Bonjour à tous,
Pour mon réseau interne (maison), je souhaite construire un routeur fait maison avec une distrib linux dessus. Sur ce routeur, il y a deux ports Ethernet, un qui sera relié à mon FAI et l'autre qui sera relié à un "simple" switch 8 ports. Sur ce switch, je brancherai divers appareils (ordinateurs, smart télé, etc).
Est-il possible de configurer le réseau de sorte que TOUS les paquets passent par le routeur ? Même si le paquet ne doit que transiter de ma machine A vers ma machine B dans le même réseau local ? Et cela, sans que la machine A ou B ne puisse contourner cette règle.
Je ne sais pas sur quel terme chercher sur Google pour pouvoir faire ça. J'espère que cela est possible.
Merci beaucoup !
# VLAN + 802.1Q
Posté par Bernez . Évalué à 3. Dernière modification le 10 décembre 2014 à 15:31.
La seule manière que je vois pour arriver à faire ça est de mettre chaque port du switch dans un VLAN différent, mettre le port connecté au routeur en 802.1Q, et configurer tous les VLAN sur le routeur. Cela nécessite d'avoir un switch manageable.
[^] # Re: VLAN + 802.1Q
Posté par chaispaquichui . Évalué à 3. Dernière modification le 10 décembre 2014 à 15:41.
Une solution crade serait aussi d'enfermer chaque machine dans son subnet en /30 : une IP pour la machine, une pour ton routeur (ton routeur aurait donc une IP spécifique par client).
Mais bon, c'est crade et les clients peuvent contourner cela en modifiant le masque… C'est quoi l’intérêt de vouloir faire transiter tout ton trafic par le routeur ? Tu vas juste créer un goulot d'étranglement dans ton réseau…
[^] # Re: VLAN + 802.1Q
Posté par KiKouN . Évalué à 3.
On peut aussi imaginer faire du arp poisoning et ainsi forcer le traffic vers le routeur. Mais ce n'est pas très stable.
# Impossible ?
Posté par Axone . Évalué à -1.
C'est ton simple switch qui va faire directement communiquer ta machine A et B. A moins de forcer des proxys qui pointent sur ton routeur linux, je ne vois pas comment tu pourrais faire.
Pourquoi veux tu faire comme cela ?
# Remplace le switch par 2 cartes quad ports.
Posté par totof2000 . Évalué à 3.
… comme ça tout passe par le routeur.
[^] # Re: Remplace le switch par 2 cartes quad ports.
Posté par totof2000 . Évalué à 2.
.. Par contre il y aura probablement de la conf à mettre en place. Je ne sais pas si on peut faire ça sans devoir configurer des IP sur chaque port de chaque carte quad (si un expert réseau pouvait répondre, ça m'intéresse de savoir).
[^] # Re: Remplace le switch par 2 cartes quad ports.
Posté par totof2000 . Évalué à 2.
Ca doit être possible : Il me semble que des solutions de cloud tel openstack sont capable de créer des switch virtuels. … à creuser.
[^] # Re: Remplace le switch par 2 cartes quad ports.
Posté par totof2000 . Évalué à 3.
Hum … Mémoire de poisson rouge : la réponse est là, ça me revient maintenant : http://www.reddit.com/r/linux/comments/1f2ss7/
Par contre côté perfs, c'est pas génial … Mais de toutes façons, si tu veux que tous le paquets passent par le routeur, ça revient au même.
Quel est le but ?
[^] # Re: Remplace le switch par 2 cartes quad ports.
Posté par totof2000 . Évalué à 2.
une autre discussion intéressante : http://community.spiceworks.com/topic/157847-does-linux-have-a-distro-that-act-like-a-manageable-switch-looking-for-qos
[^] # Re: Remplace le switch par 2 cartes quad ports.
Posté par KiKouN . Évalué à 2.
Je dirais que tout dépend du but final.
S'il veut que le routeur route véritablement, alors oui, il y aura une interface à configurer par port.
S'il veut simplement faire comme un switch avec quelques options de filtrage, un bon gros bridge sur ces ports devrait suffire.
# Pour sniffer?
Posté par freem . Évalué à 6.
Dans ce cas, le plus simple et probablement efficace (dans le sens ou, au moins, si le routeur se casse la gueule à cause de l'excès de traffic interne du LAN, au moins le LAN sera toujours fonctionnel, et ça ne devrait pas trop ralentir le LAN), c'est d'utiliser un switch paramétrable, sur lequel tu configure la patte vers le routeur pour qu'elle récupère l'ensemble des paquets transitant par le switch.
Mais, franchement, ça n'a aucun intérêt (dans le cas d'un réseau domestique): le rôle d'un routeur, c'est de diriger les paquet d'un réseau vers un autre réseau, quand c'est nécessaire. Typiquement: quand on veux accéder à internet.
Ah, sinon tu peux aussi utiliser un hub, mais pour en trouver un de nos jours, ça risque de pas être facile. Et tu auras une belle perte de perf à cause des collisions, qui sont la raison qui fait que le switch fait office de gare de triage.
Encore une fois, pourquoi veux-tu faire passer la totalité des paquets par le routeur? Pour faire une sorte de firewall universel? Juste pour intercepter le traffic? Ou peut-être, comme je le pense, n'en as-tu aucune idée?
[^] # Re: Pour sniffer?
Posté par Marotte ⛧ . Évalué à 2.
Pour moi c'est ça la raison. OP voudrait pouvoir filtrer le trafic entre lanhost1 et lanhost2 grâce à router. Ça ne paraît pas être une bonne idée, en effet…
[^] # Re: Pour sniffer?
Posté par elloco (site web personnel) . Évalué à 1.
Eh bien l'idée qui m'était passée par la tête était la suivante.
J'ai une Smart TV Samsung que je relie à mon switch ; sur ce switch je relie d'autres machines. Mais j'aimerais faire en sorte que ma TV ne puisse pas avoir connaissance des autres appareils du réseau (car pas confiance en Samsung et pour éviter les failles de sécurité potentielles qu'ils ne corrigent pas). Pour ça, j'aurais voulu tout faire transiter par le routeur qui aurait fait le travail nécessaire.
Est-ce possible ? Ou peut-être existe-t-il d'autres techniques plus intelligentes ?
Le routeur j'aimerais le construire moi-même, mais les cartes réseaux avec plusieurs ports Ethernet gigabit coutent très chère ; du coup je me tourne vers une solution "routeur 2 ports gigabit" que je construis + "switch 8 ports gigabit" que j'achète.
[^] # Re: Pour sniffer?
Posté par ptit_poulet . Évalué à 1.
Vous avez combien de client en tout ?
[^] # Re: Pour sniffer?
Posté par elloco (site web personnel) . Évalué à 1.
Pour le moment c'est assez simple. La télé + 3 ordinateurs windows/linux.
Le switch que j'ai déjà acheté est celui-ci
http://www.cisco.com/c/en/us/support/switches/sg-100d-08-8-port-gigabit-switch/model.html
Pour le routeur, je dois encore acheter le matériel.
En lisant les autres commentaires, apparemment on peut faire ce que je souhaite en créant des VLAN ? Mais j'avoue que en réseau je ne suis pas bon du tout. C'est donc une bonne façon de m'exercer un peu et de tester différentes choses :)
[^] # Re: Pour sniffer?
Posté par ptit_poulet . Évalué à 0.
Le plus simple effectivement aurait été d'isoler la tv dans un vlan mais votre switch n'est pas manageable et ne permet donc pas ce genre de chose.
Là vous pouvait soit mettre la tv dans un sous réseau où elle sera seule mais ça ne permet pas d'assurer une sécurité totale vis à vis des autres équipements…
Après si vous n'avez que 4 clients, vous pouvez partir sur un banana pi router, il vous offre un port ethernet pour internet (votre box) et 4 ports lan pour vos clients. Vous pouvez installer OpenWRT dessus.
Par contre vous serez déjà au max de la capacité. Au pire votre switch pourra être branché sur un des ports de la banana pi si un jour vous voulez rajouter plus de client.
[^] # Re: Pour sniffer?
Posté par totof2000 . Évalué à 2.
En fait, une carte 4 ports n'est pas nécessaire : 3 ports réseau suffisent :
- un port vers le net
- un port vers le switch 8 ports
- un port vers la TV, que tu relies direct au routeur (attention, pour ça il te faudra peut-être un cable ethernet croisé).
Sur le routeur, une configuration iptable pour empêcher que la TV accède au LAN et c'est bon.
Tu peux donc utiliser 2 cartes 1 port, ou 1 carte 2 ports, ou ce que tu veux.
[^] # Re: Pour sniffer?
Posté par ptit_poulet . Évalué à 1.
Si vous ne voulez pas dépenser une fortune dans un routeur fait maison, vous pouvez partir sur ce modèle TP-Link TL-WDR3600 par exemple qui est compatible OpenWRT et que vous trouverez à 49,99€ sur materiel.net.
[^] # Re: Pour sniffer?
Posté par KiKouN . Évalué à 2.
C'est bête, un SG-200 t'aurais permis de gérer des vlans pour guère plus chère ( 2 fois le prix quand même ). Je pense que cela aurait été un bon investissement.
[^] # Re: Pour sniffer?
Posté par NeoX . Évalué à 2.
tu as donc 3 reseaux à gerer :
dans ton PC qui servira de routeur, tu mets 3 cartes reseaux
tu fais genre :
# VPN ?
Posté par ptit_poulet . Évalué à 1.
Le plus simple afin d'éviter une configuration de VLAN, qui ne seront surement pas pris en charge par votre switch si vous prenez un modèle basique, ou encore éviter de créer des plages d'adresse IP avec un seul client dedans.
C'est peut-être de mettre en place un serveur VPN sur votre routeur (vu qu'il est fait maison avec une distribution linux) ainsi tout vos clients passeront forcément par le serveur VPN, vous pourrez les isoler afin qu'ils ne puissent pas discuter entre eux directement sur le VPN et ainsi vous aurez tout le loisirs de créer vos règles de routage, filtrage entre vos client ;)
# Isolation de port ?
Posté par jujubickoille . Évalué à 1.
Tardivement, mais, j'aimerais proposer quelque chose….
J'ai peut être une solution plus simple à proposer ( à voir si le switch le permet par contre ): l'isolation de ports
En effet, il est possible d’empêcher des ports de ce voir entre eux sur certains switchs ( j'ai du DLink à la maison )
-> c'est rapide : il suffit de dire que le port de la TV ne peux rien voir, à l’exception du port du routeur, puis sur les ports des autres devices ( donc, hors port vers le routeur et le port de la TV ), empêcher de communiquer avec le port de la TV
On ce retrouve avec :
-> port de la TV --> uniquement le routeur
-> port des autres devices --> partout, sauf port TV
-> port du routeur -> tout le monde
Bref, juste un peut de conf dans le switch, si il le permet
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.