Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 31/01/2019, à 01:34

ReRRemi

[Résolu] Empêcher l'accès réseau d'une interface par une autre

Bonjour à tous,

Voilà un problème qui me chagrine et je n'arrive pas à trouver de solution sur internet :-/

J'ai X étudiants qui ont chacun un ordinateur et un mini serveur où ils peuvent communiquer en usb dessus en ssh.
Le serveur est relié sur le même réseau ethernet que les étudiants pour pouvoir se mettre à jours !
Schéma explicatif
Donc chaque étudiant a son serveur et peut le modifier.

Le soucis c'est que quand un cable USB est mal branché ou que le serveur de l'étudiant est éteint, ben la requête de l'ip 192.168.7.2 va passer par l'ethernet du PC de l'étudiant, puis envoyé au switch de la box et à tous les hôtes connectés au switch !
Et là, c'est un serveur d'un autre étudiant qui répond ! Du coup il peut configurer sans le vouloir un serveur d'un autre étudiant ...
Schéma cas de figure problématique

Le problème est que le serveur debian étudiant 2 dans notre exemple va répondre à la requête de l'étudiant 3 !
Le serveur debian étudiant 2 passe de l'interface eth0 à usb0 sans soucis.

J'ai l'exemple avec ce test :

$tcpdump -i eth0
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:11:23.734229 IP 192.168.7.2.ssh > 192.168.1.102.1829: Flags [P.], seq 590130862:590130990, ack 1648361325, win 571, length 128
...

Comment faire pour empêcher que l'interface usb0 répond à une requête venant du côté eth0 ?

Pour information voici comme est renseigné le fichier /etc/network/interfaces des serveurs debian :

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

iface usb0 inet static
    address 192.168.7.2
    netmask 255.255.255.252
    network 192.168.7.0
 

Merci d'avance à toute personne pouvant m’aiguiller car je ne vois pas comment faire.
Bloquer une interface vers une autre en iptable je n'ai pas trouvé d'exemple sur internet ..

Dernière modification par ReRRemi (Le 01/02/2019, à 11:57)

Hors ligne

#2 Le 31/01/2019, à 16:28

Arbiel

Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre

Bonjour

Question stupide de ma part ; Pourquoi ne pas définir un numéro de réseau spécifique pour chacun des réseaux entre le PC de l'étudiant et son serveur ?

Arbiel


Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.

Hors ligne

#3 Le 31/01/2019, à 16:32

ReRRemi

Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre

Arbiel a écrit :

Bonjour

Question stupide de ma part ; Pourquoi ne pas définir un numéro de réseau spécifique pour chacun des réseaux entre le PC de l'étudiant et son serveur ?

Arbiel

Bonjour Arbiel,
Car les serveurs sont sur des raspberry. Je copie une image SD sur chacun d'entre eux donc ils ont tous la même configuration de base.
Ces raspberry n'ont pas d'écran ni de clavier pour y accéder en direct, il passe par un pc en usb justement.

Hors ligne

#4 Le 31/01/2019, à 16:43

Arbiel

Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre

Je ne suis pas expert en réseau, cependant il me semble possible de programmer les tables de routage des raspbery pour leur faire rejeter tout message présenté sur leur interface eth0 à destination du réseau 192.168.7. Mais je ne sais comment programmer ces tables.


Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.

Hors ligne

#5 Le 01/02/2019, à 11:58

ReRRemi

Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre

Résolu sur un autre forum,
Si des gens ont le même besoin que moi il faut simplement refusé les requêtes ARP venant d'autres interface avec la configuration sysctl :
net.ipv4.conf.eth0.arp_ignore=1

Hors ligne