Partage internet reseau local nat pat

Support Debian
#1

bonjour ,
je souhaite réaliser un reseau local de partage de fichiers en nfs . je dois aussi partager une imprimante en usb ;par la suite je dois creer un petit logiciel en python pour que tous les membres du reseau local l’utilisent .

mon schema :

internet ----eth0 pc1 (serveur :impression ,de fichiers ,ordinateur ou se trouvera le logiciel) —eth1-------switch-------eth1 pc2

je pensais a faire du nat/pat pour securiser en suite avec de iptables ,afin de masquer les ip du reseau local.

1/ne serait il pas plus judicieux de mettre le serveur(pc1) derriere un ordinateur qui gererait le routage ,les tables nat ,iptables afin de mieux proteger mon serveur? internet ----ordi de routage----switch —pc1(serveur d’impression,partage nfs,logiciel)
—pc2
2/j’ai deja un routeur livebox pro; cela ne ferait il pas double emploi?ou les routeurs de fai sont douteux?

merci

#2

peut etre que je ne m’exprime pas correctement .
en fait ,apres avoir realisé le premier choix ,je me suis questionné sur le fait que je pourrais aussi masquer le serveur en plaçant un ordi de routage devant.puis une question arrive , pourquoi ne pas laisser faire la box?
bref je suis un peu perdu

#3

1/ Si la sécurité est un critère prépondérant, alors oui, c’est plus judicieux.
2/ Oui, les routeurs de FAI sont douteux pour de multiples raisons :

  • présence de backdoor car administrables à distance par le FAI (et qui sait qui d’autre)
  • possibilités de réglages limitées
  • absence de documentation détaillée des fonctionnalités.
#4

[color=#00BF80][quote=“PascalHambourg”]1/ Si la sécurité est un critère prépondérant, alors oui, c’est plus judicieux.
2/ Oui, les routeurs de FAI sont douteux pour de multiples raisons :

  • présence de backdoor car administrables à distance par le FAI (et qui sait qui d’autre)
  • possibilités de réglages limitées
  • absence de documentation détaillée des fonctionnalités.[/quote][/color]

Merci de ta reponse

1/ dans ce cas j’aurais aimé me servir d’un raspberry ,mais il n’y a q’une carte reseau ethernet ;il faudrait que j’utilise un dongle wifi pour le coté connexion a la box .cela aurait été interessant au niveau consommation . sinon utiliser un vieil athlon 2800 suffira t il ?ou alors acheter un ordi de base ?

2/ dans ce cas si j’ai deja un ordinateur routeur , dois je declarer ma livebox en dmz?(pour etre directement lié au reseau externe)
ou alors je la laisse en routeur avec mes ip autorisées ?(j’ai peur que ça fasse double emploi

#5

Je suppose que tu n’as pas de switch ethernet compatible IEEE802.1Q, ce qui aurait permis de transporter deux VLAN sur la même liaison physique.

Ou un adaptateur USB-ethernet.

Ce sera largement suffisant, mais beaucoup moins intéressant pour la consommation.

Qu’entends-tu par “déclarer ma livebox en DMZ” ? En général, on déclare “en DMZ” sur la box une machine qui va recevoir tout le trafic entrant par défaut.

Qu’entends-tu par “ip autorisées” ?

#6

-non je dispose d’un switch gs605 gigabit ethernet switch http://www.materiel.net/switch-ethernet/netgear-gs605-v3-14001.html

-un adaptateur usb/ethernet :est ce fiable , n’y a t il pas de perte ?

-[quote]Qu’entends-tu par “déclarer ma livebox en DMZ” ? En général, on déclare “en DMZ” sur la box une machine qui va recevoir tout le trafic entrant par défaut.[/quote] oui pardon , dans mes ports arriere de la livebox j’ai 5 ports ou je dois choisir lan ou dmz .je dois donc cliquer sur dmz le port ou le serveur nat/pat est connecté?(j’ai moyennement saisi le dmz ,juste que c’est comme si la livebox etait transparente

-adresses ip reservées en fonction de leurs adresse mac,dans parametres du lan.
mon mobile en wifi , mes ordis, …

#7

Ni plus ni moins qu’un adaptateur USB-wifi, avec les collisions en moins.
Je n’en ai jamais utilisé, mais l’USB 2 high-speed a un débit de signalisation de 480 Mbit/s et un débit utile constaté d’au moins 30 Mo/s avec un disque dur (le protocole USB n’est pas très efficace), à comparer avec le fast ethernet qu a un débit de signalisation de 100 Mbit/s et un débit utile constaté en transfert de fichier de 11 Mo/s.

