Bonjour,
 
Voici mon soucis : j'ai actuellement sur mon reseau un firewall avec 3 cartes réseau, une pour le WAN (192.168.1.0/24), une pour le LAN (10.0.0.0/8) et une pour la DMZ (192.168.2.0/24).
 
Actuellement, les cartes de la DMZ et du LAN sont reliées à un meme switch, sur lequel je branche indifferement les serveurs de la DMZ et les clients du LAN.
 
Cette solution à l'air de fonctionner à peu près, mais néanmoins sur le firewall j'ai très regulierement des paquets rejetés par l'anti-spoofing, en fait ce sont des paquets venant du LAN mais qui arrivent sur l'interface de la DMZ !!!
 
Est-ce un probleme normal du au fait que j'ai plusieurs sous-réseau sur le meme swicth ? Je precise que ce switch est des plus basique, et n'est absolument pas administrable.
 
Dois-je utiliser 2 switchs, l'un pour le LAN et l'autre pour la DMZ ?
 
Merci de votre aide

Up

Oui il te faudrait impérativement 2 switchs, sinon il n'y a plus beaucoup d'intérêt à avoir un firewall (puis que physiquement, une machine du lan peut accéder à la DMZ sans traverser le firewall). Les paquets rejettés sont certainement des paquets provenants de ton WANL/LAN de type broadcast qui "échouent" sur ton firewall puisque tu n'as qu'un switch.

Il te faut un 2ème switch, plusieurs sous-réseaux IP sur un même réseau local c'est une erreur.

Humm, je vois pas comment un paquet pour passer d'un reseau à l'autre juste parce qu'il sont sur le meme switch, un switch n'est pas un routeur nan ?
 
Les paquets rejeté sont effectivement des paquets de broadcast pour la plupart, mais de temps en temps ce sont des paquets valides qui viennent d'une station du LAN, et donc la c'est un peu plus ennuyeux puisque ca coupe la connexion  
 
Bon enfin je pense que je vais investir dans un autre switch, merci de vos reponses

Ben c'est simple :
 
tu prends deux PC (configurés avec des sous-réseaux différents)reliés en direct via un cable croisé et tu regarde avec un sniffer si y'a des trucs qui passent.. tu verras que ça cause quand même entre les deux !     Donc si tu laisse un switch avec tout le monde connecter dessus ça fait la même chose en plus gros.
 
Si tu veux faire ça proprement sur un seul switch il faut que ce dernier supporte la création de VLAN. Et là, c'est déja un peu plus hermétique.

C'est sur qu'avec un VLAN ca serait impeccable, mais j'ai pas 450? à mettre dans un switch