mise en place architecture reseau et questions prealables
12 réponses
Kevin
Bonjour,
Je suis en train de mettre en place un reseau pour une ecole.
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite
d'en mettre une troisieme). L'une des pattes donne sur le 'ternet,
l'autre vers l'ecole.
Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants
et une autre en 172.16.0.0/16 pour l'administration.
Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout
le monde a acces a l'internet.
Les machines sont des win (de 95 a 2000 et peut etre du XP).
Ma question:
J'ai peur pour les windows (partage reseau, virus, tout ca). Je souhaite
eviter que les machines etudiants puissent rentrer sur les machines de
l'administration. Avec le decoupage en deux reseaux differents,
le voisinage reseau semble ne rien montrer, c'est ok. Mais le fait que
des machines des deux reseaux partagent les memes switch m'inquiete
un peu. Au hasard: si NetBEUI est installe sur les postes, se
verront ils? (Et le cas echeant, un virus/ver/troyen) Et meme si
NetBEUI n'est pas installe? Comment je peux faire pour separer
tout ca bien proprement? (Actuellement, tout est en egal-a-egal,
des que j'ai un peu de temps, je mets un controleur de domaine
sous samba.)
J'ai de tres fortes contraintes economiques, donc la, tout ce qui
n'est pas solution purement logicielle est a exclure :(
J'ai de tres fortes contraintes economiques, donc la, tout ce qui n'est pas solution purement logicielle est a exclure :( Sois rassuré, NetBIOS ne fonctionne QUE par broadcast. Donc, si
l'administration est sur un réseau IP différent de celui des élèves, et si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre cette dernière sur le même réseau que l'administration, jamais les PCs Windows ne pourront communiquer autrement qu'en IP, via ton routeur Linux. Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en provenance d'un réseau de passer sur l'autre, elles ne pourront jamais se voir (il ne faut pas que ton linux qui sera la passerelle par défaut des deux réseaux route d'un réseau à l'autre, comme c'est à priori son rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est plus installé. Là, tu es bon pour du poledit sur les machines Win9x pour les empêcher d'installer NetBEUI, parce que effectivement ça risque de mettre tout ton plan par terre. Lui, il s'appuie directement sur la couche physique, et pas sur la couche IP comme NetBIOS/NetBT.
-- rantamplan le chien le plus con de tout le cyberespace
Kevin DENIS disait...
Bonjour,
J'ai de tres fortes contraintes economiques, donc la, tout ce qui
n'est pas solution purement logicielle est a exclure :(
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast. Donc, si
l'administration est sur un réseau IP différent de celui des élèves, et
si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre
cette dernière sur le même réseau que l'administration, jamais les PCs
Windows ne pourront communiquer autrement qu'en IP, via ton routeur
Linux.
Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en
provenance d'un réseau de passer sur l'autre, elles ne pourront jamais
se voir (il ne faut pas que ton linux qui sera la passerelle par défaut
des deux réseaux route d'un réseau à l'autre, comme c'est à priori son
rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins
donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de
poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est
plus installé. Là, tu es bon pour du poledit sur les machines Win9x pour
les empêcher d'installer NetBEUI, parce que effectivement ça risque de
mettre tout ton plan par terre. Lui, il s'appuie directement sur la
couche physique, et pas sur la couche IP comme NetBIOS/NetBT.
--
rantamplan
le chien le plus con
de tout le cyberespace
J'ai de tres fortes contraintes economiques, donc la, tout ce qui n'est pas solution purement logicielle est a exclure :( Sois rassuré, NetBIOS ne fonctionne QUE par broadcast. Donc, si
l'administration est sur un réseau IP différent de celui des élèves, et si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre cette dernière sur le même réseau que l'administration, jamais les PCs Windows ne pourront communiquer autrement qu'en IP, via ton routeur Linux. Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en provenance d'un réseau de passer sur l'autre, elles ne pourront jamais se voir (il ne faut pas que ton linux qui sera la passerelle par défaut des deux réseaux route d'un réseau à l'autre, comme c'est à priori son rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est plus installé. Là, tu es bon pour du poledit sur les machines Win9x pour les empêcher d'installer NetBEUI, parce que effectivement ça risque de mettre tout ton plan par terre. Lui, il s'appuie directement sur la couche physique, et pas sur la couche IP comme NetBIOS/NetBT.
