivant l'architecture, si le ou les switches supportent des VLANs, la même chose en plus "fin".
En effet, comme les adresses sont allouées dynamiquement on ne peut pas spécifier à l'avance lesquelles sont autorisées à aller sur le web, non ?
Non, et ce serait totalement illusoire que de se baser sur des adresses IP attribuées en DHCP.
Notons que comment tout ça n'a finalement pas grand rapport avec Ethernet, il conviendrait de poursuivre la discussion sur fr.comp.reseaux.ip, le cas échéant.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Annie D.
Jacques Caron wrote:
Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3 salles différentes avec chacun une dizaine de postes. Est-il possible de spécifier que tous les postes situés derrière le switch n°2 par ex. ne peuvent se connecter à internet ?
Plusieurs options: [...]
<Mode "je n'y connais rien mais j'ai une idée"> Est-il possible qu'un switch un minimum évolué soit capable de faire du filtrage au niveau MAC afin de bloquer les trames contenant l'adresse MAC du routeur internet sur un port donné ?
Notons que comment tout ça n'a finalement pas grand rapport avec Ethernet, il conviendrait de poursuivre la discussion sur fr.comp.reseaux.ip, le cas échéant.
Ma question concerne ethernet, donc on reste ici.
Jacques Caron wrote:
Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3
salles différentes avec chacun une dizaine de postes.
Est-il possible de spécifier que tous les postes situés derrière le
switch n°2 par ex. ne peuvent se connecter à internet ?
Plusieurs options:
[...]
<Mode "je n'y connais rien mais j'ai une idée">
Est-il possible qu'un switch un minimum évolué soit capable de faire du
filtrage au niveau MAC afin de bloquer les trames contenant l'adresse
MAC du routeur internet sur un port donné ?
Notons que comment tout ça n'a finalement pas grand rapport avec
Ethernet, il conviendrait de poursuivre la discussion sur
fr.comp.reseaux.ip, le cas échéant.
Sur un réseau avec un DHCP et un routeur internet, et 3 switchs dans 3 salles différentes avec chacun une dizaine de postes. Est-il possible de spécifier que tous les postes situés derrière le switch n°2 par ex. ne peuvent se connecter à internet ?
Plusieurs options: [...]
<Mode "je n'y connais rien mais j'ai une idée"> Est-il possible qu'un switch un minimum évolué soit capable de faire du filtrage au niveau MAC afin de bloquer les trames contenant l'adresse MAC du routeur internet sur un port donné ?
Notons que comment tout ça n'a finalement pas grand rapport avec Ethernet, il conviendrait de poursuivre la discussion sur fr.comp.reseaux.ip, le cas échéant.
Ma question concerne ethernet, donc on reste ici.
Jacques Caron
Salut,
On Thu, 02 Sep 2004 19:16:09 +0100, Annie D. wrote:
Est-il possible qu'un switch un minimum évolué soit capable de faire du filtrage au niveau MAC afin de bloquer les trames contenant l'adresse MAC du routeur internet sur un port donné ?
Effectivement, ça devrait le faire. Mais il faut déjà un switch manageable pour le faire, alors tant qu'on y est, autant séparer en VLANs, ça réduit les risques.
Ah, et un autre problème éventuel: si c'est le routeur qui joue le rôle de serveur DHCP, évidemment, ça ne marchera point :-(
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Thu, 02 Sep 2004 19:16:09 +0100, Annie D. <annie.demur@free.fr> wrote:
Est-il possible qu'un switch un minimum évolué soit capable de faire du
filtrage au niveau MAC afin de bloquer les trames contenant l'adresse
MAC du routeur internet sur un port donné ?
Effectivement, ça devrait le faire. Mais il faut déjà un switch manageable
pour le faire, alors tant qu'on y est, autant séparer en VLANs, ça réduit
les risques.
Ah, et un autre problème éventuel: si c'est le routeur qui joue le rôle de
serveur DHCP, évidemment, ça ne marchera point :-(
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Thu, 02 Sep 2004 19:16:09 +0100, Annie D. wrote:
Est-il possible qu'un switch un minimum évolué soit capable de faire du filtrage au niveau MAC afin de bloquer les trames contenant l'adresse MAC du routeur internet sur un port donné ?
Effectivement, ça devrait le faire. Mais il faut déjà un switch manageable pour le faire, alors tant qu'on y est, autant séparer en VLANs, ça réduit les risques.
Ah, et un autre problème éventuel: si c'est le routeur qui joue le rôle de serveur DHCP, évidemment, ça ne marchera point :-(
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Annie D.
Jacques Caron wrote:
Est-il possible qu'un switch un minimum évolué soit capable de faire du filtrage au niveau MAC afin de bloquer les trames contenant l'adresse MAC du routeur internet sur un port donné ?
Effectivement, ça devrait le faire. Mais il faut déjà un switch manageable pour le faire, alors tant qu'on y est, autant séparer en VLANs, ça réduit les risques.
Mais ça devient coton de faire communiquer les machines des différents VLAN entre elles (surtout s'il y a des protocoles friands de broadcasts dans le tas, suivez mon regard), non ?
Ah, et un autre problème éventuel: si c'est le routeur qui joue le rôle de serveur DHCP, évidemment, ça ne marchera point :-(
Rhazut, j'n'avions point pensé à ça...
Jacques Caron wrote:
Est-il possible qu'un switch un minimum évolué soit capable de faire du
filtrage au niveau MAC afin de bloquer les trames contenant l'adresse
MAC du routeur internet sur un port donné ?
Effectivement, ça devrait le faire. Mais il faut déjà un switch manageable
pour le faire, alors tant qu'on y est, autant séparer en VLANs, ça réduit
les risques.
Mais ça devient coton de faire communiquer les machines des différents
VLAN entre elles (surtout s'il y a des protocoles friands de broadcasts
dans le tas, suivez mon regard), non ?
Ah, et un autre problème éventuel: si c'est le routeur qui joue le rôle de
serveur DHCP, évidemment, ça ne marchera point :-(
Est-il possible qu'un switch un minimum évolué soit capable de faire du filtrage au niveau MAC afin de bloquer les trames contenant l'adresse MAC du routeur internet sur un port donné ?
Effectivement, ça devrait le faire. Mais il faut déjà un switch manageable pour le faire, alors tant qu'on y est, autant séparer en VLANs, ça réduit les risques.
Mais ça devient coton de faire communiquer les machines des différents VLAN entre elles (surtout s'il y a des protocoles friands de broadcasts dans le tas, suivez mon regard), non ?
Ah, et un autre problème éventuel: si c'est le routeur qui joue le rôle de serveur DHCP, évidemment, ça ne marchera point :-(
Rhazut, j'n'avions point pensé à ça...
Jacques Caron
On Thu, 02 Sep 2004 21:07:04 +0200, Annie D. wrote:
Mais ça devient coton de faire communiquer les machines des différents VLAN entre elles (surtout s'il y a des protocoles friands de broadcasts dans le tas, suivez mon regard), non ?
Coton, coton... Il faut un routeur qui route. Evidemment pour les protocoles qui aiment le broadcast, il faudra soit les retransmettre, soit passer à autre chose (un serveur WINS si je suis le regard, a priori).
Mais en général quand on donne des droits différents à différentes parties du réseau, ces parties-là ont assez souvent tendance à devoir être isolées de tous points de vue... En tous cas il vaudrait mieux.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On Thu, 02 Sep 2004 21:07:04 +0200, Annie D. <annie.demur@free.fr> wrote:
Mais ça devient coton de faire communiquer les machines des différents
VLAN entre elles (surtout s'il y a des protocoles friands de broadcasts
dans le tas, suivez mon regard), non ?
Coton, coton... Il faut un routeur qui route. Evidemment pour les
protocoles qui aiment le broadcast, il faudra soit les retransmettre, soit
passer à autre chose (un serveur WINS si je suis le regard, a priori).
Mais en général quand on donne des droits différents à différentes parties
du réseau, ces parties-là ont assez souvent tendance à devoir être isolées
de tous points de vue... En tous cas il vaudrait mieux.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Thu, 02 Sep 2004 21:07:04 +0200, Annie D. wrote:
Mais ça devient coton de faire communiquer les machines des différents VLAN entre elles (surtout s'il y a des protocoles friands de broadcasts dans le tas, suivez mon regard), non ?
Coton, coton... Il faut un routeur qui route. Evidemment pour les protocoles qui aiment le broadcast, il faudra soit les retransmettre, soit passer à autre chose (un serveur WINS si je suis le regard, a priori).
Mais en général quand on donne des droits différents à différentes parties du réseau, ces parties-là ont assez souvent tendance à devoir être isolées de tous points de vue... En tous cas il vaudrait mieux.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
