Bonjour,
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment, toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
J'ai trouvé la doc suivante : http://www.wlanfr.net/contenus.php?id=100. Avec cette doc seul les personnes autorisées se connectent mais rien n'empêche les gens de se voir entre eux.
Par avance,
Merci.
Etre seul
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
mise au point
par Mr M@gic » 27 Avr 2004 19:51
Dans le meilleur des cas, ton AP a des règles de firewall du genre dehors/dedans et donc tout tes postes dedans sont soit privé, soit public, mais en aucun cas les deux.
Utiliser Linux comme AP permet de profiter de la puissance d’iptables et de filtrer les trafics en fonction des adresses MAC. On pourra alors autoriser tout le monde à accéder au net tout en interdisant à voir les autres. J’ai pas testé ce mode d’utilisation mais j’ai des doutes sur les débits)
Si l’idée est d’ouvrir l’AP au public tout en permettant d’utiliser des services réseau privés, on peut alors utiliser des VPN. En général, pour faire passer des informations privées sur un réseau public on utilise les VPN. Certains psychopathes de la sécurité conseillent même de toujours en utiliser derrière une connexion wifi pour bien valider les utilisateurs.
Dans cette configuration, on installe un serveur VPN en frontal du réseau privé (entre l’AP et les éventuels postes filaires) et on estime que le réseau wifi est public. Les postes clients de l’AP disposent alors de 2 IP : celle de la carte physique publique, à protéger contre le net et celle logique ce la connexion VPN privé ou c’est la fête du slip.
Il existe peut être des AP puissants, mais j’en connais pas et ils devraient en toute logique coûter bonbon.
Utiliser Linux comme AP permet de profiter de la puissance d’iptables et de filtrer les trafics en fonction des adresses MAC. On pourra alors autoriser tout le monde à accéder au net tout en interdisant à voir les autres. J’ai pas testé ce mode d’utilisation mais j’ai des doutes sur les débits)
Si l’idée est d’ouvrir l’AP au public tout en permettant d’utiliser des services réseau privés, on peut alors utiliser des VPN. En général, pour faire passer des informations privées sur un réseau public on utilise les VPN. Certains psychopathes de la sécurité conseillent même de toujours en utiliser derrière une connexion wifi pour bien valider les utilisateurs.
Dans cette configuration, on installe un serveur VPN en frontal du réseau privé (entre l’AP et les éventuels postes filaires) et on estime que le réseau wifi est public. Les postes clients de l’AP disposent alors de 2 IP : celle de la carte physique publique, à protéger contre le net et celle logique ce la connexion VPN privé ou c’est la fête du slip.
Il existe peut être des AP puissants, mais j’en connais pas et ils devraient en toute logique coûter bonbon.
- Mr M@gic
- Second Maître
- Messages: 29
- Inscrit le: 27 Avr 2004 16:22
solution wlanfr
par Mr M@gic » 27 Avr 2004 20:34
La méthode de wlanfr transforme un linux en AP standard. Normal donc les postes Wifi continuent à se voir. Il suffit d’ajouter ce fameux plus qu’iptables permet :
Soit en français : insert en 1ere ligne de la règle de redirection le fait que les paquets qui ont pour source le réseau wifi et pour destination le réseau wifi soient détruit. (On part du principe que le réseau wifi est 192.168.0.0/24)
Est-ce que je m’ai bien fait compris
Normalement ça devrait être bon, mais j’ai pas testé. En plus il faudrait aussi faire une vraie configuration d’iptables (genre une qui commence par tout interdire, puis n’autoriser que ce qui est nécessaire) mais ça se fait pas a distance …
- Code: Tout sélectionner
iptables –I 1 FORWARD –s 192.168.0.0/24 –d 192.168.0.0/24 –j DROP
Soit en français : insert en 1ere ligne de la règle de redirection le fait que les paquets qui ont pour source le réseau wifi et pour destination le réseau wifi soient détruit. (On part du principe que le réseau wifi est 192.168.0.0/24)
Est-ce que je m’ai bien fait compris
Normalement ça devrait être bon, mais j’ai pas testé. En plus il faudrait aussi faire une vraie configuration d’iptables (genre une qui commence par tout interdire, puis n’autoriser que ce qui est nécessaire) mais ça se fait pas a distance …
- Mr M@gic
- Second Maître
- Messages: 29
- Inscrit le: 27 Avr 2004 16:22
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité