Je vais monter une installation pour une 100aine de poste clients pour un
évenement qui va utiliser notre connexion à internet.
Globalement, plusieurs switch connectés à un serveur 2003 qui ferait office
de DHCP et de DNS avec 2 cartes reseaux une pour un accès au WAN via une IP
de mon pool public, et l'autre pour le LAN en 10.0.0.x + le DHCP.
Par contre je me pose la question de la securité. je voudrai que les postes
clients ne puissent pas accéder aux autres clients du réseau, ni au serveur
sauf pour le serveur DHCP. ( genre en leur attibuant une IP avec un masque
255.255.255.255 mais là problème pour accéder à un routeur ??).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On Wed, 14 Jan 2004 14:28:47 +0100, Stef wrote:
Par contre je me pose la question de la securité. je voudrai que les postes clients ne puissent pas accéder aux autres clients du réseau, ni au serveur sauf pour le serveur DHCP. ( genre en leur attibuant une IP avec un masque 255.255.255.255 mais là problème pour accéder à un routeur ??).
Pour le serveur, je ne comprends pas très bien: il sert de serveur DHCP et de serveur DNS et de passerelle pour Internet, non? Ou il y a un routeur en plus?
si vous avez des idées, je suis preneur !
Utiliser des switches manageables sur lesquels il est possible de faire du filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au bout qui fera ce filtrage. Ou mettre des filtres sur les postes eux-mêmes, en les configurant bien entendu pour que ce ne soit pas modifiable par les utilisateurs loggués.
Je suis sûr qu'on peut trouver plein d'autres méthodes :-)
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Wed, 14 Jan 2004 14:28:47 +0100, Stef <kioeev@hotmail.com> wrote:
Par contre je me pose la question de la securité. je voudrai que les
postes clients ne puissent pas accéder aux autres clients du réseau,
ni au serveur sauf pour le serveur DHCP. ( genre en leur attibuant
une IP avec un masque 255.255.255.255 mais là problème pour accéder
à un routeur ??).
Pour le serveur, je ne comprends pas très bien: il sert de serveur DHCP et
de serveur DNS et de passerelle pour Internet, non? Ou il y a un routeur
en plus?
si vous avez des idées, je suis preneur !
Utiliser des switches manageables sur lesquels il est possible de faire du
filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN
par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au
bout qui fera ce filtrage. Ou mettre des filtres sur les postes eux-mêmes,
en les configurant bien entendu pour que ce ne soit pas modifiable par les
utilisateurs loggués.
Je suis sûr qu'on peut trouver plein d'autres méthodes :-)
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Par contre je me pose la question de la securité. je voudrai que les postes clients ne puissent pas accéder aux autres clients du réseau, ni au serveur sauf pour le serveur DHCP. ( genre en leur attibuant une IP avec un masque 255.255.255.255 mais là problème pour accéder à un routeur ??).
Pour le serveur, je ne comprends pas très bien: il sert de serveur DHCP et de serveur DNS et de passerelle pour Internet, non? Ou il y a un routeur en plus?
si vous avez des idées, je suis preneur !
Utiliser des switches manageables sur lesquels il est possible de faire du filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au bout qui fera ce filtrage. Ou mettre des filtres sur les postes eux-mêmes, en les configurant bien entendu pour que ce ne soit pas modifiable par les utilisateurs loggués.
Je suis sûr qu'on peut trouver plein d'autres méthodes :-)
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Stef
Bonjour Jacques,
Pour le serveur, je ne comprends pas très bien: il sert de serveur DHCP et de serveur DNS et de passerelle pour Internet, non? Ou il y a un routeur en plus?
effectivement, avec 2 cartes reseaux il sert de passerelle.
Utiliser des switches manageables sur lesquels il est possible de faire du filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au bout qui fera ce filtrage.
ça prendrait trop de temps, c'est pour un salon, une centaines de personnes viennent avec leur ordi, et se connectent en DHCP, obtiennent un bail et se connectent à internet... Je voudrais juste eviter qu'un malin scanne le reseau local, et embete ses petits voisins.
Ou mettre des filtres sur les postes eux-mêmes, en les configurant bien entendu pour que ce ne soit pas modifiable par les utilisateurs loggués.
pas possible, ce sont des machines perso
Je suis sûr qu'on peut trouver plein d'autres méthodes :-) Je cherche, je cherche ;)
d'autres idées ?
merci en tout cas !! stef
Bonjour Jacques,
Pour le serveur, je ne comprends pas très bien: il sert de serveur DHCP et
de serveur DNS et de passerelle pour Internet, non? Ou il y a un routeur
en plus?
effectivement, avec 2 cartes reseaux il sert de passerelle.
Utiliser des switches manageables sur lesquels il est possible de faire du
filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN
par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au
bout qui fera ce filtrage.
ça prendrait trop de temps, c'est pour un salon, une centaines de personnes
viennent avec leur ordi, et se connectent en DHCP, obtiennent un bail et se
connectent à internet... Je voudrais juste eviter qu'un malin scanne le
reseau local, et embete ses petits voisins.
Ou mettre des filtres sur les postes eux-mêmes,
en les configurant bien entendu pour que ce ne soit pas modifiable par les
utilisateurs loggués.
pas possible, ce sont des machines perso
Je suis sûr qu'on peut trouver plein d'autres méthodes :-)
Je cherche, je cherche ;)
Pour le serveur, je ne comprends pas très bien: il sert de serveur DHCP et de serveur DNS et de passerelle pour Internet, non? Ou il y a un routeur en plus?
effectivement, avec 2 cartes reseaux il sert de passerelle.
Utiliser des switches manageables sur lesquels il est possible de faire du filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au bout qui fera ce filtrage.
ça prendrait trop de temps, c'est pour un salon, une centaines de personnes viennent avec leur ordi, et se connectent en DHCP, obtiennent un bail et se connectent à internet... Je voudrais juste eviter qu'un malin scanne le reseau local, et embete ses petits voisins.
Ou mettre des filtres sur les postes eux-mêmes, en les configurant bien entendu pour que ce ne soit pas modifiable par les utilisateurs loggués.
pas possible, ce sont des machines perso
Je suis sûr qu'on peut trouver plein d'autres méthodes :-) Je cherche, je cherche ;)
d'autres idées ?
merci en tout cas !! stef
Jacques Caron
On Wed, 14 Jan 2004 16:37:38 +0100, Stef wrote:
Utiliser des switches manageables sur lesquels il est possible de faire du filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au bout qui fera ce filtrage.
ça prendrait trop de temps, c'est pour un salon, une centaines de personnes viennent avec leur ordi, et se connectent en DHCP, obtiennent un bail et se connectent à internet... Je voudrais juste eviter qu'un malin scanne le reseau local, et embete ses petits voisins.
Ben pour que ce soit vraiment efficace, à part les solutions ci-dessus je vois pas trop. Sinon au niveau DHCP du peux t'amuser à faire 100 subnets /30, mettre à chaque fois le .1 en alias sur la machine NT et attribuer le .2 en DHCP, et comme ça chacun est dans un subnet IP différent. Ca devrait empêcher la détection par broadcast, mais pas beaucoup plus. Reste à savoir si le serveur DHCP de NT est capable de délivrer des adresses IP dans des subnets différents (et avec des paramètres différents, la passerelle par défaut) en fonction de leur disponibilité.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On Wed, 14 Jan 2004 16:37:38 +0100, Stef <kioeev@hotmail.com> wrote:
Utiliser des switches manageables sur lesquels il est possible de faire
du filtrage par adresse MAC. Pas super courant il me semble. Ou faire
un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un
routeur
au bout qui fera ce filtrage.
ça prendrait trop de temps, c'est pour un salon, une centaines de
personnes viennent avec leur ordi, et se connectent en DHCP, obtiennent
un
bail et se connectent à internet... Je voudrais juste eviter qu'un malin
scanne le reseau local, et embete ses petits voisins.
Ben pour que ce soit vraiment efficace, à part les solutions ci-dessus je
vois pas trop. Sinon au niveau DHCP du peux t'amuser à faire 100 subnets
/30, mettre à chaque fois le .1 en alias sur la machine NT et attribuer le
.2 en DHCP, et comme ça chacun est dans un subnet IP différent. Ca devrait
empêcher la détection par broadcast, mais pas beaucoup plus. Reste à
savoir si le serveur DHCP de NT est capable de délivrer des adresses IP
dans des subnets différents (et avec des paramètres différents, la
passerelle par défaut) en fonction de leur disponibilité.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Utiliser des switches manageables sur lesquels il est possible de faire du filtrage par adresse MAC. Pas super courant il me semble. Ou faire un VLAN par client, mettre tout ça sur un trunk 802.1Q et mettre un routeur au bout qui fera ce filtrage.
ça prendrait trop de temps, c'est pour un salon, une centaines de personnes viennent avec leur ordi, et se connectent en DHCP, obtiennent un bail et se connectent à internet... Je voudrais juste eviter qu'un malin scanne le reseau local, et embete ses petits voisins.
Ben pour que ce soit vraiment efficace, à part les solutions ci-dessus je vois pas trop. Sinon au niveau DHCP du peux t'amuser à faire 100 subnets /30, mettre à chaque fois le .1 en alias sur la machine NT et attribuer le .2 en DHCP, et comme ça chacun est dans un subnet IP différent. Ca devrait empêcher la détection par broadcast, mais pas beaucoup plus. Reste à savoir si le serveur DHCP de NT est capable de délivrer des adresses IP dans des subnets différents (et avec des paramètres différents, la passerelle par défaut) en fonction de leur disponibilité.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
T0t0
"Stef" wrote in message news:40056246$0$22333$
Je suis sûr qu'on peut trouver plein d'autres méthodes :-) Je cherche, je cherche ;)
d'autres idées ?
En remplissant les tables arp statiquement, pour toutes les adresses de la plage (ce n'est pas la panacée, mais bon...)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Stef" <kioeev@hotmail.com> wrote in message
news:40056246$0$22333$626a54ce@news.free.fr
Je suis sûr qu'on peut trouver plein d'autres méthodes :-)
Je cherche, je cherche ;)
d'autres idées ?
En remplissant les tables arp statiquement, pour toutes les adresses
de la plage (ce n'est pas la panacée, mais bon...)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Je suis sûr qu'on peut trouver plein d'autres méthodes :-) Je cherche, je cherche ;)
d'autres idées ?
En remplissant les tables arp statiquement, pour toutes les adresses de la plage (ce n'est pas la panacée, mais bon...)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Stef
Re,
Ben pour que ce soit vraiment efficace, à part les solutions ci-dessus je vois pas trop. Sinon au niveau DHCP du peux t'amuser à faire 100 subnets /30, mettre à chaque fois le .1 en alias sur la machine NT et attribuer le .2 en DHCP, et comme ça chacun est dans un subnet IP différent. Ca devrait empêcher la détection par broadcast, mais pas beaucoup plus. Reste à savoir si le serveur DHCP de NT est capable de délivrer des adresses IP dans des subnets différents (et avec des paramètres différents, la passerelle par défaut) en fonction de leur disponibilité.
C'est bein ce qu'il me semblait ... Si je trouve une astuce, je posterai !
merci encore ! stef
Re,
Ben pour que ce soit vraiment efficace, à part les solutions ci-dessus je
vois pas trop. Sinon au niveau DHCP du peux t'amuser à faire 100 subnets
/30, mettre à chaque fois le .1 en alias sur la machine NT et attribuer le
.2 en DHCP, et comme ça chacun est dans un subnet IP différent. Ca devrait
empêcher la détection par broadcast, mais pas beaucoup plus. Reste à
savoir si le serveur DHCP de NT est capable de délivrer des adresses IP
dans des subnets différents (et avec des paramètres différents, la
passerelle par défaut) en fonction de leur disponibilité.
C'est bein ce qu'il me semblait ... Si je trouve une astuce, je posterai !
Ben pour que ce soit vraiment efficace, à part les solutions ci-dessus je vois pas trop. Sinon au niveau DHCP du peux t'amuser à faire 100 subnets /30, mettre à chaque fois le .1 en alias sur la machine NT et attribuer le .2 en DHCP, et comme ça chacun est dans un subnet IP différent. Ca devrait empêcher la détection par broadcast, mais pas beaucoup plus. Reste à savoir si le serveur DHCP de NT est capable de délivrer des adresses IP dans des subnets différents (et avec des paramètres différents, la passerelle par défaut) en fonction de leur disponibilité.
C'est bein ce qu'il me semblait ... Si je trouve une astuce, je posterai !
