Zentyal Forum, Linux Small Business Server
International => French => Topic started by: Yanickp on February 14, 2014, 05:26:02 pm
-
Bonjour,
Voici mon problème,
J'ai 15 VLAN et je veux empêcher chacun des VLANs de communiquer entre eux et leurs permettre seulement d'avoir accès à l'Internet.
comment dois-je configurer les règles dans le module Paquet filter ?
Merci de votre aide.
-
Je n'ai pas implémenté de solution pour ce type de problématique mais comme chaque VLAN va être vu comme une interface et comme je suppose que tu vas tous les déclarer comme "interne", tous va se passer dans la section "internal networks" du FW.
Zentyal n'est pas très flexible de ce point de vue car cette même section gère les règles entre les réseaux internes et également les règles des réseaux interne vers internet (en fait vers les réseaux externes puisque c'est, en gros, la seule distinction qui existe dans Zentyal).
Donc soit tout est interdit et le serveur Zentyal fourni les services d'accès à internet (par exemple mail et proxy HTTP) soit il faut ouvrir un peu plus le FW et dans ce cas, je pense qu'il convient de créer des objets réseau correspondant à tes VLAN pour introduire des restrictions.
Selon ton plan d'adressage, il y a probablement moyen de faire ça en ne créant pas 1 objet réseau = 1 VLAN mais de faire des choses un peu plus avec un objet qui recouvre tous les VLAN et une règle en "négation".
A tester ;-)
-
Merci pour votre réponse,
voici se que j'ai déjà testé:
J'ai crée un objet pour chacun de mes VLAN que j'ai appelé VLAN1 ,2, 3 etc..
dans chacun des objets j'ai configuré la plage d'adresse 192.168.x.1 - 192.168.x.254 (x= le numéro du vlan)
Dans les règles de filtrage interne du fw j'ai configuré la règle suivante pour chacun des vlan:
Décision:Refuser source: VLANx destination: not VLANx service: tous
Il y a aussi la règle par défaut qui est:
Décision: accepter source:tous destination:tous service tous
Si j'efface la règle par défaut, Je ne peux plus communiquer entre les vlan mais je perd aussi l'accès à l'Internet
Si je la laisse au début tous est ouvert, j'ai accès à l'Internet et aux autres vlan.
Si je la place à la fin, j'ai le même résultat que si elle n'était pas là.
Avez-vous une autre suggestion ?
Merci!
-
Oui, j'en ai même plusieurs ;D
Si tu laisses en premier la règle par défaut, effectivement, rien ne se passe car cette règle match ;D
Si tu refuses de VLANx vers non-VLANx, ça répond à ton besoin à condition que Zentyal offre les services d'accès internet tel que le proxy HTTP ou le serveur de mail.
Si tu veux malgré tout avoir un accès direct à internet, tu peux faire un objet réseau du style ALL-VLAN de 192.160.1.1 à 192.168.15.254 et faire une règle du genre:
source: VLANx destination: ALL-VLAN decision: refuser
source: ALL-VLAN: destination: non ALL-VLAN décision: accepter
ou tu peux le faire avec beaucoup plus de règles individuelles au lieu de faire un scope qui regroupe tous les VLANs ;)
Does it help ?
-
Merci Christian de ta précieuse aide,
Avec ces règles, ça fonctionne parfaitement.
Problème résolu!
-
Avec ces règles, ça fonctionne parfaitement.
pas modeste mais j'avais assez peu de doutes :P
Problème résolu!
Cool mais ce qui serait bien puisque c'est résolu, c'est que tu modifies le titre de ton post initial pour le marquer comme [SOLVED] ou [RESOLU], ça aidera ceux qui cherchent une solutions à un problème similaire ;)