Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
901 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Restreindre accès entre clients

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Restreindre accès entre clients

n°1115646
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 17:39:00  profilanswer
 

Hello  :hello:  
j'aurais besoin d'un ptit coup de main et j'espère que les gens du coin pourront m'aider. tout d'abord je tiens à préciser que je suis débutant sous linux
j'ai mis en place un portail captif avec chillispot et de ce fait, l'ordinateur que j'utilise comme point d'accès sert de serveur dhcp (du moins, c'est chillispot qui gère cela).
je voudrais pouvoir restreindre l'accès que les différents clients ont entre eux, du genre empêcher qu'ils puissent se pinguer ou même voir quelles sont les autres machines du sous réseau auquel ils appartiennent.
connaitriez-vous un moyen de faire cela?
 
merci d'avance pour votre aide ;)


---------------
>> [MOD] Another PC in the wall <<
mood
Publicité
Posté le 22-02-2009 à 17:39:00  profilanswer
 

n°1115662
SpN
BF4: Joorem
Posté le 22-02-2009 à 19:09:49  profilanswer
 

Joue avec le masque :)

n°1115663
yo59
OCBoy
Posté le 22-02-2009 à 19:10:19  profilanswer
 

aie = up

n°1115666
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 19:40:27  profilanswer
 

avec le masque ça marche pas puisque le serveur dhcp ne peut être paramétré pour avoir plusieurs masques :/ côté client, ils sont sensés être en dhcp, donc je peux pas mettre leur masque en statique.
en fait, il me faudrait "un truc" sur l'ordinateur point d'accès (qu'on appellera pc1) qui me permettent de bloquer les communications entre certaines adresses ip (entre elles) étant donné qu'elles transitent toutes par pc1. faudrait qu'il y ait un moyen de dire "si l'ip 1.1.1.10 veut communiquer avec 1.1.1.12 en passant par moi (pc1), je bloque le traffic" mais ça jsais pas faire :p


---------------
>> [MOD] Another PC in the wall <<
n°1115667
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-02-2009 à 19:42:49  profilanswer
 

Peux tu préciser ton architecture réseau, on ne va pas la deviner...
- est ce un réseau wifi
- tous les équipements sont-ils connectés via un switch avant d'arriver sur ton PC1 ou chaque équipement dispose d'un lien dédié jusqu'au PC 1
- si c'est un switch - est-il manageable ?

Message cité 1 fois
Message édité par o'gure le 22-02-2009 à 19:43:19

---------------
Ton Antoine commence à me les briser menus !
n°1115669
SpN
BF4: Joorem
Posté le 22-02-2009 à 19:46:13  profilanswer
 

Le DHCP permet justement d'attribuer une IP ainsi que d'autres paramètres dont le masque...
 
Quel OS ? IPTable ou PF en firewall ?

n°1115670
SpN
BF4: Joorem
Posté le 22-02-2009 à 19:46:46  profilanswer
 

o'gure a écrit :

Peux tu préciser ton architecture réseau, on ne va pas la deviner...
- est ce un réseau wifi
- tous les équipements sont-ils connectés via un switch avant d'arriver sur ton PC1 ou chaque équipement dispose d'un lien dédié jusqu'au PC 1
- si c'est un switch - est-il manageable ?


 
Ah bas voilà, on aurait du faire ça dés le départ :jap:

n°1115675
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 20:36:24  profilanswer
 

z'avez raison, first things first :)
comme dit plus haut, il s'agit d'un portail captif (sur pc1).
 
pc1 dispose de eth0 (prise ethernet) et wlan0 (connecté à mon modem, donc qui donne l'accès au net). eth0 est relié à un switch basic de chez basic ( http://www.peabird.com/produit_sol [...] b_sw5.html ).
 
