[Ran] questions sur m0n0wall

Dominique Guardiola Falco dguardiola at quinode.net
Jeu 16 Fév 20:13:16 CET 2006


>
> En WEP ou WPA, ce sont uniquement les appareils wifi qui  
> s'authentifient
> entre eux. Les clients filaires derrière n'ont rien à déclarer pour  
> passer
> dès lors que le tuyau est établi.

ok, c'est déjà une chose réalisable et simple donc
>
> Il faut par contre que tu te méfies des risques de pollution entre  
> usagers
> dûment authentifiés si tu utilises le mode bridgé sur les clients  
> wifi.
> Tous les ordis des clients se retrouvent ouverts les uns aux  
> autres. Les
> répertoires partagés sous LAN manager sont notamment visibles de  
> tout le
> monde et les éventuels virus peuvent librement circuler à travers  
> tout le
> réseau. Tu risques également des problèmes si quelqu'un active un  
> serveur
> DHCP quelque part sur le réseau, sans forcément en être conscient.  
> Il est
> cependant possible d'y remédier en distribuant des netmask de
> 255.255.255.255 aux clients en couche 2, mais c'est un peu sioux à  
> gérer au
> niveau du serveur DHCP et ça ne fonctionne que pour les clients  
> Windows,
> qui tolèrent que la passerelle par défaut ne soit pas dans leur  
> subnet.

ben mes bridges ne laissent rien passer au niveau DHCP, au point que  
je dois
mettre tout le monde en IP fixe, donc c'est pas grave - par contre je  
vais tous les
mettre en garde vis-à-vis du partage, mais c'est un peu leur  
responsabilité.

> Si les clients finaux sont derrière un client wifi bridgé, c'est  
> chaque
> client qui doit être authentifié, puisque chacun a une adresse IP  
> (et MAC)
> distincte sur le réseau. S'ils sont derrière un client d'AP  
> (passerelle
> locale), c'est l'appareil wifi qui doit être authentifié, et tout les
> postes qui sont derrière bénéficient de cette authentification.

excuse moi, mais je n'ai pas saisi la nuance entre "être derrière un  
client d'AP passerelle locale"
etre derriere un wrt client AP en mode bridge...
>
> Une autre alternative est d'utiliser PPTP et/ou PPPoE pour  
> authentifier les
> clients. Ca permet de crypter les communications de ceux qui sont  
> tracassés
> par la confidentialité tout en permettant aux autres de ne pas s'en
> soucier, en authentifiant cependant tout le monde, y compris  
> d'éventuels
> clients filaires. C'est la méthode que j'ai implémentée pour VaourNet


Oui ça m'était apparu possible en lisant la doc de monowall,
ça a l'air propre, mais est-ce que le cryptage ne te ralentit pas  
trop le débit de chacun ?

merci pour tes explications!




More information about the Ran mailing list