Je pense qu'il y a clairement un problème de compréhension entre nous, et comme j'ai parlé de condescendance, tu me considère a ton tour comme tel, ca se mort un peu la queue ^^
Du coup je propose que nous reprenions sur des bases saines :)
Pour bien commencer : Je pense que tu as répondu a ma question avec le point ci après, apparemment trouvé dans une doc constructeur. C'est THE info que je cherchais a confirmer :
Je suis donc bel et bien obligé d'utiliser l'interface physique WAN du boitiers pour faire fonctionner du firewalling. Quel que soit le reste de la topology.
Je ne peux donc pas connecter la chose de la manière suivante et profiter du firewalling NET<>LAN sans aller faire mumuse en CLI pour tuner la chose car je n'utilise pas le port physique WAN du boitiers: (toutes les interfaces dans l'exemple sont adressée de manière adaptée selon le subnet)
FAI <----> Port WAN [Box] Port LAN <----{Subnet d'interco privé A}----> Port LAN [RT1900] Port LAN<----{Subnet d'interco privé B}----> Client direct (ou via Switch) avec pour default Gateway l'IP du port LAN du RT1900
A moins que le port WAN ne soit qu'un port physique comme tous les autres et que je puisse faire ça, auquel cas je pense qu'on aura trouver la source ne notre incompréhension car pour moi ce port ne peux que se connecter a l'arrivée ADSL :
FAI <----> Port WAN [Box] Port LAN <----{Subnet d'interco privé A}----> Port MAN[RT1900] Port Lan <----{Subnet d'interco privé B}----> Client direct ou Switch
Oui, pour faire du firewalling, forcément, faut bien que je route mes flux a travers le firewall a un moment ou un autre, on est d'accord. Mais tu te trompe si tu considère que routage, interface, et firewalling sont décorélés :
-> Je route ma default gw via un subnet, lui meme associé a une interface, donc oui l'interface peut être limitante pour la création de regle de firewall selon comment fonctionne SRM (exemple ci-apres sur netfilter, mais la notion ifIN et ifOUT associé a un flux sont présentes aussi sur ASA, Stonesoft ou Fortigate entre autre). Le pire c'est que je dis ca mais je me doute que tu le sais déjà.
Il est encore plus certains qu'on ne se comprend pas, car clairement un routeur Linux accompagné d'iptables et 2 interfaces pourrait parfaitement faire le taff, et je pense que tu connais cette techno. Tien d’ailleurs, je vais essayer d'utiliser ça pour essayer de t'expliquer ce que je cherche a savoir, ça nous aidera peut-être si on compare a un truc sur lequel on se comprend :
Ma question de base est vraiment simple au fond, et du coup de ce que je comprend du dernier quote de doc que tu as fait, il semble en effet nécessaire d'utiliser l'interface physique WAN du boitiers pour que les règles s'appliquent, merci pour l'info ! :) ET c'est donc bien un problème pour l'achat du matos comme je le redoutais (même si je cherchais a la base un autre type d'emmerde, comme celle sur mon netgear).
Et du coup maintenant qu'on a trouvé la première réponse, la nouvelle question pour sauver l'achat du RT19000 est (enfin c'est un redit, j'en parle ci-avant dans ce post) : Est ce que le port physique WAN (le bleu donc apparemment), peut être connecté directement sur un des ports LAN de la box et adressé pour communiquer a travers un subnet privé. -> Si c'est le cas, alors je peux faire fonctionner le firewalling comme espéré, autrement non. Ou sinon peut être connais-tu un tuto/une doc sur la modification a faire en CLI pour pouvoir utiliser un autre port que WAN quand on configure des regles de firewall?
Je ne vais pas répondre sur le "802.1x couplé à du 802.1q et du 802.1p, à ebtables ou encore à du DPI", c'est même pas imaginable avec le budget et le temps a accorder donc non, clairement je n'y avais pas pensé. La QoS n'est pas requise et le DPI c'est clairement too much pour juste bloquer quelques port en entrée et sortie, un truc basique pour un bon vieux firewall L4.
Voila, au fond, on avance ;)
Merci pour tes recherches !
Alex
NB : Je viens de me rendre compte que je basais tout mon raisonnement sur le fait que les interfaces ethernet "LAN" (pas la prise dédiée WAN donc, mais les Jaunes) du RT1900 étaient chacunes adressables dans differents subnet et non pas seulement en mode switch. En effet plus rien ne marche si ce n'est pas le cas. M'enfin quand même ca serait vraiment abusé si c'était pas le cas pour un "routeur".