Re: Question firewall
Patrice OLIVER a écrit :
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
<aol>Pareil</aol>
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du
moins partiellement) des contraintes géographiques.
Chuis d'accord. Réseaux "logiques" de niveau 2.
Pour celà, il faut que les cartes réseau de tes stations puissent être
compatibles 802.1Q, et marquer les VLANs,
Surtout pas !
Si ce sont les stations elles-mêmes qui taggent leurs trames, alors on
en revient à la situation de départ avec les sous-réseaux IP : elles
peuvent se déclarer dans le VLAN de leur choix.
il faut aussi que la carte
réseau de ton PF puisse le faire, autrement ...
En effet. Avec le module 8021q du noyau et l'outil vconfig, ça marche
bien même avec des cartes classiques. Il faut définir une interface VLAN
pour chaque sous-réseau, et limiter le routage entre elles. Pour
certaines cartes qui ne supportent pas les trames de plus de 1518
octets, il est nécessaire de réduire la MTU à 1496.
Les trames VLAN taggées ne doivent circuler qu'entre les switches et la
passerelle Linux. La configuration des switches doit définir quel port
non taggué est dans quel VLAN. Pour les stations, c'est transparent,
elles ne voient que des trames normales.
Reply to: