Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour accéder à internet et aux autres machines (imprimantes, PC sous Linux
ou Windows.
Je n'ai peut être rien compris, mais il me semble que tu veux un PC relié en filaire à ta box (PC qui sera donc ta passerelle pour les autres PC, si tu veux aussi leur permettre d'aller sur internet),
et qui peut aussi être relié à d'autres PC, imprimantes (ton réseau local): il te faut donc un switch-hub pour relier tes périphériques du réseau privé.
Si c'est ça, la configuration dite d'un "bastion dedans-dehors" y ressemble: pour se faire, il te faut 2 cartes réseaux sur ce "PC bastion": une vers ta box (la patte côté réseau publique) et une vers
ton réseau interne (la patte côté réseau privé). Les données doivent pouvoir être forwardées d'une carte à l'autre.
Pour ce qui est de qui a le droit d'accéder où et depuis où, c'est comme tu t'en doutes ce sont les règles du pare-feu du "PC bastion" qui seront le centre de tri.
D'autre part, si tu veux accéder à ce poste depuis l'internet publique, tu dois laisser monter des ports depuis ta box sur ce "PC bastion", et en plus ouvrir un port serveur sur ton PC bastion depuis
les @ip autres que celles de ton réseau privé.
Une solution simpliste pour commencer, mais moins souple que les tables @ip, serait de mettre un place bête commutateur derrière ton PC côté patte vers ton réseau privée (ie venant de la carte
dedans): quand tu veux aller sur internet, tu coupes la connexion avec le bouton du commutateur entre la carte dedans et le switch-hub où arrivent tous tes autres PC, imprimantes, etc, privatifs -->
ton réseau privé est alors physiquement isolé.
Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour accéder à internet et aux autres machines (imprimantes, PC sous Linux
ou Windows.
Je n'ai peut être rien compris, mais il me semble que tu veux un PC relié en filaire à ta box (PC qui sera donc ta passerelle pour les autres PC, si tu veux aussi leur permettre d'aller sur internet),
et qui peut aussi être relié à d'autres PC, imprimantes (ton réseau local): il te faut donc un switch-hub pour relier tes périphériques du réseau privé.
Si c'est ça, la configuration dite d'un "bastion dedans-dehors" y ressemble: pour se faire, il te faut 2 cartes réseaux sur ce "PC bastion": une vers ta box (la patte côté réseau publique) et une vers
ton réseau interne (la patte côté réseau privé). Les données doivent pouvoir être forwardées d'une carte à l'autre.
Pour ce qui est de qui a le droit d'accéder où et depuis où, c'est comme tu t'en doutes ce sont les règles du pare-feu du "PC bastion" qui seront le centre de tri.
D'autre part, si tu veux accéder à ce poste depuis l'internet publique, tu dois laisser monter des ports depuis ta box sur ce "PC bastion", et en plus ouvrir un port serveur sur ton PC bastion depuis
les @ip autres que celles de ton réseau privé.
Une solution simpliste pour commencer, mais moins souple que les tables @ip, serait de mettre un place bête commutateur derrière ton PC côté patte vers ton réseau privée (ie venant de la carte
dedans): quand tu veux aller sur internet, tu coupes la connexion avec le bouton du commutateur entre la carte dedans et le switch-hub où arrivent tous tes autres PC, imprimantes, etc, privatifs -->
ton réseau privé est alors physiquement isolé.
Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour accéder à internet et aux autres machines (imprimantes, PC sous Linux
ou Windows.
Je n'ai peut être rien compris, mais il me semble que tu veux un PC relié en filaire à ta box (PC qui sera donc ta passerelle pour les autres PC, si tu veux aussi leur permettre d'aller sur internet),
et qui peut aussi être relié à d'autres PC, imprimantes (ton réseau local): il te faut donc un switch-hub pour relier tes périphériques du réseau privé.
Si c'est ça, la configuration dite d'un "bastion dedans-dehors" y ressemble: pour se faire, il te faut 2 cartes réseaux sur ce "PC bastion": une vers ta box (la patte côté réseau publique) et une vers
ton réseau interne (la patte côté réseau privé). Les données doivent pouvoir être forwardées d'une carte à l'autre.
Pour ce qui est de qui a le droit d'accéder où et depuis où, c'est comme tu t'en doutes ce sont les règles du pare-feu du "PC bastion" qui seront le centre de tri.
D'autre part, si tu veux accéder à ce poste depuis l'internet publique, tu dois laisser monter des ports depuis ta box sur ce "PC bastion", et en plus ouvrir un port serveur sur ton PC bastion depuis
les @ip autres que celles de ton réseau privé.
Une solution simpliste pour commencer, mais moins souple que les tables @ip, serait de mettre un place bête commutateur derrière ton PC côté patte vers ton réseau privée (ie venant de la carte
dedans): quand tu veux aller sur internet, tu coupes la connexion avec le bouton du commutateur entre la carte dedans et le switch-hub où arrivent tous tes autres PC, imprimantes, etc, privatifs -->
ton réseau privé est alors physiquement isolé.
Doug713705 , dans le message <or7c4b$omk$, a
écrit :Pas faux, d'où l'intérêt de bien choisir son réseau local et bien
Tu peux expliquer le critère de « bien », là ?
entendu d'effectuer un filtrage plus précis, genre machine par
machine.
Ça reste un filtrage par adresse IP, donc totalement inefficace quand on
est connecté à un réseau qu'on ne contrôle pas.
Mais on peut supposer que le partge samba est protégé par mot de passe,
ce qui semble la moindre des choses quand on expose des données.
Euh, non, on ne peut certainement pas supposer ça. Il me semble au
contraire évident que Sergio veut exposer son partage sur le réseau
local à toutes les machines qui y sont connectées. Après tout, elles ont
déjà prouvé qu'elles sont dignes de confiance par leur capacité à se
connecter audit réseau local.
Doug713705 , dans le message <or7c4b$omk$3@golgoth99.redatomik.org>, a
écrit :
Pas faux, d'où l'intérêt de bien choisir son réseau local et bien
Tu peux expliquer le critère de « bien », là ?
entendu d'effectuer un filtrage plus précis, genre machine par
machine.
Ça reste un filtrage par adresse IP, donc totalement inefficace quand on
est connecté à un réseau qu'on ne contrôle pas.
Mais on peut supposer que le partge samba est protégé par mot de passe,
ce qui semble la moindre des choses quand on expose des données.
Euh, non, on ne peut certainement pas supposer ça. Il me semble au
contraire évident que Sergio veut exposer son partage sur le réseau
local à toutes les machines qui y sont connectées. Après tout, elles ont
déjà prouvé qu'elles sont dignes de confiance par leur capacité à se
connecter audit réseau local.
Doug713705 , dans le message <or7c4b$omk$, a
écrit :Pas faux, d'où l'intérêt de bien choisir son réseau local et bien
Tu peux expliquer le critère de « bien », là ?
entendu d'effectuer un filtrage plus précis, genre machine par
machine.
Ça reste un filtrage par adresse IP, donc totalement inefficace quand on
est connecté à un réseau qu'on ne contrôle pas.
Mais on peut supposer que le partge samba est protégé par mot de passe,
ce qui semble la moindre des choses quand on expose des données.
Euh, non, on ne peut certainement pas supposer ça. Il me semble au
contraire évident que Sergio veut exposer son partage sur le réseau
local à toutes les machines qui y sont connectées. Après tout, elles ont
déjà prouvé qu'elles sont dignes de confiance par leur capacité à se
connecter audit réseau local.
Après il faut aussi mesurer le risque.
Après si on veut vraiment assurer la sécurité, on peut mettre en place
un VPN à l'intérieur du réseau local et ne faire écouter les démons
uniquement sur cette interface et'autoriser les accès sur les
ports 22 et Samba (je ne connais pas la plage de ports pour Samba,
probablement TCP/137,138,139). C'est la solution que je mets généralement
en place pour les serveurs qui sont en accès direct sur le net.
On doit pouvoir faire un filtrage sur couple adresse MAC/IP (c'est
probablement ce que doit faire windows pour identifier ces réseaux
publics/privés)
Effectivement on ne peut pas le supposer mais on peut que le conseiller.
On peut difficilement ouvrir sa maisons au 4 vents et vouloir qu'elle
soit sécurisée comme une banque.
Après il faut aussi mesurer le risque.