sur pc1 j'ai : chillispot, serveur radius, serveur apache et mysql.
apache (héberge la page de login) et transmet le login+mdp à freeradius qui regarde dans la bdd sql si les infos sont correctes. si c'est le cas, freeradius dit à chillispot qu'il peut autoriser l'accès au net au pc en question.
en fait chillispot prend le contrôle totale de eth0. le serveur dhcp est "dans" chillispot donc configurable uniquement via le fichier .conf de ce dernier. (chilli.conf)
 

Code :
  1. # DHCP Parameters
  2. # TAG: dhcpif
  3. # Ethernet interface to listen to.
  4. # This is the network interface which is connected to the access points.
  5. # In a typical configuration this tag should be set to eth1.
  6. dhcpif eth0
  7. # TAG: dhcpmac
  8. # Use specified MAC address.
  9. # An address in the range  00:00:5E:00:02:00 - 00:00:5E:FF:FF:FF falls
  10. # within the IANA range of addresses and is not allocated for other
  11. # purposes.
  12. # Normally you do not need to uncomment this tag.
  13. #dhcpmac 00:00:5E:00:02:00
  14. # TAG: lease
  15. # Time before DHCP lease expires
  16. # Normally you do not need to uncomment this tag.
  17. #lease 600


 
il n'y a pas beaucoup de marge de manoeuvre donc... :/
 
sinon, on peut spécifier la plage du sous réseau ainsi :
 

Code :
  1. # TAG: statip
  2. # Static IP address pool
  3. # Used to allocate static IP addresses to clients.
  4. # Do not uncomment this tag unless you are an experienced user!
  5. statip 192.168.182.0/24


 
mais à part, j'ai pas trouvé ce qu'on pouvait changer d'autre pour le serveur dhcp... :/
 
j'ai connecté 3 autres pc sur le switch et tout marche nickel et quand j'affiche les clients connectés (au serveur radius) sur pc1, je les vois bien :

root@XPS-laptop:~# radwho
Login      Name              What  TTY  When      From      Location
steve      steve             shell S0   Sun 20:08 127.0.0.1 192.168.182.2
olivier    olivier           shell S2   Sun 20:06 127.0.0.1 192.168.182.4

 
olivier et steve peuvent donc se voir dans les favoris réseau par exemple et ayant activé le partage de fichiers sur chacune de ces machines, ils peuvent donc s'échanger des fichiers. sauf que moi, je voudrais que si spn et o'gure se connectent aussi au point d'accès, ils ne puissent pas voir steve et olivier! étant donné que depuis pc1 je peux voir qui a quelle ip, je me dis que ça doit être possible de le faire.


Message édité par newbee le 22-02-2009 à 20:36:45

---------------
>> [MOD] Another PC in the wall <<
n°1115676
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-02-2009 à 20:39:52  profilanswer
 

Si j'ai bien compris, au final tout le monde se connecte sur le switch ?
Pas de wifi dans l'histoire ? (je dis ça car je vois plus souvent des portails captifs dans le contexte wifi...)
 
Donc, si tout le monde se connecte sur le switch, qui d'après ton post n'est pas manageable (pas d'acl possible, pas de vlan possible), tu n'as malheureusement pas de solution via le PC1.


---------------
Ton Antoine commence à me les briser menus !
n°1115677
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 20:41:23  profilanswer
 

là j'ai un switch, mais je peux utiliser mon routeur wifi (dlink di-624) comme point d'accès wifi (en désactivant le dhcp)
 
edit : si je comprend bien, il faut pouvoir séparer les utilisateurs dès le point qui les relie (switch) afin de pouvoir les "manager"? et si j'utilise justement le routeur comme point d'accès? est-ce qu'il fait office de switch dans ce cas?


