Internet passerelle debian sur plusieurs vlan ?

Attention avec bridge-utils : le pontage réunit ensemble plusieurs réseaux en un même réseau (domaine de diffusion) au lieu de les isoler. Cela va un peu à l’opposé des VLAN, je trouve. Néanmoins il est possible de faire du filtrage sur un pont avec ebtables voire iptables, donc si c’est mieux pour toi de n’avoir qu’un seul sous-réseau IP commun à toutes les machines (et à la box internet), alors c’est une solution valable. Tu pourras même te passer de DHCP et DNS, la box internet jouant ce rôle.

Pour le filtrage iptables, il y a deux approches opposées :
a) on bloque tout par défaut et on accepte le trafic souhaité ;
b) on accepte tout par défaut et on bloque le trafic indésirable.

Chaque approche a ses avantages et inconvénients. Si on bloque trop, ça coince. Pas assez, on a une passoire…

Les paquets routés d’un réseau à l’autre passent dans la chaîne FORWARD, c’est là qu’il faut filtrer.

Approche a)
On autorise les flux entre internet et chaque VLAN dans les deux sens, et on bloque le reste :

iptables -P FORWARD DROP iptables -A FORWARD -i eth1 -o vlan+ -j ACCEPT iptables -A FORWARD -i vlan+ -o eth1 -j ACCEPT
Note : “vlan+” signifie n’importe quelle interface dont le nom commence par “vlan”.

Approche b)
On bloque les flux entre deux VLAN, et on autorise le reste :

iptables -P FORWARD ACCEPT iptables -A FORWARD -i vlan+ -o vlan+ -j DROP

Je pense plus à l’approche b, le but et la demande client est assez simple que ceux qui sont sur le vlan3 (anciennement Vlan5, je les est renommé car dans le switch je ne peux retirer le vlan défault enregistrer dedans et je trouve mieux VLAN2, 3, 4 même si perso ça n’a aucune importance le nom que je leurs donne ) ne puisse pas aller/utiliser sur les ressources (PC, Appareil IP comme cam de surveillances etc…), qui sont sur le vlan2 (anciennement Vlan4).

Merci d’avance pour la confirmation.

Quelle confirmation ?

C’est l’approche préférée des feignasses.

Ouais, ça a toujours l’air simple quand c’est exprimé en notions de haut niveau (client, ressource…). Mais voilà : les règles iptables ne traitent que des paquets IP, et au niveau du paquet IP les notions de clients et de ressources n’existent pas. Tout le boulot consiste à interpréter les demandes de haut niveau pour les traduire en règles iptables, et plus la demande est vague, plus les interprétations sont nombreuses.

Oyé Oyé,

Après avoir résolu mon soucis de net dans les vlan (grâce à votre aide), je reviens vers vous car je rencontre une autre demande qui n’était pas prévu à l’origine mais viens se rajouter maintenant.
Sur le réseau vlan admin, le client souhaite connecter un second décodeur tv livebox (slim), seulement comme je m’en douter il ne l’authentifie pas et il n’est pas fonctionnel.
Comment puis-je dans le vlan existant faire passer la tv aussi (je crois que la livebox utilise elle aussi un vlan particulier pour faire fonctionner ce service, et il possible de faire passer ces 2 vlan sur des ports déjà utiliser dans un autres vlan ?).

Merci d’avance et de nouveau pour votre aide.

Pourquoi dans le VLAN admin ?
Je ne sais pas comment fonctionne le décodeur TV, mais à mon avis il faut le mettre dans le même LAN que la box.

En faite le soucis c’est que tout les câbles tirés arrive sur le switch et que le seul câble qui apporte le net et qui sert à administrer l’établissement (vidéo surveillance IP etc…) ne vas pas sur la box.

Un seul câble pour tout ça ? Vous avez encore du coaxial ou bien il y a un switch secondaire ? Concrètement, quel est le chemin réseau complet entre la box et le décodeur ?