Aller au contenu

kyuden

Membres
  • Compteur de contenus

    3
  • Inscription

  • Dernière visite

À propos de kyuden

kyuden's Achievements

Newbie

Newbie (1/14)

0

Réputation sur la communauté

  1. Je pense qu'il y a clairement un problème de compréhension entre nous, et comme j'ai parlé de condescendance, tu me considère a ton tour comme tel, ca se mort un peu la queue ^^ Du coup je propose que nous reprenions sur des bases saines :) Pour bien commencer : Je pense que tu as répondu a ma question avec le point ci après, apparemment trouvé dans une doc constructeur. C'est THE info que je cherchais a confirmer : Je suis donc bel et bien obligé d'utiliser l'interface physique WAN du boitiers pour faire fonctionner du firewalling. Quel que soit le reste de la topology. Je ne peux donc pas connecter la chose de la manière suivante et profiter du firewalling NET<>LAN sans aller faire mumuse en CLI pour tuner la chose car je n'utilise pas le port physique WAN du boitiers: (toutes les interfaces dans l'exemple sont adressée de manière adaptée selon le subnet) FAI <----> Port WAN [Box] Port LAN <----{Subnet d'interco privé A}----> Port LAN [RT1900] Port LAN<----{Subnet d'interco privé B}----> Client direct (ou via Switch) avec pour default Gateway l'IP du port LAN du RT1900 A moins que le port WAN ne soit qu'un port physique comme tous les autres et que je puisse faire ça, auquel cas je pense qu'on aura trouver la source ne notre incompréhension car pour moi ce port ne peux que se connecter a l'arrivée ADSL : FAI <----> Port WAN [Box] Port LAN <----{Subnet d'interco privé A}----> Port MAN[RT1900] Port Lan <----{Subnet d'interco privé B}----> Client direct ou Switch Oui, pour faire du firewalling, forcément, faut bien que je route mes flux a travers le firewall a un moment ou un autre, on est d'accord. Mais tu te trompe si tu considère que routage, interface, et firewalling sont décorélés : -> Je route ma default gw via un subnet, lui meme associé a une interface, donc oui l'interface peut être limitante pour la création de regle de firewall selon comment fonctionne SRM (exemple ci-apres sur netfilter, mais la notion ifIN et ifOUT associé a un flux sont présentes aussi sur ASA, Stonesoft ou Fortigate entre autre). Le pire c'est que je dis ca mais je me doute que tu le sais déjà. Il est encore plus certains qu'on ne se comprend pas, car clairement un routeur Linux accompagné d'iptables et 2 interfaces pourrait parfaitement faire le taff, et je pense que tu connais cette techno. Tien d’ailleurs, je vais essayer d'utiliser ça pour essayer de t'expliquer ce que je cherche a savoir, ça nous aidera peut-être si on compare a un truc sur lequel on se comprend : Ma question de base est vraiment simple au fond, et du coup de ce que je comprend du dernier quote de doc que tu as fait, il semble en effet nécessaire d'utiliser l'interface physique WAN du boitiers pour que les règles s'appliquent, merci pour l'info ! :) ET c'est donc bien un problème pour l'achat du matos comme je le redoutais (même si je cherchais a la base un autre type d'emmerde, comme celle sur mon netgear). Et du coup maintenant qu'on a trouvé la première réponse, la nouvelle question pour sauver l'achat du RT19000 est (enfin c'est un redit, j'en parle ci-avant dans ce post) : Est ce que le port physique WAN (le bleu donc apparemment), peut être connecté directement sur un des ports LAN de la box et adressé pour communiquer a travers un subnet privé. -> Si c'est le cas, alors je peux faire fonctionner le firewalling comme espéré, autrement non. Ou sinon peut être connais-tu un tuto/une doc sur la modification a faire en CLI pour pouvoir utiliser un autre port que WAN quand on configure des regles de firewall? Je ne vais pas répondre sur le "802.1x couplé à du 802.1q et du 802.1p, à ebtables ou encore à du DPI", c'est même pas imaginable avec le budget et le temps a accorder donc non, clairement je n'y avais pas pensé. La QoS n'est pas requise et le DPI c'est clairement too much pour juste bloquer quelques port en entrée et sortie, un truc basique pour un bon vieux firewall L4. Voila, au fond, on avance ;) Merci pour tes recherches ! Alex NB : Je viens de me rendre compte que je basais tout mon raisonnement sur le fait que les interfaces ethernet "LAN" (pas la prise dédiée WAN donc, mais les Jaunes) du RT1900 étaient chacunes adressables dans differents subnet et non pas seulement en mode switch. En effet plus rien ne marche si ce n'est pas le cas. M'enfin quand même ca serait vraiment abusé si c'était pas le cas pour un "routeur".