-- rantamplan le chien le plus con de tout le cyberespace
Cedric Blancher
Dans sa prose, rantamplan nous ecrivait :
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non. Lorsqu'un serveur WINS est installé et utilisé par les machines du domaine/groupe de travail, il n'y a plus de broadcast.
-- BOFH excuse #185:
system consumed all the paper for paging
Dans sa prose, rantamplan nous ecrivait :
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non.
Lorsqu'un serveur WINS est installé et utilisé par les machines du
domaine/groupe de travail, il n'y a plus de broadcast.
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non. Lorsqu'un serveur WINS est installé et utilisé par les machines du domaine/groupe de travail, il n'y a plus de broadcast.
-- BOFH excuse #185:
system consumed all the paper for paging
Thomas Pedoussaut
Kevin DENIS wrote:
Bonjour, Je suis en train de mettre en place un reseau pour une ecole.
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite d'en mettre une troisieme). L'une des pattes donne sur le 'ternet, l'autre vers l'ecole. Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants et une autre en 172.16.0.0/16 pour l'administration. Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout le monde a acces a l'internet. Mais ils restent sur le meme segment ethernet..
[snip] J'ai de tres fortes contraintes economiques, donc la, tout ce qui n'est pas solution purement logicielle est a exclure :(
Désolé, mais tant que les machines resteront sur le même reseau ethernet (layer 2), rien n'empeche une machine de faire aussi de l'aliasing et d'acceder aux machines de l'autre reseau.
La solution la moins chere que je peux voir est d'echanger une carte reseau contre une carte double port, dans la mesure ou tu as ensuite des hubs/switchs separés pour les reseaux etudiants et administration.
Ensuite les autres solutions sont de type VLAN tagging mais là, les switchs coutent carrement plus cher.
-- Thomas Pedoussaut Dublin IRLANDE http://irlande.staffeurs.org/
Kevin DENIS wrote:
Bonjour,
Je suis en train de mettre en place un reseau pour une ecole.
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite
d'en mettre une troisieme). L'une des pattes donne sur le 'ternet,
l'autre vers l'ecole.
Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants
et une autre en 172.16.0.0/16 pour l'administration.
Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout
le monde a acces a l'internet.
Mais ils restent sur le meme segment ethernet..
[snip]
J'ai de tres fortes contraintes economiques, donc la, tout ce qui
n'est pas solution purement logicielle est a exclure :(
Désolé, mais tant que les machines resteront sur le même reseau ethernet
(layer 2), rien n'empeche une machine de faire aussi de l'aliasing et
d'acceder aux machines de l'autre reseau.
La solution la moins chere que je peux voir est d'echanger une carte
reseau contre une carte double port, dans la mesure ou tu as ensuite des
hubs/switchs separés pour les reseaux etudiants et administration.
Ensuite les autres solutions sont de type VLAN tagging mais là, les
switchs coutent carrement plus cher.
--
Thomas Pedoussaut
Dublin IRLANDE
http://irlande.staffeurs.org/
Bonjour, Je suis en train de mettre en place un reseau pour une ecole.
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite d'en mettre une troisieme). L'une des pattes donne sur le 'ternet, l'autre vers l'ecole. Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants et une autre en 172.16.0.0/16 pour l'administration. Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout le monde a acces a l'internet. Mais ils restent sur le meme segment ethernet..
[snip] J'ai de tres fortes contraintes economiques, donc la, tout ce qui n'est pas solution purement logicielle est a exclure :(
Désolé, mais tant que les machines resteront sur le même reseau ethernet (layer 2), rien n'empeche une machine de faire aussi de l'aliasing et d'acceder aux machines de l'autre reseau.
La solution la moins chere que je peux voir est d'echanger une carte reseau contre une carte double port, dans la mesure ou tu as ensuite des hubs/switchs separés pour les reseaux etudiants et administration.
Ensuite les autres solutions sont de type VLAN tagging mais là, les switchs coutent carrement plus cher.
-- Thomas Pedoussaut Dublin IRLANDE http://irlande.staffeurs.org/
rantamplan
Cedric Blancher disait...
Dans sa prose, rantamplan nous ecrivait :
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non. Lorsqu'un serveur WINS est installé et utilisé par les machines du domaine/groupe de travail, il n'y a plus de broadcast. Oui, of course. je ne tenais pas compte du WINS. Je parlais d'un NetBIOS
tout con, out of ze box, avec ses petits broadcasts bien musclés, et ses appels à la cantonade.
-- rantamplan le chien le plus con de tout le cyberespace
Cedric Blancher disait...
Dans sa prose, rantamplan nous ecrivait :
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non.
Lorsqu'un serveur WINS est installé et utilisé par les machines du
domaine/groupe de travail, il n'y a plus de broadcast.
Oui, of course. je ne tenais pas compte du WINS. Je parlais d'un NetBIOS
tout con, out of ze box, avec ses petits broadcasts bien musclés, et ses
appels à la cantonade.
--
rantamplan
le chien le plus con
de tout le cyberespace
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non. Lorsqu'un serveur WINS est installé et utilisé par les machines du domaine/groupe de travail, il n'y a plus de broadcast. Oui, of course. je ne tenais pas compte du WINS. Je parlais d'un NetBIOS
tout con, out of ze box, avec ses petits broadcasts bien musclés, et ses appels à la cantonade.
-- rantamplan le chien le plus con de tout le cyberespace
Eric Razny
"rantamplan" a écrit dans le message de news:
Kevin DENIS disait...
Bonjour,
J'ai de tres fortes contraintes economiques, donc la, tout ce qui n'est pas solution purement logicielle est a exclure :(
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast. Donc, si l'administration est sur un réseau IP différent de celui des élèves, et si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre cette dernière sur le même réseau que l'administration, jamais les PCs
Non seulement ,amha, c'est un pari risqué que de penser que les élèves ne pourront changer leurs adresses IP mais en plus un p'tit portable discretement (si si!) branché à la place du PC et bingo! [1]
Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en provenance d'un réseau de passer sur l'autre, elles ne pourront jamais se voir (il ne faut pas que ton linux qui sera la passerelle par défaut des deux réseaux route d'un réseau à l'autre, comme c'est à priori son rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Kevin a *explicitement* annoncé que la machine Linux n'avait que 2 pattes, une vers internet l'autre vers l'école et que les machines étaient connectée au même switch! Donc tu peux faire ce que tu veux avec netfilter (iptables est l'outils de config en mode user) il n'est pas en position de faire ce travail ( en switché il ne devrait même pas voir les trames!).
De plus la contrainte économique forte annoncée laisse à penser que le switch n'est pas administrable et qu'il ne peut probablement pas verrouiller ses port sur des adresses MAC et à fortiori encore moins limiter les IP qui y sont associées (ce n'est d'ailleurs pas son job).
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix est devenu suffisament faible pour ne plus se faire chier, mais c'est toi qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas une qui fait switch!).
Si tes machines sont sur le même segment réseau tu t'expose, à mon avis, inévitablement à des problèmes graves.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est plus installé.
Outre que ce n'est pas le problème, NetBEUI reste dispo sur le CD et est donc installable :(
Eric
[1] j'ai déjà vu un élève être suffisament "consciencieux" pour penser aussi à changer l'adresse MAC de sa carte ethernet!
"rantamplan" <rantamplan@seldon.dyndns.org> a écrit dans le message de
news:MPG.19de2776950bd09d989795@news.free.fr...
Kevin DENIS disait...
Bonjour,
J'ai de tres fortes contraintes economiques, donc la, tout ce qui
n'est pas solution purement logicielle est a exclure :(
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast. Donc, si
l'administration est sur un réseau IP différent de celui des élèves, et
si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre
cette dernière sur le même réseau que l'administration, jamais les PCs
Non seulement ,amha, c'est un pari risqué que de penser que les élèves ne
pourront changer leurs adresses IP mais en plus un p'tit portable
discretement (si si!) branché à la place du PC et bingo! [1]
Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en
provenance d'un réseau de passer sur l'autre, elles ne pourront jamais
se voir (il ne faut pas que ton linux qui sera la passerelle par défaut
des deux réseaux route d'un réseau à l'autre, comme c'est à priori son
rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins
donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de
poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Kevin a *explicitement* annoncé que la machine Linux n'avait que 2 pattes,
une vers internet l'autre vers l'école et que les machines étaient connectée
au même switch! Donc tu peux faire ce que tu veux avec netfilter (iptables
est l'outils de config en mode user) il n'est pas en position de faire ce
travail ( en switché il ne devrait même pas voir les trames!).
De plus la contrainte économique forte annoncée laisse à penser que le
switch n'est pas administrable et qu'il ne peut probablement pas verrouiller
ses port sur des adresses MAC et à fortiori encore moins limiter les IP qui
y sont associées (ce n'est d'ailleurs pas son job).
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à
l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix
est devenu suffisament faible pour ne plus se faire chier, mais c'est toi
qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau
soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas
une qui fait switch!).
Si tes machines sont sur le même segment réseau tu t'expose, à mon avis,
inévitablement à des problèmes graves.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est
plus installé.
Outre que ce n'est pas le problème, NetBEUI reste dispo sur le CD et est
donc installable :(
Eric
[1] j'ai déjà vu un élève être suffisament "consciencieux" pour penser aussi
à changer l'adresse MAC de sa carte ethernet!
J'ai de tres fortes contraintes economiques, donc la, tout ce qui n'est pas solution purement logicielle est a exclure :(
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast. Donc, si l'administration est sur un réseau IP différent de celui des élèves, et si les élèves ne peuvent pas modifier l'IP de leur machine pour mettre cette dernière sur le même réseau que l'administration, jamais les PCs
Non seulement ,amha, c'est un pari risqué que de penser que les élèves ne pourront changer leurs adresses IP mais en plus un p'tit portable discretement (si si!) branché à la place du PC et bingo! [1]
Donc, si avec IPTABLE, tu interdis sur ta machine Linux au traffic en provenance d'un réseau de passer sur l'autre, elles ne pourront jamais se voir (il ne faut pas que ton linux qui sera la passerelle par défaut des deux réseaux route d'un réseau à l'autre, comme c'est à priori son rôle. Mais un petit coup d'IPTABLE règlera le problème), et à moins donc, que tes élèves ne modifient l'IP de leur machine (mais un coup de poledit peut rêgler le problème) tes deux réseaux seront étanches en IP.
Kevin a *explicitement* annoncé que la machine Linux n'avait que 2 pattes, une vers internet l'autre vers l'école et que les machines étaient connectée au même switch! Donc tu peux faire ce que tu veux avec netfilter (iptables est l'outils de config en mode user) il n'est pas en position de faire ce travail ( en switché il ne devrait même pas voir les trames!).
De plus la contrainte économique forte annoncée laisse à penser que le switch n'est pas administrable et qu'il ne peut probablement pas verrouiller ses port sur des adresses MAC et à fortiori encore moins limiter les IP qui y sont associées (ce n'est d'ailleurs pas son job).
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix est devenu suffisament faible pour ne plus se faire chier, mais c'est toi qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas une qui fait switch!).
Si tes machines sont sur le même segment réseau tu t'expose, à mon avis, inévitablement à des problèmes graves.
Le problème, c'est netbui. L'avantage de XP, c'est que NetBEUI n'est plus installé.
Outre que ce n'est pas le problème, NetBEUI reste dispo sur le CD et est donc installable :(
Eric
[1] j'ai déjà vu un élève être suffisament "consciencieux" pour penser aussi à changer l'adresse MAC de sa carte ethernet!
Erwan David
Cedric Blancher écrivait :
Dans sa prose, rantamplan nous ecrivait :
Sois rassuré, NetBIOS ne fonctionne QUE par broadcast.
Non. Lorsqu'un serveur WINS est installé et utilisé par les machines du domaine/groupe de travail, il n'y a plus de broadcast.
On peut même faire de la réplication du voisinage réseau d'un réseau à un autre...
Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite d'en mettre une troisieme).
J'ai de tres fortes contraintes economiques
Au point de ne pas pouvoir mettre 10 EUR dans une troisième carte réseau ?
Alain Thivillon
Eric Razny wrote:
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix est devenu suffisament faible pour ne plus se faire chier, mais c'est toi qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas une qui fait switch!).
Il suffit de prendre un switch qui fait des VLAN, faire un vlan Admin, un Vlan éleve, etre sur que les Vlan sont statiques, et de remonter les deux VLAN dans un lien de trunking 802.1q vers le Linux pour lui faire router.
Une seule carte Ethernet. Un seul switch.
FreeBSD fait ça [1], j'imagine que Linux aussi. J'ai utilisé ça avec beaucoup de succès dans une de mes vies eantérieures.
Bon évidemment pour le cas qui nous occupe, si le switch est déja acheté et ne fait pas de Vlans, c'est mort.
[1] sur certaines cartes réseaux qui doivent supporter les paquets plus longs que 1500 octets pour le tagging. Les plus courantes le font, voir vlan(4).
Eric Razny <trash2@razny.net> wrote:
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à
l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix
est devenu suffisament faible pour ne plus se faire chier, mais c'est toi
qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau
soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas
une qui fait switch!).
Il suffit de prendre un switch qui fait des VLAN, faire un vlan Admin,
un Vlan éleve, etre sur que les Vlan sont statiques, et de remonter les
deux VLAN dans un lien de trunking 802.1q vers le Linux pour lui faire
router.
Une seule carte Ethernet. Un seul switch.
FreeBSD fait ça [1], j'imagine que Linux aussi. J'ai utilisé ça avec
beaucoup de succès dans une de mes vies eantérieures.
Bon évidemment pour le cas qui nous occupe, si le switch est déja acheté
et ne fait pas de Vlans, c'est mort.
[1] sur certaines cartes réseaux qui doivent supporter les paquets plus
longs que 1500 octets pour le tagging. Les plus courantes le font, voir
vlan(4).
En conséquence Kevin, je suggère quand même de réfléchir sérieusement à l'achat d'un deuxième switch (je ne parle pas de hub, la différence de prix est devenu suffisament faible pour ne plus se faire chier, mais c'est toi qui voit :) ) et soit de trouver un moyen d'installer une 3ème carte réseau soit d'en remplacer une avec une "multiport" (attention, plusieurs port, pas une qui fait switch!).
Il suffit de prendre un switch qui fait des VLAN, faire un vlan Admin, un Vlan éleve, etre sur que les Vlan sont statiques, et de remonter les deux VLAN dans un lien de trunking 802.1q vers le Linux pour lui faire router.
Une seule carte Ethernet. Un seul switch.
FreeBSD fait ça [1], j'imagine que Linux aussi. J'ai utilisé ça avec beaucoup de succès dans une de mes vies eantérieures.
Bon évidemment pour le cas qui nous occupe, si le switch est déja acheté et ne fait pas de Vlans, c'est mort.
[1] sur certaines cartes réseaux qui doivent supporter les paquets plus longs que 1500 octets pour le tagging. Les plus courantes le font, voir vlan(4).
Kevin
Le 26 Sep 2003 12:11:43 GMT, Thomas Pedoussaut a ecrit: |> |> Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite |> d'en mettre une troisieme). L'une des pattes donne sur le 'ternet, |> l'autre vers l'ecole. |> Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants |> et une autre en 172.16.0.0/16 pour l'administration. |> Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout |> le monde a acces a l'internet. | Mais ils restent sur le meme segment ethernet.. | d'ou ma question.
| > [snip] |> J'ai de tres fortes contraintes economiques, donc la, tout ce qui |> n'est pas solution purement logicielle est a exclure :( | | Désolé, mais tant que les machines resteront sur le même reseau ethernet | (layer 2), rien n'empeche une machine de faire aussi de l'aliasing et | d'acceder aux machines de l'autre reseau. | Bon, du cote des etudiants, j'ai plus peur de la fausse manip que de velleite de piratage (utopique, moi? ;) ). Le fait qu'ils ne soient pas accessibles en voisinage reseau devrait suffire. Apres, je sais que j'ai une solution bancale. Dans mon cas, je pense qu'elle est suffisante. De toute facon, je n'ai pas trop le choix.
J'ai plus peur du virus/ver. En gros, donc si je vire NetBEUI, ca devrait etre bon. Les vers n'ont pas ca code en dur en eux, generalement, non?
| La solution la moins chere que je peux voir est d'echanger une carte | reseau contre une carte double port, dans la mesure ou tu as ensuite des | hubs/switchs separés pour les reseaux etudiants et administration. | helas, pas de sous, voire pas de matos disponible (je suis en haiti, et c'est pas simple d'obtenir ce que l'on veut, ici)
| Ensuite les autres solutions sont de type VLAN tagging mais là, les | switchs coutent carrement plus cher. | bon, heu :/ -- Kevin
Le 26 Sep 2003 12:11:43 GMT, Thomas Pedoussaut a ecrit:
|>
|> Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite
|> d'en mettre une troisieme). L'une des pattes donne sur le 'ternet,
|> l'autre vers l'ecole.
|> Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants
|> et une autre en 172.16.0.0/16 pour l'administration.
|> Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout
|> le monde a acces a l'internet.
| Mais ils restent sur le meme segment ethernet..
|
d'ou ma question.
| > [snip]
|> J'ai de tres fortes contraintes economiques, donc la, tout ce qui
|> n'est pas solution purement logicielle est a exclure :(
|
| Désolé, mais tant que les machines resteront sur le même reseau ethernet
| (layer 2), rien n'empeche une machine de faire aussi de l'aliasing et
| d'acceder aux machines de l'autre reseau.
|
Bon, du cote des etudiants, j'ai plus peur de la fausse manip que
de velleite de piratage (utopique, moi? ;) ). Le fait qu'ils ne soient
pas accessibles en voisinage reseau devrait suffire.
Apres, je sais que j'ai une solution bancale. Dans mon cas, je pense
qu'elle est suffisante. De toute facon, je n'ai pas trop le choix.
J'ai plus peur du virus/ver. En gros, donc si je vire NetBEUI, ca devrait
etre bon.
Les vers n'ont pas ca code en dur en eux, generalement, non?
| La solution la moins chere que je peux voir est d'echanger une carte
| reseau contre une carte double port, dans la mesure ou tu as ensuite des
| hubs/switchs separés pour les reseaux etudiants et administration.
|
helas, pas de sous, voire pas de matos disponible (je suis en haiti, et
c'est pas simple d'obtenir ce que l'on veut, ici)
| Ensuite les autres solutions sont de type VLAN tagging mais là, les
| switchs coutent carrement plus cher.
|
bon, heu :/
--
Kevin
Le 26 Sep 2003 12:11:43 GMT, Thomas Pedoussaut a ecrit: |> |> Actuellement j'ai un linux avec deux cartes reseaux (pas de possibilite |> d'en mettre une troisieme). L'une des pattes donne sur le 'ternet, |> l'autre vers l'ecole. |> Je souhaite mettre une zone, mettons en 192.168.1.0/24 pour les etudiants |> et une autre en 172.16.0.0/16 pour l'administration. |> Sur le linux pas de problemes, un coup d'IP-aliasing, et hop, tout |> le monde a acces a l'internet. | Mais ils restent sur le meme segment ethernet.. | d'ou ma question.
| > [snip] |> J'ai de tres fortes contraintes economiques, donc la, tout ce qui |> n'est pas solution purement logicielle est a exclure :( | | Désolé, mais tant que les machines resteront sur le même reseau ethernet | (layer 2), rien n'empeche une machine de faire aussi de l'aliasing et | d'acceder aux machines de l'autre reseau. | Bon, du cote des etudiants, j'ai plus peur de la fausse manip que de velleite de piratage (utopique, moi? ;) ). Le fait qu'ils ne soient pas accessibles en voisinage reseau devrait suffire. Apres, je sais que j'ai une solution bancale. Dans mon cas, je pense qu'elle est suffisante. De toute facon, je n'ai pas trop le choix.
J'ai plus peur du virus/ver. En gros, donc si je vire NetBEUI, ca devrait etre bon. Les vers n'ont pas ca code en dur en eux, generalement, non?
| La solution la moins chere que je peux voir est d'echanger une carte | reseau contre une carte double port, dans la mesure ou tu as ensuite des | hubs/switchs separés pour les reseaux etudiants et administration. | helas, pas de sous, voire pas de matos disponible (je suis en haiti, et c'est pas simple d'obtenir ce que l'on veut, ici)
| Ensuite les autres solutions sont de type VLAN tagging mais là, les | switchs coutent carrement plus cher. | bon, heu :/ -- Kevin
Eric Razny
"Kevin DENIS" a écrit dans le message de news:
Le 26 Sep 2003 12:11:43 GMT, Thomas Pedoussaut a ecrit:
J'ai plus peur du virus/ver. En gros, donc si je vire NetBEUI, ca devrait etre bon.
De toute façon c'est à virer :)
Les vers n'ont pas ca code en dur en eux, generalement, non?
Pour l'instant non. Et s'il n'y a personne en face pour répondre...
helas, pas de sous, voire pas de matos disponible (je suis en haiti, et c'est pas simple d'obtenir ce que l'on veut, ici)
Ok, donc on va supposer qu'il est inévitable que les machines soient sur le même segment, mais avec des sous-reseaux différents. Dans la mesure où tu ne peux pas être sur que tu ne vas pas avoir un étudiant "hostile" essaye de prendre un minimum de mesures[1]
a) supprimer les services qui ne servent pas (tiens un 5000TCP ouvert :) ). b) Aucun partage de ressource sans login/password.[2] c) un FW perso sur chaque machine ne fait pas de mal (coût nul, à part l'install et expliquer qu'on te demande avant d'autoriser un flux à passer s'il y a du nouveau) d) des AV (il doit en avoir des gratuit pour ton type d'utilisation).
Voila, j'en oublie mais c'est déjà un début je pense.
Eric.
[1] soit dit en passant ces mesures devraient, à mon avis, être prises dans tous les cas! [2] ça implique, bien sur, d'expliquer au moins aux administratifs et aux profs l'importance de la chose. J'ai déjà vu un prof donner un mot de passe, qui aurait du lui être perso, à un élève pour qu'il puisse se connecter et installer un truc sur sa bécane! :( Et dans une administration un papier collé sur une armoire : "le mot de passe pour machin à changé, le nouveau est : xxx"!!!!
"Kevin DENIS" <Kevin@nowhere.invalid> a écrit dans le message de
news:slrnbna3gq.uk0.Kevin@slackware.local.tux...
Le 26 Sep 2003 12:11:43 GMT, Thomas Pedoussaut a ecrit:
J'ai plus peur du virus/ver. En gros, donc si je vire NetBEUI, ca devrait
etre bon.
De toute façon c'est à virer :)
Les vers n'ont pas ca code en dur en eux, generalement, non?
Pour l'instant non. Et s'il n'y a personne en face pour répondre...
helas, pas de sous, voire pas de matos disponible (je suis en haiti, et
c'est pas simple d'obtenir ce que l'on veut, ici)
Ok, donc on va supposer qu'il est inévitable que les machines soient sur le
même segment, mais avec des sous-reseaux différents.
Dans la mesure où tu ne peux pas être sur que tu ne vas pas avoir un
étudiant "hostile" essaye de prendre un minimum de mesures[1]
a) supprimer les services qui ne servent pas (tiens un 5000TCP ouvert :) ).
b) Aucun partage de ressource sans login/password.[2]
c) un FW perso sur chaque machine ne fait pas de mal (coût nul, à part
l'install et expliquer qu'on te demande avant d'autoriser un flux à passer
s'il y a du nouveau)
d) des AV (il doit en avoir des gratuit pour ton type d'utilisation).
Voila, j'en oublie mais c'est déjà un début je pense.
Eric.
[1] soit dit en passant ces mesures devraient, à mon avis, être prises dans
tous les cas!
[2] ça implique, bien sur, d'expliquer au moins aux administratifs et aux
profs l'importance de la chose. J'ai déjà vu un prof donner un mot de passe,
qui aurait du lui être perso, à un élève pour qu'il puisse se connecter et
installer un truc sur sa bécane! :( Et dans une administration un papier
collé sur une armoire : "le mot de passe pour machin à changé, le nouveau
est : xxx"!!!!
Le 26 Sep 2003 12:11:43 GMT, Thomas Pedoussaut a ecrit:
J'ai plus peur du virus/ver. En gros, donc si je vire NetBEUI, ca devrait etre bon.
De toute façon c'est à virer :)
Les vers n'ont pas ca code en dur en eux, generalement, non?
Pour l'instant non. Et s'il n'y a personne en face pour répondre...
helas, pas de sous, voire pas de matos disponible (je suis en haiti, et c'est pas simple d'obtenir ce que l'on veut, ici)
Ok, donc on va supposer qu'il est inévitable que les machines soient sur le même segment, mais avec des sous-reseaux différents. Dans la mesure où tu ne peux pas être sur que tu ne vas pas avoir un étudiant "hostile" essaye de prendre un minimum de mesures[1]
a) supprimer les services qui ne servent pas (tiens un 5000TCP ouvert :) ). b) Aucun partage de ressource sans login/password.[2] c) un FW perso sur chaque machine ne fait pas de mal (coût nul, à part l'install et expliquer qu'on te demande avant d'autoriser un flux à passer s'il y a du nouveau) d) des AV (il doit en avoir des gratuit pour ton type d'utilisation).
Voila, j'en oublie mais c'est déjà un début je pense.
Eric.
[1] soit dit en passant ces mesures devraient, à mon avis, être prises dans tous les cas! [2] ça implique, bien sur, d'expliquer au moins aux administratifs et aux profs l'importance de la chose. J'ai déjà vu un prof donner un mot de passe, qui aurait du lui être perso, à un élève pour qu'il puisse se connecter et installer un truc sur sa bécane! :( Et dans une administration un papier collé sur une armoire : "le mot de passe pour machin à changé, le nouveau est : xxx"!!!!