A l’origine, la DMZ désigne un réseau isolé accessible de façon contrôlée à travers un firewall depuis internet et le LAN. Cf. la description sur Wikipédia par exemple. Mais cette dénomination a été détournée par les fabricants de routeurs basiques pour désigner une adresse IP du LAN (et par extension la machine qui a cette adresse) vers laquelle tout le trafic inattendu reçu d’internet est renvoyé. C’est en quelque sorte une redirection par défaut de tous les ports.

Ne connaissant pas la livebox pro, j’ignore quel type de DMZ elle met en oeuvre. Si elle permet de définir pour chaque port ethernet s’il appartient au LAN ou à la DMZ, j’aurais tendance à penser qu’il s’agit du concept originel. Si en revanche la DMZ ne prend pour paramètre qu’une adresse IP du LAN (qui sera celle du pare-feu), alors c’est plutôt la seconde définition.

Dans les deux cas, la box fait du NAT et n’est pas transparente.

De toute façon, si tu ne connectes à la livebox (aussi bien en ethernet qu’en wifi) que la machine qui va servir de pare-feu, alors le type de DMZ n’a guère d’importance puisque le segment réseau entre la box et le pare-feu sera de fait une sorte de DMZ dans les deux cas.

#8

merci de ton aide pascal.

pour terminer : j’ai appelé mon dealer pourqu’il me trouve un petit pc avec processeur atom ,pas besoin de gros disque dur ,pas besoin de carte graphique de compet et 2 interfaces . ainsi il ne consommera pas plus de 10w .

mon schéma sera le suivant :

box internet------eth0 (petit ordi nat/pat +iptables+sans gnome)eth1—switch----eth1 (pc1 serveur d’impression,partage de fichiers,logiciel partagé)
…----eth1 (pc2 client,partage de fichiers ,logiciel)

j’hesite avec 2eme choix a cause du placement du pc1 serveur de logiciel :

box internet------eth0 (petit ordi nat/pat +iptables+sans gnome)eth1----eth0 (pc1 serveur d’impression,partage de fichiers,logicieleth1—switch—eth1 (pc2 client,partage de fichiers ,logiciel)
mais cela ne me semble pas correct

#9

J’ai oublié de mentionner dans mon message précédent qu’une box peut être “transparente” en IPv4 (sans NAT) si elle peut être configurée comme un “simple pont”. Dans ce cas l’unique machine connectée dessus a l’unique adresse IPv4 publique de l’accès internet. Mais toutes les box ne le permettent pas. A ma connaissance les livebox classiques ne fonctionnent qu’en routeur avec NAT, je ne sais pas concernant la livebox pro.

Dans le pemier schéma, je suppose que le PC2 client est connecté directement au switch et non au PC1 serveur ?

Le second schéma est aussi correct mais sans intérêt, le PC1 serveur constituant alors un point de défaillance supplémentaire pour l’accès internet du PC2 client sans apporter d’amélioration de la sécurité.

#10

tu as le dreamplug qui convient pour ce genre d’usage
2 ports ethernet
wifi
faible consommation.
et tu trouves des distributions toute prête. Un coup de dd sur une carte SD, et ça roule.

#11

[quote=“PascalHambourg”]J’ai oublié de mentionner dans mon message précédent qu’une box peut être “transparente” en IPv4 (sans NAT) si elle peut être configurée comme un “simple pont”. Dans ce cas l’unique machine connectée dessus a l’unique adresse IPv4 publique de l’accès internet. Mais toutes les box ne le permettent pas. A ma connaissance les livebox classiques ne fonctionnent qu’en routeur avec NAT, je ne sais pas concernant la livebox pro.

Dans le pemier schéma, je suppose que le PC2 client est connecté directement au switch et non au PC1 serveur ?

Le second schéma est aussi correct mais sans intérêt, le PC1 serveur constituant alors un point de défaillance supplémentaire pour l’accès internet du PC2 client sans apporter d’amélioration de la sécurité.[/quote]

-dans le 1er schema le PC2 client est connecté directement au switch et non au PC1 serveur :exact

-j’avais vu vu , mais sauté le bridge ;si en plus tu me rajoutes des questions !!! :laughing:
penses tu qu’il y a un interet a faire un bridge dans ma config ou garder ce nat/pat?

