[Ran] questions sur m0n0wall

Didier Lebrun dl at vaour.net
Ven 17 Fév 00:30:08 CET 2006


At 20:13 16/02/2006 +0100, you wrote:
> >
> > En WEP ou WPA, ce sont uniquement les appareils wifi qui
> > s'authentifient
> > entre eux. Les clients filaires derrière n'ont rien à déclarer pour
> > passer
> > dès lors que le tuyau est établi.
>
>ok, c'est déjà une chose réalisable et simple donc
> >
> > Il faut par contre que tu te méfies des risques de pollution entre
> > usagers
> > dûment authentifiés si tu utilises le mode bridgé sur les clients
> > wifi.
> > Tous les ordis des clients se retrouvent ouverts les uns aux
> > autres. Les
> > répertoires partagés sous LAN manager sont notamment visibles de
> > tout le
> > monde et les éventuels virus peuvent librement circuler à travers
> > tout le
> > réseau. Tu risques également des problèmes si quelqu'un active un
> > serveur
> > DHCP quelque part sur le réseau, sans forcément en être conscient.
> > Il est
> > cependant possible d'y remédier en distribuant des netmask de
> > 255.255.255.255 aux clients en couche 2, mais c'est un peu sioux à
> > gérer au
> > niveau du serveur DHCP et ça ne fonctionne que pour les clients
> > Windows,
> > qui tolèrent que la passerelle par défaut ne soit pas dans leur
> > subnet.
>
>ben mes bridges ne laissent rien passer au niveau DHCP, au point que
>je dois
>mettre tout le monde en IP fixe, donc c'est pas grave - par contre je
>vais tous les
>mettre en garde vis-à-vis du partage, mais c'est un peu leur
>responsabilité.
>
> > Si les clients finaux sont derrière un client wifi bridgé, c'est
> > chaque
> > client qui doit être authentifié, puisque chacun a une adresse IP
> > (et MAC)
> > distincte sur le réseau. S'ils sont derrière un client d'AP
> > (passerelle
> > locale), c'est l'appareil wifi qui doit être authentifié, et tout les
> > postes qui sont derrière bénéficient de cette authentification.
>
>excuse moi, mais je n'ai pas saisi la nuance entre "être derrière un
>client d'AP passerelle locale"
>etre derriere un wrt client AP en mode bridge...

En mode bridge (wl0_mode=wet), le WRT est transparent du point de vue IP et 
les paquets se propagent à travers tels quels pour constituer un seul 
subnet. En principe les paquets en broadcast (DHCP, LAN manager) traversent 
sans problème. S'ils ne traversent pas, c'est bizarre !

En mode client d'AP (wl0_mode=sta), le WRT se comporte comme une paserelle 
entre deux subnets (réseau global / réseau privé du client) en NATant les 
adresses du réseau du client, pour n'afficher qu'une seule adresse dans le 
subnet global. Ca isole donc le réseau de chaque client du réseau global. 
Les paquets en broadcast ne traversent pas, sauf si on introduit 
explicitement des règles de port_forwarding, et les virus non plus. Bref, 
chaque client est cosy chez lui, avec son propre DHCP, sans risque de 
pollution des voisins. En plus, il est possible d'activer le firewall pour 
les paranos.


> >
> > Une autre alternative est d'utiliser PPTP et/ou PPPoE pour
> > authentifier les
> > clients. Ca permet de crypter les communications de ceux qui sont
> > tracassés
> > par la confidentialité tout en permettant aux autres de ne pas s'en
> > soucier, en authentifiant cependant tout le monde, y compris
> > d'éventuels
> > clients filaires. C'est la méthode que j'ai implémentée pour VaourNet
>
>
>Oui ça m'était apparu possible en lisant la doc de monowall,
>ça a l'air propre, mais est-ce que le cryptage ne te ralentit pas
>trop le débit de chacun ?

En PPTP, il y a en effet un ralentissement, sauf si on a une machine 
puissante ou qu'on rajoute une carte crypto hardware. En PPPoE, il n'y a 
aucun ralentissement. L'idée est que les gens puissent utiliser PPTP 
lorsqu'ils veulent la sécurité, moyennant une diminution du débit, ou PPPoE 
quand ça n'a pas d'importance. En PPPoE, seule l'authentification est 
sécurisée (généralement en MsChap_v2), mais le flux est en clair. Cela dit, 
le ralentissement dû à PPTP n'a souvent aucun effet en pratique, puisque le 
réseau local débite généralement plus que la connexion à l'internet.

a+

--
Didier Lebrun
Le bourg - 81140 - Vaour (France)
tél: 05.63.53.73.41 (AM et soirée)
mailto:dl at vaour.net (MIME, ISO latin 1)
http://didier.quartier-rural.org/





More information about the Ran mailing list