Forum Linux.général Segmenter en sous-réseau pour protéger les connectés d'eux même

Posté par .
Tags : aucun
0
17
avr.
2006
Dans le cadre d'un réseau ouvert(réseau wifi, mais peu importe), si on veut éviter que les "invités" se polluent entre eux à grand coup de virus, la solution peut elle être de les mettre dans de très petit sous-réseau, genre 255.255.255.252 ?

ça vous parait faisable comme technique ?

Comment faire en sorte que chaque sous-réseau puisse joindre une propre passerelle, si on ne pilote tout ça qu'avec une machine ?

Bref, je ne suis absolument pas admin réseau, donc si quelqu'un peut donner son avis, c'est cool ;-)
  • # AP isolate

    Posté par . Évalué à 5.

    Il y a sur certains points d'accès (genre ceux sous OpenWrt) un mode de fonctionnement qui s'appelle AP isolate je crois, et qui fait en sorte que chaque client ne puissent pas avoir connaissance des autres clients. Ca doit fonctionner au niveau MAC.
  • # Puisqu'il le faut

    Posté par (page perso) . Évalué à 1.

    Les questions vont dans les forums : https://linuxfr.org/forums/
  • # Bizarre, mais faisable

    Posté par . Évalué à 3.

    Je trouve ça un peu bizarre comme idée, mais c'est faisable :
    Sur la passerelle, ajouter un réseau et une ip (pour elle-même mais sur ce sous-réseau particulier) à chaque fois :
    ip addr add 192.168.x.x/30 dev eth0
    Et mettre cette @ de passerelle par défaut sur le client.
    Et ne pas oublier le ip_forward à 1 (comme sur toute passerelle).
    Par contre, ça va faire passer le traffic de chaque client par la passerelle, ils ne communiqueront pas directement.

    Sinon l'autre solution c'est d'ajouter les routes pour tous les sous-réseaux dans les tables de chaque client, mais comme je suppose que c'est pour des windows, ça risque d'être galère (et d'ailleurs tu te retrouves avec le même pb que tout le traffic va passer sur la passerelle, à moins que les clients puissent avoir plusieurs IPs ... mais à se moment la, c'est comme s'ils étaient présents sur tous les sous-réseaux, et ça arrange pas ton problème de propagation. Et en fait ça va devoir faire des sous-réseaux qui contiennt chaque ordi.... non, en fait c'est une très mauvaise idée)

    Sinon, je sais pas comment fonctionnent ces virus, mais es-tu sûr qu'ils ne se limitent qu'au sous-réseau auquel appartient la machine ? D'ailleurs en parlant de cette méthode, c'est comme ça que fonctionne le protocole SMB, donc ça bloque tout de suite tout type de partage windows entre clients (oui ya ptet moyen avec un serveur de WINS et d'autres bidouilles quand même).
    • [^] # Re: Bizarre, mais faisable

      Posté par . Évalué à 1.

      bin en fait le but était que les machines ne communiquent pas du tout entre elle, donc la seule route passait par la passerelle. Mais en fait c'est effectivement inutile : comme l'a dit Benjamin Delagoutte, les AP implémentent elles même des systèmes pour isoler les clients entre eux. (sous Cisco en tout cas).

      Heureusement, car j'imaginais pas un réseau WIFI de 200 portables tous moins protégés les uns que les autres se parlant entre eux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.