Le 07/11/2016 10:20, Olivier a écrit :
Comme nous utilisons souvent des box d'opérateur sur des lignes ADSL, nous ne maîtrisons pas le NAT. Ceci limite l'intérêt des logs dans la perspective de responsabiliser les utilisateurs sur leurs actes. Ma priorité va donc être de changer ça afin de pouvoir associer chaque flux sortant à une machine émettrice et son propriétaire.
Brancher entr la box et le reste du réseau un routeur qui va se charger de faire le NAT et enregistrer les logs. C'est mieux si on arrive a mettre la box en mode bridge, ca évite d'avoir 2 NAT en cascade.
En plus ca permet de faire des VLAN et donc de séparer les usagers, genre les adresses MAC connues sont branchées sur le VLAN du personnel (acces aux imprimantes, firewall plus cool, etc…) alors que les visiteurs de passage avec adresses mac inconnues son branchées sur un VLAN bien isolé et sécurisé. Beaucoup d'administrateurs réseau font ca en réservant les prises ethernet pour le personnel et en obligeant les visiteurs a se connecter en wifi, ce qui est une ineptie parce que ca exclue les visiteurs non équipés de wifi.