  2. Hello Fenrir ! Un poil condescendant comme retour, ou peut-être suis-je juste susceptible ^^ Tu ne devrais pas juger des compétences des gens sans savoir. Mais mon post était peut être a double sens et laissait supposer une question sur le réseau en lui même plutot que sur le SRM en lui même. Figure toi que sur le Netgear si la partie "Configuration Internet" n'est pas paramétrée, le menu "Paramétrage LAN" devient grisé, tout comme une pétrachiée d'autres. Toutes les feature (QOS, VPN/Firewalling/NAT/etc) impliquant des fonctionnalitée de routeur disparaissent. Bref il passe en mode bridge, juste parce qu'il n'a pas la connexion WAN activée/configurée. D'ou ma seule question, que je vais reformuler du coup: "Si je n'ai rien a cul du port WAN sur le RT1900AC, est-ce que je pourrais bien utiliser/exploiter la fonctionnalité de Firewalling LAN<>Internet (et donc évidemment le placer en Gateway quand même, mais placé en LAN(interco)/LAN(client) plutot que WAN/LAN(client))?". D’ailleurs, quand on lis la quote que j'ai mis, et la réponse que tu y donne, il semblerait que j'ai bien fais de poser la question. Si seule l'if WAN est bindé au service de firewalling, l'équipement ne répond pas au besoin (mais d'une façon différente de mon stupide Netgear certe). bref, je ne suis pas venu ici pour prendre un cours de réseau, par contre j'ai besoin d'info sur le SRM/le matos Synology :) . Il est claire que c'est le firmware du Netgear qui est complètement pourris, et comme je n'ai pas d'autres points de comparaison que mon r7000 dans le matos grand public, je voulais confirmer que tout était OK sur le SRM a ce sujet avant que 200 balles ne soient claqués. Quand aux solutions "hors de ma portée", je suppose que tu parle de me baser sur de l'open source, type Pfsence, iptables, Tomatoe, dd-wrt, squid, etc ---> Trop de temps a investir, de la maintenance, de la doc et de la formation pour que des gens qui n'y connaisse absolument rien puissent s'en servir. Or j'aide ponctuellement des proches a ce sujet, je ne fais pas partis de cette association et je n'ai pas autant de temps a investir pour gérer la chose surtout que je suis a Paris et l'assoc' a Poitiers. D'ou l'idée du Synology car ils ont une super WUI, MaJ automatique, Appli de prise en main via le smartphone quand y'a vraiment un cas urgent, etc. Ou alors tu parle d'autres Solutions propriétaire grand publique et du coup je suis tout ouie, tant que ca coûte toujours moins de 200e. Merci pour ton retour en tout cas. Une idée d'où je pourrais confirmer l'histoire du port WAN obligatoire pour faire du firewalling ? Alex
  3. Bonjour a tous, Afin de pouvoir gérer un peu de sécurité dans une association, je pense mettre en place un RT1900AC pour sa partie firewalling et sa facilité de management. Néanmoins, je possède moi même un R7000 de Netgear, et celui ci ne propose que très peu d'option réseau lorsqu'il est seulement en mode Access Point et non pas juste devant le WAN en mode router. Donc admettons que je ne puisse pas connecter le RT1900AC directement au WAN a l'Association, aurais-je toujours des fonctionnalités de firewalling (filtrage uniquement LAN<>Internet, pas de filtrage nécessaire en LAN<>LAN), ou rencontrerais-je les mêmes problème que sur mon R7000 ? Surtout que cet article n'est pas rassurant : https://www.synology.com/fr-fr/knowledgebase/SRM/help/SRM/RouterApp/security_firewall Du coup comment le Synology définit ou est le réseau "internet" ? Via l'interface qui porte la default gateway ? Seulement ce qui est derrière "l'interface Jaune" ? définissable manuellement ? Merci pour vos lumières ! Alexandre.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.