Aller au contenu

Voyez vous un intérêt au subnetting


Messages recommandés

Salut à tous

J'ai actuellement un modem/routeur configuré en 192.168.1.1, derrière lequel se trouve un serveur et deux clients.

Tous le monde est donc en 192.168.1.x

Je viens tout juste d'acquérir une box Alix qui va faire office de parefeu grâce à monowall.

Pensez, d'un point de vue sécurité par exemple, que mon modem/routeur actuel relié à monowall devraient être dans un range d'IP, par exemple 192.168.1.0/24 et mon serveur ainsi que mes deux clients dans un autre range, par exemple 192.168.10.0/24 ?

Ou alors tout le monde en 192.168.1.0/24 ?

Merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites

C'est surtout pour que ca soit plus propre.

Pour faire ca bien meme tu peux faire du VLSM. Genre tes clients et serveurs tu les mets avec un masque /25 et entre ton routeur et ton parfeu tu fais du /29.

Exemple:

- 192.168.1.1 à 192.168.1.127; netmask 255.255.255.128 ==> les clients + les serveurs

- 192.168.1.128 à 192.168.1.132 netmask 255.255.255.248 ==> entre le parfeu et le routeur.

Ca permet d'éviter de gaspiller des ip. C'est à dire qu'il te restera encore de 192.168.1.133 à 192.168.1.255 pour faire d'autre sous réseau. Mais ca contribue en aucun cas à la sécurité (ou très très légerement). Pour la sécurité après, dixit VLAN

Lien vers le commentaire
Partager sur d’autres sites

le subnetting @ home , aucun interet ...

d'ailleur le subnetting meme en entreprise ca se fait de moins en moins on privilégie le VLAN (plus simple, plus pratique etc...)

m'enfin meme du vlan @home ......

sinon

entre ton routeur et ton parfeu tu fais du /29.

/30 plutot :D

2 bits -> 4@

1 @ réseau

1 @ broadcast

2 @ equipements

si tu veux gagner en sécurité, bien que ce soit relatif

tu peux changer de range d'ip genre passer en 10.0.0.0

Lien vers le commentaire
Partager sur d’autres sites

ok merci ....

Et pensez vous, maintenant que j'ai cette box avec monowall, derrière mon modem/routeur linksys, désactiver le parefeu du linksys ?

Cela risque d'être redondant d'avoir un parefeu sur le linksys (paramétrable ON/OFF) et en plus le monowall derrière qui est largement plus paramétrable.

Le problème c'est que le linksys est en "première ligne" sur le net et ne serait alors plus protégé .... mais en même temps que faudrait il protéger sur ce dernier, il n'y a rien "d'exploitable".... ???

Lien vers le commentaire
Partager sur d’autres sites

le subnetting @ home , aucun interet ...

d'ailleur le subnetting meme en entreprise ca se fait de moins en moins on privilégie le VLAN (plus simple, plus pratique etc...)

m'enfin meme du vlan @home ......

sinon

entre ton routeur et ton parfeu tu fais du /29.

/30 plutot :mad:

Oui petite erreur de calcul. Il étais tard (quelle excuse bidon :francais:).

edit: tu m'as mis le doute mais je fais bien toujours comme ca, parce que si je veux rajouter une machine sur le réseau parefeu / routeur j'ai pas besoin de revoir les adresses de mon réseaux car j'ai des adresses disponibles :mad:

En ce qui concerne le passage à 10.0.0.0 je vois pas quesque ca va apporté en sécurité. C'est juste une adresse de classe A qui permet d'allonger l'HOST ID (pour mettre plus de machine).

Pour augmenter la sécurité: ta les VLAN.

"Laisse le dans ton LAN", cela veut il dire que si je le met dans une DMZ il devra avoir un autre range IP ? non je pense .....

Quand tu utilise un parefeu (ou un routeur après tout c'est presque la même chose, c'est juste l'IOS qui change) tu as trois réseaux distinct minimum:

- le LAN espace "sécurisé" la où tu es sencé mettre tes clients et tes serveurs qui ne doivent pas être joignable depuis l'exterieur

- la DMZ (DeMilitared Zone) ici tu place tes machines qui ont besoin d'être joignable via l'exterieur (serveur WEB, serveur FTP, serveur Mail ...)

- La patte exterieur : ici c'est internet donc zone non sécurisé là où il y a les méchants.

Les adresses réseaux sont donc logiquement différentes.

En ce qui concerne les parefeu, tu actives celui le plus proche de la source des méchants, c'est à dire ton linksis si j'ai bien compris

Lien vers le commentaire
Partager sur d’autres sites

En ce qui concerne le passage à 10.0.0.0 je vois pas quesque ca va apporté en sécurité. C'est juste une adresse de classe A qui permet d'allonger l'HOST ID (pour mettre plus de machine).

en fait c'est simplement que les ip locale sont toujours en 192.168.1.0 ,

donc c'est surtout de changer l'ip du routeur quoi

edit: tu m'as mis le doute mais je fais bien toujours comme ca, parce que si je veux rajouter une machine sur le réseau parefeu / routeur j'ai pas besoin de revoir les adresses de mon réseaux car j'ai des adresses disponibles

moué

entre équipement réseaux en général t'as pas trop besoin de largesse dans les @ dispo

avec 3bit

t'as 6 ip libres dispo (j'ai viré réseau et broadcast )

pour 2 équipements. c'est du gachis :francais:

Lien vers le commentaire
Partager sur d’autres sites

En ce qui concerne le passage à 10.0.0.0 je vois pas quesque ca va apporté en sécurité. C'est juste une adresse de classe A qui permet d'allonger l'HOST ID (pour mettre plus de machine).

en fait c'est simplement que les ip locale sont toujours en 192.168.1.0 ,

donc c'est surtout de changer l'ip du routeur quoi

Ok donc gain mais minime ^^

edit: tu m'as mis le doute mais je fais bien toujours comme ca, parce que si je veux rajouter une machine sur le réseau parefeu / routeur j'ai pas besoin de revoir les adresses de mon réseaux car j'ai des adresses disponibles

moué

entre équipement réseaux en général t'as pas trop besoin de largesse dans les @ dispo

avec 3bit

t'as 6 ip libres dispo (j'ai viré réseau et broadcast )

pour 2 équipements. c'est du gachis :francais:

Bah pour lui ca lui servirait à rien je suis d'accord mais je t'explique la où ca ma était utile.

Dans une boite où j'ai fait un stage, il m'ont demandé de rajouter un routeur redondant dans le même réseau que celui du parefeu/routeur. S'il avait pas mis le /29, j'aurai du changer le netmask des équipements et donc couper la société d'internet pour quelques minutes.

Mais c'est vrai que pour son cas un netmask /30 suffit

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...