Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 31-07-2016 11:48:27

phileos
Membre
Inscription : 31-07-2016

separation totale sous reseau

Bonjour

Sur un serveur Debian 8 à jours qui sert de dns - dhcp - proxy filtrant web.

j'ai 3 sous réseaux chacun sur un port Ethernet (le serveur possède 5 ports)
Chaque sous réseau possède un total de 254 machines et j’utilise isc-dhcp-serveur pour l'adressage

Le 1 er 192.168.1.XX serveur en .1 brodcast en .255 Sur eth0

Le 2 ième 192.168.2.XX serveur en .1 brodcast en .255 Sur eth1

Le 3 ième 192.168.3.XX serveur en .1 brodcast en .255 Sur eth2

Le port eth0 est aussi relié au modem-routeur pour l’accès internet

Les 3 sous réseau peuvent communiquer entre eux et ont accès a internet

On me demande de rajouter un réseau wifi qui aura aussi accès a internet.
j'ai déjà fais "le cablage" et la définition du réseau
Le réseau est en 192.168.4.XX serveur en .1 /brodcast en .255
Les tests et les paramétrages sont ok
Pour des raisons de secu je dois empêcher la communication des 3 sous réseau précédent avec le nouveau.

J'ai fais des tests et les appareils wifi peuvent communiquer via ping avec les autres postes
Mon problème commence ici . J'ai fais des recherches à priori c'est le boulot du pare feu donc iptables mais je trouve pas mal de tuto/explication pour isoler certains port du net ou spécifiquement pour isoler une machine mais pas pour isoler toute les machines d'un sous réseau.

Faut t'il vraiment taper 255 règles pour interdit 1 à une chaque machine du réseau ?

Ou alors il y a t'il un moyen autre que iptable ?

Merci

Hors ligne

#2 31-07-2016 12:08:38

raleur
Membre
Inscription : 03-10-2014

Re : separation totale sous reseau

Tu devrais lire la page de manuel d'iptables qui liste toutes les options de filtrage disponibles.

man iptables
man iptables-extensions



Iptables offre plusieurs moyens de faire ce que tu veux :
- les options -i et -o permettent de spécifier les interfaces d'entrée et de sortie
- les options -s et -d permettent de spécifier non seulement des adresses source et destination individuelles mais aussi des "préfixes" (blocs d'adresses dont la taille est une puissance de deux, pouvant correspondre à un sous-réseau ou un agrégat de sous-réseaux selon le cas)
- la correspondance "-m iprange" permet de spécifier un intervalle arbitraire d'adresses IP source ou destination.

Le plus simple et le plus sûr est généralement de spécifier les interfaces d'entrée et de sortie, mais ici cela ne suffira pas forcément : pour les communications entre l'interface connectée au réseau wifi et eth0, il ne faut pas autoriser les paquets émis par ou à destination du sous-réseau 192.168.1.0/24 afin que seules les communications avec internet soient autorisées.

Les règles iptables sont à mettre en place dans la chaîne FORWARD puisqu'elles doivent traiter les paquets qui traversent la machine.

PS : si tu as activé le routage IPv6, il faut faire la même chose avec ip6tables.

Dernière modification par raleur (31-07-2016 12:09:37)

Hors ligne

Pied de page des forums