Après si on veut vraiment assurer la sécurité, on peut mettre en place
un VPN à l'intérieur du réseau local et ne faire écouter les démons
uniquement sur cette interface et'autoriser les accès sur les
ports 22 et Samba (je ne connais pas la plage de ports pour Samba,
probablement TCP/137,138,139). C'est la solution que je mets généralement
en place pour les serveurs qui sont en accès direct sur le net.
On doit pouvoir faire un filtrage sur couple adresse MAC/IP (c'est
probablement ce que doit faire windows pour identifier ces réseaux
publics/privés)
Effectivement on ne peut pas le supposer mais on peut que le conseiller.
On peut difficilement ouvrir sa maisons au 4 vents et vouloir qu'elle
soit sécurisée comme une banque.
Après il faut aussi mesurer le risque.
Après si on veut vraiment assurer la sécurité, on peut mettre en place
un VPN à l'intérieur du réseau local et ne faire écouter les démons
uniquement sur cette interface et'autoriser les accès sur les
ports 22 et Samba (je ne connais pas la plage de ports pour Samba,
probablement TCP/137,138,139). C'est la solution que je mets généralement
en place pour les serveurs qui sont en accès direct sur le net.
On doit pouvoir faire un filtrage sur couple adresse MAC/IP (c'est
probablement ce que doit faire windows pour identifier ces réseaux
publics/privés)
Effectivement on ne peut pas le supposer mais on peut que le conseiller.
On peut difficilement ouvrir sa maisons au 4 vents et vouloir qu'elle
soit sécurisée comme une banque.
Le 06/10/2017 à 10:59, Nicolas George a écrit :Sergio , dans le message <59d742dc$0$8946$, a
écrit :Comment fait Windows alors ?
J'ai une tête de commercial Microsoft, peut-être ?
De toute évidence, il se base sur autre chose que juste l'adresse IP.
C'est assez facile.
Si c'est du wifi, il peut se baser sur le SSID de la box, néanmoins, sur mon PC Windows, j'ai plusieurs réseaux avec le même nom :
- "gerard" : ma box en ethernet
- "gerard : ma box en wifi
- "gerard" : résidu d'essai de configuration du wifi
Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour
accéder à internet et aux autres machines (imprimantes, PC sous Linux ou Windows. Et, vue la fiabilité de l'internet via
SFR-Numéricâble, utiliser en dépannage une clef 4G, reliée directement au réseau des réseaux.
Le 06/10/2017 à 10:59, Nicolas George a écrit :
Sergio , dans le message <59d742dc$0$8946$426a34cc@news.free.fr>, a
écrit :
Comment fait Windows alors ?
J'ai une tête de commercial Microsoft, peut-être ?
De toute évidence, il se base sur autre chose que juste l'adresse IP.
C'est assez facile.
Si c'est du wifi, il peut se baser sur le SSID de la box, néanmoins, sur mon PC Windows, j'ai plusieurs réseaux avec le même nom :
- "gerard" : ma box en ethernet
- "gerard : ma box en wifi
- "gerard" : résidu d'essai de configuration du wifi
Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour
accéder à internet et aux autres machines (imprimantes, PC sous Linux ou Windows. Et, vue la fiabilité de l'internet via
SFR-Numéricâble, utiliser en dépannage une clef 4G, reliée directement au réseau des réseaux.
Le 06/10/2017 à 10:59, Nicolas George a écrit :Sergio , dans le message <59d742dc$0$8946$, a
écrit :Comment fait Windows alors ?
J'ai une tête de commercial Microsoft, peut-être ?
De toute évidence, il se base sur autre chose que juste l'adresse IP.
C'est assez facile.
Si c'est du wifi, il peut se baser sur le SSID de la box, néanmoins, sur mon PC Windows, j'ai plusieurs réseaux avec le même nom :
- "gerard" : ma box en ethernet
- "gerard : ma box en wifi
- "gerard" : résidu d'essai de configuration du wifi
Mon but, en fait, est sur mon poste principal (sous Linux, je rassure) d'utiliser le réseau local filaire (en 192.168.1.x) pour
accéder à internet et aux autres machines (imprimantes, PC sous Linux ou Windows. Et, vue la fiabilité de l'internet via
SFR-Numéricâble, utiliser en dépannage une clef 4G, reliée directement au réseau des réseaux.
