Re: Comment autoriser les invités d'un réseau à ne communiquer qu'avec Internet et pas les autres réseaux locaux ?
Pfsense est très bien adapté et très ludique j'espère que vous prendrez soin de l'essayer pour vous en rendre compte On Mon, Apr 29, 2019, 20:30 Pascal Hambourg wrote: > Le 29/04/2019 à 10:55, Olivier a écrit : > > > > J'ai un serveur Debian qui assure le routage entre Internet et plusieurs > > réseaux . > > > > J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau > > Invité. > > Quelle est la façon plus "pertinente" (terme volontairement vague qui > > englobe les performances, la subjective facilité à maintenir ces règles) > de: > > - leur interdire de communiquer avec les autres réseaux locaux, > > - leur autoriser de communiquer avec Internet. > > > > J'imagine leur dédier : > > - soit une table de routage > > - soit des règles iptables > > > > Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ? > > Les deux solutions sont possibles. > > Avec le routage avancé on peut mettre en place des tables de routage > distinctes en fonction du réseau source. La table de routage du réseau > invité ne contiendrait pas de routes vers les autres réseaux (seulement > une route par défaut vers internet), et la table de routage des autres > réseaux ne contiendrait pas de route vers le réseau invité. > > Néanmoins je pense que du vrai filtrage avec iptables serait plus sûr, > plus lisible et plus facile à maintenir. > > Vu la simplicité du sujet, je ne vois pas l'intérêt d'aller chercher > ipset ou pfSense. > >
Re: Comment autoriser les invités d'un réseau à ne communiquer qu'avec Internet et pas les autres réseaux locaux ?
Le 29/04/2019 à 10:55, Olivier a écrit : J'ai un serveur Debian qui assure le routage entre Internet et plusieurs réseaux . J'ai des utilisateurs qui ont la possibilité de se connecter à un réseau Invité. Quelle est la façon plus "pertinente" (terme volontairement vague qui englobe les performances, la subjective facilité à maintenir ces règles) de: - leur interdire de communiquer avec les autres réseaux locaux, - leur autoriser de communiquer avec Internet. J'imagine leur dédier : - soit une table de routage - soit des règles iptables Qui a déjà réfléchi à la question ? Quelle solution conseillez-vous ? Les deux solutions sont possibles. Avec le routage avancé on peut mettre en place des tables de routage distinctes en fonction du réseau source. La table de routage du réseau invité ne contiendrait pas de routes vers les autres réseaux (seulement une route par défaut vers internet), et la table de routage des autres réseaux ne contiendrait pas de route vers le réseau invité. Néanmoins je pense que du vrai filtrage avec iptables serait plus sûr, plus lisible et plus facile à maintenir. Vu la simplicité du sujet, je ne vois pas l'intérêt d'aller chercher ipset ou pfSense.
Re: Comment autoriser les invités d'un réseau à ne communiquer qu'avec Internet et pas les autres réseaux locaux ?
Salut à toi alors hors sujet vis à vis de debian mais je te conseille d'utiliser pfSense. Tu auras plusieurs interfaces par exemple et c'est vraiment fait ça et l'interface web est tres tres complete : Réseau rouge : Internet. Réseau vert : ton lan Réseau orange : ta DMZ Réseau jaune : ton interface wifi invité. ton réseau jaune ne pourra pas accéder à ton réseau vert si tu le souhaites. pfSense est très complet. c'est vraiment génial. Bonne journée. Le lun. 29 avr. 2019 à 11:23, Jean-Michel OLTRA a écrit : > > Bonjour, > > > Le lundi 29 avril 2019, Olivier a écrit... > > > > - soit des règles iptables > > Avec des règles iptables, j'ai utilisé ipset pour faire ce genre de choses. > Il est facile d'ajouter une entrée dans une liste, ou de la supprimer. > Les règles iptables (chaines) qui utilisent la liste sont aisément > lisibles. > Un script de sauvegarde permet de conserver ses listes après un redémarrage > du serveur. > > -- > jm > >
Re: Comment autoriser les invités d'un réseau à ne communiquer qu'avec Internet et pas les autres réseaux locaux ?
Bonjour, Le lundi 29 avril 2019, Olivier a écrit... > - soit des règles iptables Avec des règles iptables, j'ai utilisé ipset pour faire ce genre de choses. Il est facile d'ajouter une entrée dans une liste, ou de la supprimer. Les règles iptables (chaines) qui utilisent la liste sont aisément lisibles. Un script de sauvegarde permet de conserver ses listes après un redémarrage du serveur. -- jm