Pour que mes invités n'accèdent qu'à internet et pas au serveur de stockage

[knarf]

Hello

Je me demande comment faire, parce que là, je planche un peu

Sur Zentyal, j'ai créé des objets: antennes, appareils, invités

L'objet "invités" est en dhcp x.x.x.101-x.x.x.254
Les objets "antennes" et "appareils" sont déclarés par Mac Adress.

Dans les règles, j'ai fait ça

   Invités   192.168.1.2/32   Internet   --
   Appareils   Tous   Tous   --

L'adresse ip de destination est celle de zentyal côté Wan.

Est-ce qu'il y aurait quelque chose à rajouter?

Merci d'avance

[bruno85]

Salut,

je ne sais pas ou tu as defini ces règles, mais ne serait-il pas plus simple de gérer ça au niveau des ACL?
Si tes  "invités" sont dans un groupe n'ayant aucun accès à tes partages, le problèmes doit être réglé.
Non?

[knarf]

J'ai mis ces règles dans "Parefeu/filtrage de paquets/Réseaux internes"

Logiquement, il faudrait faire comme ceci, mais peut-être que je me trompe...

C'est quoi, ton histoire de ACL? On trouve ça où?

[bruno85]

salut, je ne comprend pas bien comment tu veux interdire cet accès avec cette règle.
A la limite, si tu veux utiliser le firewall,  tu pourrais interdire le service samba à partir de ces réseaux.

Sinon, pour les ACL, dans "partage de fichier" quand tu définis un partage, via le "controle d'accès", tu peut définir les autorisations pour des utilisateurs ou des groupes.

[knarf]

Ben en fait, le serveur de fichier est sur une autre machine, c'est pour ça que je me disais que cette règle pouvait aller

Zentyal fera ça plus tard, pour l'instant il gère le dhcp, le firewall et le dns

[knarf]

j'ai cherché mais en vain....

quand je mets une règle genre

Décision    Source    Destination    Service   
REFUSER    Invités   Appareils       Tous   
ACCEPTER   Appareils   Tous                   Tous   


tout ce qui est sur le réseau INVITéS passe sur tout le réseau interne mais pas sur le net, et quand j'inverse les valeurs, pareil.....

toujours dans [filtrage de paquets/réseaux internes]

je sèche complètement

on est bien d'accord que j'ai 3 réseaux: 1-ETH0 qui est en WAN connecté au routeur de mon FAI, 2-ETH1 qui est partagé en 2 --> 1 en fixe pour toutes les machines de mon réseau, et une partie en dynamique pour mes invités qui ne devraient pas accéder à mon NAS (pour rappel, le nas est une machine sur mon réseau, et je n'utilise pas Zentyal pour le partage de fichiers).

à l'heure de la modif de ce post, ceux qui se connectent en INVITéS, peuvent enfin accéder à internet mais peuvent toujours voir les machines de mon réseau ( ce que je ne veux pas, au cas où un guignol de voisin choppe mon wifi et fasse des choses illégales dessus )

Normallement, si j'ai bien capté le fonctionnement de Zentyal, dans [PARE-FEU/filtrage de paquets/réseaux internes] j'ai fait ça:

Décision    Source    Destination          Service
REFUSER   Invités   ip-du-nas              Tous
ACCEPTER   Appareils    Tous                   Tous
ACCEPTER   Invités    Tous                    Tous

mes appareils ont accès partout, ça c'est bon, mais par contre les invités arrivent à voir le NAS et y accéder comme s'ils faisaient partie de mon réseau... Petite précision, si j'enlève la règle {ACCEPTER   Invités    Tous                    Tous}, mes invités ne peuvent plus aller sur le net.

quelques idées?

[knarf]

Bon

J'ai encore des questions...

Toujours penché sur mon problème de partage d'adresses et de permissions...

je viens de remarquer un truc: quand je clique dans [PARE-FEU - FILTRAGE DE PAQUETS - RESEAUX INTERNES], l'url donne [/Firewall/View/ToInternetRuleTable]

y'a pas comme un problème??

"réseau interne"... "toInternetRuleTable"

c'est juste un problème de traduction, ou de renommage?

ou encore, simplement cela gère les règles LAN/WAN, et cela ne gère pas le LAN/LAN?