D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
Non, si toutes les stations partagent le même média ethernet aucune règle
de ton firewall ne pourra empêcher les sous réseaux de se voir entre eux.
Une solution serait de segmenter le réseau ethernet soit en mettant 6
interfaces physiques sur ton firewall/router soit en utilisant un switch
ethernet capable de gérer les VLAN.
Non, si toutes les stations partagent le même média ethernet aucune règle
de ton firewall ne pourra empêcher les sous réseaux de se voir entre eux.
Une solution serait de segmenter le réseau ethernet soit en mettant 6
interfaces physiques sur ton firewall/router soit en utilisant un switch
ethernet capable de gérer les VLAN.
Non, si toutes les stations partagent le même média ethernet aucune règle
de ton firewall ne pourra empêcher les sous réseaux de se voir entre eux.
Une solution serait de segmenter le réseau ethernet soit en mettant 6
interfaces physiques sur ton firewall/router soit en utilisant un switch
ethernet capable de gérer les VLAN.
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce s ens ...
Et d'autres réponses qui ne mentionnent pas le problème.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils
doivent être stackés pour répercuter la configuration des VLAN, ce qui est
impossible vu la configuration géographique de ces switchs. :-(
Merci.
"Antoine Comte" a écrit dans le message de news:
> Non, si toutes les stations partagent le même média ethernet aucune règle
> de ton firewall ne pourra empêcher les sous réseaux de se voir entr e eux.
> Une solution serait de segmenter le réseau ethernet soit en mettant 6
> interfaces physiques sur ton firewall/router soit en utilisant un switc h
> ethernet capable de gérer les VLAN.
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce s ens ...
Et d'autres réponses qui ne mentionnent pas le problème.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils
doivent être stackés pour répercuter la configuration des VLAN, ce qui est
impossible vu la configuration géographique de ces switchs. :-(
Merci.
"Antoine Comte" <antoine@comte.cc> a écrit dans le message de news:
> Non, si toutes les stations partagent le même média ethernet aucune règle
> de ton firewall ne pourra empêcher les sous réseaux de se voir entr e eux.
> Une solution serait de segmenter le réseau ethernet soit en mettant 6
> interfaces physiques sur ton firewall/router soit en utilisant un switc h
> ethernet capable de gérer les VLAN.
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce s ens ...
Et d'autres réponses qui ne mentionnent pas le problème.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils
doivent être stackés pour répercuter la configuration des VLAN, ce qui est
impossible vu la configuration géographique de ces switchs. :-(
Merci.
"Antoine Comte" a écrit dans le message de news:
> Non, si toutes les stations partagent le même média ethernet aucune règle
> de ton firewall ne pourra empêcher les sous réseaux de se voir entr e eux.
> Une solution serait de segmenter le réseau ethernet soit en mettant 6
> interfaces physiques sur ton firewall/router soit en utilisant un switc h
> ethernet capable de gérer les VLAN.
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce sens ...
Et d'autres réponses qui ne mentionnent pas le problème.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils
doivent être stackés pour répercuter la configuration des VLAN, ce qui est
impossible vu la configuration géographique de ces switchs. :-(
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce sens ...
Et d'autres réponses qui ne mentionnent pas le problème.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils
doivent être stackés pour répercuter la configuration des VLAN, ce qui est
impossible vu la configuration géographique de ces switchs. :-(
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce sens ...
Et d'autres réponses qui ne mentionnent pas le problème.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils
doivent être stackés pour répercuter la configuration des VLAN, ce qui est
impossible vu la configuration géographique de ces switchs. :-(
Raph a écrit :Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce
sens ... Et d'autres réponses qui ne mentionnent pas le problème.
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Antoine
Raph a écrit :
Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce
sens ... Et d'autres réponses qui ne mentionnent pas le problème.
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Antoine
Raph a écrit :Etes-vous sur de cela ? J'ai reçu plusieurs réponses allant dans ce
sens ... Et d'autres réponses qui ne mentionnent pas le problème.
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Antoine
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs, il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
Bref, le vlan n'est pas le seul résultat d'un découpage en sous-réseau
IP, mais bien le marquage des trames.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs, il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
Bref, le vlan n'est pas le seul résultat d'un découpage en sous-réseau
IP, mais bien le marquage des trames.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs, il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
Bref, le vlan n'est pas le seul résultat d'un découpage en sous-réseau
IP, mais bien le marquage des trames.
Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs,
il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs,
il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs,
il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
Patrice OLIVER a écrit :Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base
des vlans qui est de créer des réseaux logiques en s'affranchissant
(du moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent
être compatibles 802.1Q, et marquer les VLANs, il faut aussi que la
carte réseau de ton PF puisse le faire, autrement ...
Bref, le vlan n'est pas le seul résultat d'un découpage en
sous-réseau IP, mais bien le marquage des trames.
Pas nécessairement. On peut très bien utiliser des vlans sans que les
cartes réseaux les supportent. Dans ce cas ce sont les switchs qui
marquent les trames en fonction de la configuration du port (du
switch) par lequel elles rentrent. De facon réciproque, ils ne
laissent sortir les trames appartenant a un vlan que sur les ports qui
y participent.
Antoine
Patrice OLIVER a écrit :
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base
des vlans qui est de créer des réseaux logiques en s'affranchissant
(du moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent
être compatibles 802.1Q, et marquer les VLANs, il faut aussi que la
carte réseau de ton PF puisse le faire, autrement ...
Bref, le vlan n'est pas le seul résultat d'un découpage en
sous-réseau IP, mais bien le marquage des trames.
Pas nécessairement. On peut très bien utiliser des vlans sans que les
cartes réseaux les supportent. Dans ce cas ce sont les switchs qui
marquent les trames en fonction de la configuration du port (du
switch) par lequel elles rentrent. De facon réciproque, ils ne
laissent sortir les trames appartenant a un vlan que sur les ports qui
y participent.
Antoine
Patrice OLIVER a écrit :Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base
des vlans qui est de créer des réseaux logiques en s'affranchissant
(du moins partiellement) des contraintes géographiques.
Pour celà, il faut que les cartes réseau de tes stations puissent
être compatibles 802.1Q, et marquer les VLANs, il faut aussi que la
carte réseau de ton PF puisse le faire, autrement ...
Bref, le vlan n'est pas le seul résultat d'un découpage en
sous-réseau IP, mais bien le marquage des trames.
Pas nécessairement. On peut très bien utiliser des vlans sans que les
cartes réseaux les supportent. Dans ce cas ce sont les switchs qui
marquent les trames en fonction de la configuration du port (du
switch) par lequel elles rentrent. De facon réciproque, ils ne
laissent sortir les trames appartenant a un vlan que sur les ports qui
y participent.
Antoine
