Author Topic: Plusieurs VLAN - résolu  (Read 1343 times)

Yanickp

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Plusieurs VLAN - résolu
« on: February 14, 2014, 05:26:02 pm »
Bonjour,

Voici mon problème,

J'ai 15 VLAN et je veux empêcher chacun des VLANs de communiquer entre eux et leurs permettre seulement d'avoir accès à l'Internet.

comment dois-je configurer les règles dans le module Paquet filter ?

Merci de votre aide.
« Last Edit: February 16, 2014, 11:15:03 pm by Yanickp »

christian

  • Guest
Re: Plusieurs VLAN
« Reply #1 on: February 14, 2014, 06:47:03 pm »
Je n'ai pas implémenté de solution pour ce type de problématique mais comme chaque VLAN va être vu comme une interface et comme je suppose que tu vas tous les déclarer comme "interne", tous va se passer dans la section "internal networks" du FW.
Zentyal n'est pas très flexible de ce point de vue car cette même section gère les règles entre les réseaux internes et également les règles des réseaux interne vers internet (en fait vers les réseaux externes puisque c'est, en gros, la seule distinction qui existe dans Zentyal).
Donc soit tout est interdit et le serveur Zentyal fourni les services d'accès à internet (par exemple mail et proxy HTTP) soit il faut ouvrir un peu plus le FW et dans ce cas, je pense qu'il convient de créer des objets réseau correspondant à tes VLAN pour introduire des restrictions.
Selon ton plan d'adressage, il y a probablement moyen de faire ça en ne créant pas 1 objet réseau = 1 VLAN mais de faire des choses un peu plus avec un objet qui recouvre tous les VLAN et une règle en "négation".

A tester ;-)

Yanickp

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Plusieurs VLAN
« Reply #2 on: February 15, 2014, 04:38:28 pm »
Merci pour votre réponse,

voici se que j'ai déjà testé:

J'ai crée un objet pour chacun de mes VLAN que j'ai appelé VLAN1 ,2, 3 etc..
dans chacun des objets j'ai configuré la plage d'adresse 192.168.x.1 - 192.168.x.254 (x= le numéro du vlan)
Dans les règles de filtrage interne du fw j'ai configuré la règle suivante pour chacun des vlan:

Décision:Refuser   source: VLANx  destination: not VLANx service: tous

Il y a aussi la règle par défaut qui est:
Décision: accepter  source:tous  destination:tous  service tous

Si j'efface la règle par défaut, Je ne peux plus communiquer entre les vlan mais je perd aussi l'accès à l'Internet
Si je la laisse au début tous est ouvert, j'ai accès à l'Internet et aux autres vlan.
Si je la place à la fin, j'ai le même résultat que si elle n'était pas là.

Avez-vous une autre suggestion ?

Merci!

christian

  • Guest
Re: Plusieurs VLAN
« Reply #3 on: February 15, 2014, 05:01:14 pm »
Oui, j'en ai même plusieurs  ;D

Si tu laisses en premier la règle par défaut, effectivement, rien ne se passe car cette règle match  ;D
Si tu refuses de VLANx vers non-VLANx, ça répond à ton besoin à condition que Zentyal offre les services d'accès internet tel que le proxy HTTP ou le serveur de mail.
Si tu veux malgré tout avoir un accès direct à internet, tu peux faire un objet réseau du style ALL-VLAN de 192.160.1.1 à 192.168.15.254 et faire une règle du genre:
source: VLANx  destination: ALL-VLAN  decision: refuser
source: ALL-VLAN: destination: non ALL-VLAN  décision: accepter

ou tu peux le faire avec beaucoup plus de règles individuelles au lieu de faire un scope qui regroupe tous les VLANs  ;)

Does it help ?


Yanickp

  • Zen Apprentice
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Plusieurs VLAN
« Reply #4 on: February 16, 2014, 05:48:29 pm »
Merci Christian de ta précieuse aide,

Avec ces règles, ça fonctionne parfaitement.

Problème résolu!


christian

  • Guest
Re: Plusieurs VLAN
« Reply #5 on: February 16, 2014, 08:14:55 pm »
Avec ces règles, ça fonctionne parfaitement.

pas modeste mais j'avais assez peu de doutes  :P

Quote
Problème résolu!

Cool mais ce qui serait bien puisque c'est résolu, c'est que tu modifies le titre de ton post initial pour le marquer comme [SOLVED] ou [RESOLU], ça aidera ceux qui cherchent une solutions à un problème similaire  ;)