Le pont écoute toute l’activité de chaque sous-réseau auquel il est connecté, les stocke en mémoire et les redirige vers le (ou les) sous-réseaux concernés. Il n’a pas besoin d’adresse MAC (donc pas besoin d’adresse IP non plus) pour fonctionner, et est donc totalement indétectable.
Avantages :
- un seul firewall à paramétrer pour tous le sous-réseau, inutile de s’afférer sur chaque poste.
- firewall redoutable, car invisible sur le réseau
Inconvénients :
- un unique firewall à paramétrer (le pont), des réglages trop laxistes peuvent permettre des intrusions, ou s’ils s’avèrent trop sévères supprimer des services.
- un reboot, panne du système... entraîne une perte de immédiate de connexion.
Prérequis :
- un noyau linux récent.
- la maîtrise poussée d’iptables (FORTEMENT recommandée).
- 1 pc avec au minimum 2 cartes réseaux, 3 est l’idéal.
- 2 pour la construction du bridge.
- 1 pour l’exploitation normale du système.
L’âge du capitaine importe peu, suffit qu’il soit stable (debian).
- 2 câbles croisés (les droits ne fonctionneront pas).
Conseils :
- être présent physiquement sur le système à bridger : la création du pont entraînera une perte de connexion.
- repérer précisément les cartes réseau (s’il en existe plus de 2)
- paramétrer finement le firewall en reprenant les spécificités de chaque machine présente sur le sous-réseau (port à ouvrir, redirection nat, flux vidéo....)
- s’assurer que le sous-réseau n’est pas utilisé avant un reboot.
RSS 2.0