#12

[quote=“piratebab”]tu as le dreamplug qui convient pour ce genre d’usage
2 ports ethernet
wifi
faible consommation.
et tu trouves des distributions toute prête. Un coup de dd sur une carte SD, et ça roule.[/quote]

merci j’irai voir :038

#13

Cela dépend de tes besoins et de ton utilisation de l’accès à internet.
Si le NAT de la box est gênant pour toi, alors il y a un intérêt à le désactiver. Sinon, pas vraiment.

#14

Cela dépend de tes besoins et de ton utilisation de l’accès à internet.
Si le NAT de la box est gênant pour toi, alors il y a un intérêt à le désactiver. Sinon, pas vraiment.[/quote]

naviguer sur des sites , voir quelques videos sur youtube ; pour l’instant pas de vpn en vue.

#15

Que des connexion sortantes simples (HTTP), donc, qui sont plutôt bien gérées par n’importe quel NAT.
Pas de connexion entrante ou de protocole “complexe” comme SIP (VoIP) ?

#16

[quote=“PascalHambourg”]Que des connexion sortantes simples (HTTP), donc, qui sont plutôt bien gérées par n’importe quel NAT.
Pas de connexion entrante ou de protocole “complexe” comme SIP (VoIP) ?[/quote]
pas pour l’instant , juste des connexion simple et des connexion ou je dois compléter des formulaires en python ,ensuite des emails hébergés par ovh .

#17

[quote=“Ulysse”][quote=“PascalHambourg”]Que des connexion sortantes simples (HTTP), donc, qui sont plutôt bien gérées par n’importe quel NAT.
Pas de connexion entrante ou de protocole “complexe” comme SIP (VoIP) ?[/quote]
pas pour l’instant , juste des connexion simple et des connexion ou je dois compléter des formulaires en python ,ensuite des emails hébergés par ovh .[/quote]

popopopop surement un peu de video surveillance , donc ça risque d’etre just…
quand certains fichiers sont volumineux passent dans un serveur nat/pat ,quelle caractéristique est importante ?le proc?la memoire ? le disque dur?

cela sera ma derniere question suite a ta question sur le sip .

#18

Que veux tu faire passer via le routeur au niveau de la video surveillance ? Le flux live de plusieurs cam en HD ?
Ou bien juste un flux basse résolution pour visualiser le déclenchement sur mouvement ?
Un proc ARM , 512Mo de mémoire est généralement suffisant, c’est plus le débit des interfaces qui est à surveiller, et la qualité du cable ethernet!

#19

[quote=“piratebab”]Que veux tu faire passer via le routeur au niveau de la video surveillance ? Le flux live de plusieurs cam en HD ?
Ou bien juste un flux basse résolution pour visualiser le déclenchement sur mouvement ?
Un proc ARM , 512Mo de mémoire est généralement suffisant, c’est plus le débit des interfaces qui est à surveiller, et la qualité du cable ethernet![/quote]

si je peux avoir une visualisation de 6 cameras en basse mais enregistrer en hd sur un dd ça ne me gene pas
mais j’aurais dans le futur un logiciel qui tourne pour les 3ordis + au moins une camera en hd ,donc je prefere voir plus grand que trop petit …

que me conseillerais tu ?(un bon compromis economie energie/bande)

#20

un ATOM, 4go DDR2 ?
mais j’ai une grosse interrogation :
j’ai de gros soucis sur mes deux ordis lorsque mes debian passent en veille prolongée :le net se coupe ,et pleins de petits bugs( changement de résolution lors du réveil…)
je remarque que lorsque j’allume l’ordi ,que je ne rentre pas mon login et mon mot de passe , je n’ai plus ce problème:il semble se mettre en veille mais ma copine a internet ;alors que , si je rentre le login et mot de passe ,que je reste inactif pendant un certain temps , que l’ordi se met en veille ,le partage de connexion ne passe plus vu qu’il coupe ma connexion en entrée de veille . cela remarche si je sors de ma veille .

j’ai peur qu’il y ait ces problèmes sur mon futur serveur …
pourtant 3/4 des serveurs mondiaux sont sous linux non??
est ce un problème de carte mère (marque?)
merci