#1 Le 31/01/2019, à 01:34
- ReRRemi
[Résolu] Empêcher l'accès réseau d'une interface par une autre
Bonjour à tous,
Voilà un problème qui me chagrine et je n'arrive pas à trouver de solution sur internet :-/
J'ai X étudiants qui ont chacun un ordinateur et un mini serveur où ils peuvent communiquer en usb dessus en ssh.
Le serveur est relié sur le même réseau ethernet que les étudiants pour pouvoir se mettre à jours !
Donc chaque étudiant a son serveur et peut le modifier.
Le soucis c'est que quand un cable USB est mal branché ou que le serveur de l'étudiant est éteint, ben la requête de l'ip 192.168.7.2 va passer par l'ethernet du PC de l'étudiant, puis envoyé au switch de la box et à tous les hôtes connectés au switch !
Et là, c'est un serveur d'un autre étudiant qui répond ! Du coup il peut configurer sans le vouloir un serveur d'un autre étudiant ...
Le problème est que le serveur debian étudiant 2 dans notre exemple va répondre à la requête de l'étudiant 3 !
Le serveur debian étudiant 2 passe de l'interface eth0 à usb0 sans soucis.
J'ai l'exemple avec ce test :
$tcpdump -i eth0
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
18:11:23.734229 IP 192.168.7.2.ssh > 192.168.1.102.1829: Flags [P.], seq 590130862:590130990, ack 1648361325, win 571, length 128
...
Comment faire pour empêcher que l'interface usb0 répond à une requête venant du côté eth0 ?
Pour information voici comme est renseigné le fichier /etc/network/interfaces des serveurs debian :
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
iface usb0 inet static
address 192.168.7.2
netmask 255.255.255.252
network 192.168.7.0
Merci d'avance à toute personne pouvant m’aiguiller car je ne vois pas comment faire.
Bloquer une interface vers une autre en iptable je n'ai pas trouvé d'exemple sur internet ..
Dernière modification par ReRRemi (Le 01/02/2019, à 11:57)
Hors ligne
#2 Le 31/01/2019, à 16:28
- Arbiel
Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre
Bonjour
Question stupide de ma part ; Pourquoi ne pas définir un numéro de réseau spécifique pour chacun des réseaux entre le PC de l'étudiant et son serveur ?
Arbiel
Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04, GNOME 3.36.8
24.04 en cours de tests
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.
Hors ligne
#3 Le 31/01/2019, à 16:32
- ReRRemi
Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre
Bonjour
Question stupide de ma part ; Pourquoi ne pas définir un numéro de réseau spécifique pour chacun des réseaux entre le PC de l'étudiant et son serveur ?
Arbiel
Bonjour Arbiel,
Car les serveurs sont sur des raspberry. Je copie une image SD sur chacun d'entre eux donc ils ont tous la même configuration de base.
Ces raspberry n'ont pas d'écran ni de clavier pour y accéder en direct, il passe par un pc en usb justement.
Hors ligne
#4 Le 31/01/2019, à 16:43
- Arbiel
Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre
Je ne suis pas expert en réseau, cependant il me semble possible de programmer les tables de routage des raspbery pour leur faire rejeter tout message présenté sur leur interface eth0 à destination du réseau 192.168.7. Mais je ne sais comment programmer ces tables.
Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04, GNOME 3.36.8
24.04 en cours de tests
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.
Hors ligne
#5 Le 01/02/2019, à 11:58
- ReRRemi
Re : [Résolu] Empêcher l'accès réseau d'une interface par une autre
Résolu sur un autre forum,
Si des gens ont le même besoin que moi il faut simplement refusé les requêtes ARP venant d'autres interface avec la configuration sysctl :
net.ipv4.conf.eth0.arp_ignore=1
Hors ligne