Bonjour les gens,
 
J'ai un problème avec des VLAN.
 
1. Configuration
Un petit schema réseau pour commencer :
                                                                                                                                                             ------------------- VLAN X Postes de Travail
                                                                                                                                                            /
InternetZZZZ --------  Firewall --------- Serveur Gestion des Vlan ------------ Switch 3com avec Vlan /------------------- VLAN Y Postes de Travail
                                                                Gestion des Vlan                                                                 \
                                                                                                                                                            \
                                                                                                                                                             ------------------- VLAN Z Postes de Travail
 
Voila donc j'ai des siwtchs auquels sont connectés des postes de travail qui sont dans des Vlans.  la gestion des routes (de la route) est faite par le linux ...
 
Donc sur le linux :  
- la carte réseau connecté à un port Trunk
- Des interfaces virtuelles pour chaque Vlan (type eth0.XXX)
- Aucune route interVlan  
- Une route vers internet pour la passerelle.
 
 
 
2. Mon problème :
 
Lorsqu'un utilisateur d'un VLANY s'attribue lui-même une IP d'un VLANX, cette personne a accès à internet. Or entre autre les Vlan devraient empécher ca non ?
 
 
 
 
 
 

Fais des règles iptables avec les ethX.ZZZ

Ouaip je pensais bien à ca ....  mais la vraiment, n'étant pas le seul à gérer le biniou (creation/suppression de Vlan, etc..) ce n'est vraiment pas pratique ...  
 
Si vous connaissiez une autre solution ?  Je ne sais pas une table de correspondance entre le numéro de vlan et le réseau ?

tu as combien de cartes dans ton VLAN-Y  
sinon tu fais un filtrage MAC et on en parle plus

@tu as combien de cartes dans ton VLAN-Y  
nii ? J'ai un nombre indéfini de port sur le switch (1 à XXX). Je n'ai qu'une seule carte réseau connecté au siwtch en mode truck. Les autres interfaces sont virtuelles et configurées via l'outil vlan (sous debian).
 
@sinon tu fais un filtrage MAC et on en parle plus
Catégoriquement impossible ...

je voulais dire : combien de cartes réseaux (sous entendu station de travail) sont connectées a ton vlan-y
si tu en as moins d'une dizaine, tu interdis l'acces internet aux MAC concernés.
 
sinon tu les mets en DHCP restreint afin qu'elles ne s'attribuent pas d'ip de wlan-x

Heu nan c'est pas possible ca ... je sais c'est balo

et tu ne peux pas jouer sur les masques X, Y et Z pour compartimenter?

Je ne vois pas d'autres solution à moins de pouvoir mettre en place ce filtrage par IP sur le switch. Avec iptables, c'est quand même très simple à  utiliser/maintenir. Il n'y a pas de solution miracle. Un VLAN, c'est juste du 2, ça ne peut pas restreindre du 3.

Sauf sur les cisco, il faut utiliser une VACL et tu traites des access lists jusqu'au niveau 4 sur le fond de panier du switch (en fonction des modèles de switch, ça doit pas etre supporté partout) Sinon y a l'ip source guard qui restreint l'adresse ip source des paquets entrant dans un port de switch.
 
Regarde si tu n'as pas des trucs dans ce style sur tes 3com, il y a des fonctionnalités intéressantes il me semble.