François TOURDE a écrit :
Par défaut, Linux considère que les adresses IP locales appartiennent à la machine, et pas à une interface en particulier. Donc les deux interfaces répondent aux requêtes ARP pour n'importe quelle adresse IP de la machine. Par conséquent, il y a une chance sur deux que les paquets reçus soient envoyés à la "mauvaise" interface, ce qui est gênant si le filtrage d'entrée est différent sur chaque interface.Même si la machine n'est pas configurée pour faire de l'ip_forwarding?
Pour autant que je sache ip_forward n'a pas d'influence sur la couche ARP, sauf peut-être en combinaison avec proxy_arp (mais ce n'est pas le sujet).
Bon, du coup je vais plutôt refaire un pack de règles avec -i quand la machine est routeur/fw, et -s quand elle est dans la DMZ. Ce sera plus simple et je pense tout aussi efficace. Subsiste tout de même le risque de recevoir des paquets forgés avec l'adresse émettrice en .42 (ip choisie sur la FBX pour faire DMZ), et qui dont seront "répondus" depuis ma machine locale vers l'IP .42, du coup acceptés parce que venant du réseau local.
Ce risque (pour autant que ça représente vraiment un risque) existe dans tous les cas à partir du moment où il n'y a qu'un seul réseau. Tu peux filtrer sur l'adresse MAC.