Message édité par newbee le 22-02-2009 à 20:47:05

---------------
>> [MOD] Another PC in the wall <<
mood
Publicité
Posté le 22-02-2009 à 20:41:23  profilanswer
 

n°1115678
SpN
BF4: Joorem
Posté le 22-02-2009 à 20:42:11  profilanswer
 

Ca changera rien, comme te l'a dit o'gure les postes clients ne passent pas par PC1, donc pas de filtrage possible, à moins d'avoir un switch administrable :)


Message édité par SpN le 22-02-2009 à 20:42:30
n°1115681
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 20:53:25  profilanswer
 

en effet, je viens de tester avec le dlink, j'ai lancé wireshark sur pc1 et pingué steve depuis olivier et pc1 ne capte rien.


---------------
>> [MOD] Another PC in the wall <<
n°1115688
sapphire a​depte xd
Online : bisondacier
Posté le 22-02-2009 à 21:22:28  profilanswer
 

:hello: Salut les gars ;)

 

Tu n'a pas de blacklist dans ton logiciel DHCP justement ? :)

 

edit: ah vi SpN , pas faux :D

 

Euhm, sinon une blacklist sur les postes, sa doit exister sa non ? Et ensuite tu fixes l'ip du poste sur ton serv DHCP ;)


Message édité par sapphire adepte xd le 22-02-2009 à 21:23:58
n°1115689
SpN
BF4: Joorem
Posté le 22-02-2009 à 21:22:50  profilanswer
 

Ils sont sur le même réseau IP donc pas de passerelle, et vu qu'ils sont connectés sur le même équipement réseaux, tout passe sur celui ci :)

n°1115690
sapphire a​depte xd
Online : bisondacier
Posté le 22-02-2009 à 21:27:46  profilanswer
 

Mais linux n'a pas de blacklist possible dans les settings du network ?
 
( pas une blacklist d'un switch ).

n°1115693
o'gure
Modérateur
Multi grognon de B_L
Posté le 22-02-2009 à 21:37:48  profilanswer
 

sapphire adepte xd> Tu parles de quoi au juste ?

 
  • Sur linux il y a un firewall netfilter/iptables dans lequel oui, il peut mettre des règles de filtrage pour empecher les 2 PC du LAN de discuter entre eux, hors le trafic des deux PC sur le LAN ne passe pas par le serveur, donc useless...


  • Si tu parles de blacklist au niveau du serveur DHCP pour l'attribution d'adresse IP, passerelle, etc... j'en vois pas bien l'utilité. L'intéret est que les PC soit adressés via DHCP puis "tombent" dans le portail captif avant d'aller sur le net. A ma connaissance on ne peut pas provisionner des règles de filtrage via DHCP, et sinon, cf. le 3ème point.


  • Quant aux PC clients eux même, ils sont sous l'administration de leur propriétaire (d'après ce que j'ai compris) et non sous celle de newbee.


Message édité par o'gure le 22-02-2009 à 21:43:20

---------------
Ton Antoine commence à me les briser menus !
n°1115698
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 22:02:09  profilanswer
 

donc c'est bien mort. je suis bête de pas avoir pensé que le trafic ne passerait pas par le pc1 une fois les ip attribuées, mes profs de réseau me buteraient pour ça  :whistle:


---------------
>> [MOD] Another PC in the wall <<
n°1115702
yo59
OCBoy
Posté le 22-02-2009 à 22:24:54  profilanswer
 

comme nous dans CoD4?

n°1115710
newbee
Alias : 0liveO1
Posté le 22-02-2009 à 22:54:11  profilanswer
 

sont pas aussi doués que vous ;)


---------------
>> [MOD] Another PC in the wall <<

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Restreindre accès entre clients

 

Sujets relatifs
Liste IP des clients connectés sur un serveursamba pb d'accès aux fichiers windows
Accès à des données en RAID1 mdadm depuis Windowsacces disque dur permanent sous mandriva 2009
accès shell vmware esxaccès disque
[PXE] Live CD pour clients diskless[FreeBSD] Apache 2.2 / Restriction d'Accès
[RESOLU]debian: grub, erreur de boot suite màjAccés au systemes apres avoir detruit un RAID1
Plus de sujets relatifs à : Restreindre accès entre clients


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR