Hello    
j'aurais besoin d'un ptit coup de main et j'espère que les gens du coin pourront m'aider. tout d'abord je tiens à préciser que je suis débutant sous linux
j'ai mis en place un portail captif avec chillispot et de ce fait, l'ordinateur que j'utilise comme point d'accès sert de serveur dhcp (du moins, c'est chillispot qui gère cela).
je voudrais pouvoir restreindre l'accès que les différents clients ont entre eux, du genre empêcher qu'ils puissent se pinguer ou même voir quelles sont les autres machines du sous réseau auquel ils appartiennent.
connaitriez-vous un moyen de faire cela?
 
merci d'avance pour votre aide

Joue avec le masque

aie = up

avec le masque ça marche pas puisque le serveur dhcp ne peut être paramétré pour avoir plusieurs masques côté client, ils sont sensés être en dhcp, donc je peux pas mettre leur masque en statique.
en fait, il me faudrait "un truc" sur l'ordinateur point d'accès (qu'on appellera pc1) qui me permettent de bloquer les communications entre certaines adresses ip (entre elles) étant donné qu'elles transitent toutes par pc1. faudrait qu'il y ait un moyen de dire "si l'ip 1.1.1.10 veut communiquer avec 1.1.1.12 en passant par moi (pc1), je bloque le traffic" mais ça jsais pas faire

Peux tu préciser ton architecture réseau, on ne va pas la deviner...
- est ce un réseau wifi
- tous les équipements sont-ils connectés via un switch avant d'arriver sur ton PC1 ou chaque équipement dispose d'un lien dédié jusqu'au PC 1
- si c'est un switch - est-il manageable ?

Le DHCP permet justement d'attribuer une IP ainsi que d'autres paramètres dont le masque...
 
Quel OS ? IPTable ou PF en firewall ?

 
Ah bas voilà, on aurait du faire ça dés le départ

z'avez raison, first things first
comme dit plus haut, il s'agit d'un portail captif (sur pc1).
 
pc1 dispose de eth0 (prise ethernet) et wlan0 (connecté à mon modem, donc qui donne l'accès au net). eth0 est relié à un switch basic de chez basic ( http://www.peabird.com/produit_sol [...] b_sw5.html ).
 
sur pc1 j'ai : chillispot, serveur radius, serveur apache et mysql.
apache (héberge la page de login) et transmet le login+mdp à freeradius qui regarde dans la bdd sql si les infos sont correctes. si c'est le cas, freeradius dit à chillispot qu'il peut autoriser l'accès au net au pc en question.
en fait chillispot prend le contrôle totale de eth0. le serveur dhcp est "dans" chillispot donc configurable uniquement via le fichier .conf de ce dernier. (chilli.conf)
 

 
il n'y a pas beaucoup de marge de manoeuvre donc...
 
sinon, on peut spécifier la plage du sous réseau ainsi :
 

 
mais à part, j'ai pas trouvé ce qu'on pouvait changer d'autre pour le serveur dhcp...
 
j'ai connecté 3 autres pc sur le switch et tout marche nickel et quand j'affiche les clients connectés (au serveur radius) sur pc1, je les vois bien :

root@XPS-laptop:~# radwho
Login      Name              What  TTY  When      From      Location
steve      steve             shell S0   Sun 20:08 127.0.0.1 192.168.182.2
olivier    olivier           shell S2   Sun 20:06 127.0.0.1 192.168.182.4
 
olivier et steve peuvent donc se voir dans les favoris réseau par exemple et ayant activé le partage de fichiers sur chacune de ces machines, ils peuvent donc s'échanger des fichiers. sauf que moi, je voudrais que si spn et o'gure se connectent aussi au point d'accès, ils ne puissent pas voir steve et olivier! étant donné que depuis pc1 je peux voir qui a quelle ip, je me dis que ça doit être possible de le faire.

Si j'ai bien compris, au final tout le monde se connecte sur le switch ?
Pas de wifi dans l'histoire ? (je dis ça car je vois plus souvent des portails captifs dans le contexte wifi...)
 
Donc, si tout le monde se connecte sur le switch, qui d'après ton post n'est pas manageable (pas d'acl possible, pas de vlan possible), tu n'as malheureusement pas de solution via le PC1.

là j'ai un switch, mais je peux utiliser mon routeur wifi (dlink di-624) comme point d'accès wifi (en désactivant le dhcp)
 
edit : si je comprend bien, il faut pouvoir séparer les utilisateurs dès le point qui les relie (switch) afin de pouvoir les "manager"? et si j'utilise justement le routeur comme point d'accès? est-ce qu'il fait office de switch dans ce cas?

Ca changera rien, comme te l'a dit o'gure les postes clients ne passent pas par PC1, donc pas de filtrage possible, à moins d'avoir un switch administrable

en effet, je viens de tester avec le dlink, j'ai lancé wireshark sur pc1 et pingué steve depuis olivier et pc1 ne capte rien.

Salut les gars

Tu n'a pas de blacklist dans ton logiciel DHCP justement ?

edit: ah vi SpN , pas faux

Euhm, sinon une blacklist sur les postes, sa doit exister sa non ? Et ensuite tu fixes l'ip du poste sur ton serv DHCP

Ils sont sur le même réseau IP donc pas de passerelle, et vu qu'ils sont connectés sur le même équipement réseaux, tout passe sur celui ci

Mais linux n'a pas de blacklist possible dans les settings du network ?
 
( pas une blacklist d'un switch ).

sapphire adepte xd> Tu parles de quoi au juste ?

• Sur linux il y a un firewall netfilter/iptables dans lequel oui, il peut mettre des règles de filtrage pour empecher les 2 PC du LAN de discuter entre eux, hors le trafic des deux PC sur le LAN ne passe pas par le serveur, donc useless...

• Si tu parles de blacklist au niveau du serveur DHCP pour l'attribution d'adresse IP, passerelle, etc... j'en vois pas bien l'utilité. L'intéret est que les PC soit adressés via DHCP puis "tombent" dans le portail captif avant d'aller sur le net. A ma connaissance on ne peut pas provisionner des règles de filtrage via DHCP, et sinon, cf. le 3ème point.

• Quant aux PC clients eux même, ils sont sous l'administration de leur propriétaire (d'après ce que j'ai compris) et non sous celle de newbee.

donc c'est bien mort. je suis bête de pas avoir pensé que le trafic ne passerait pas par le pc1 une fois les ip attribuées, mes profs de réseau me buteraient pour ça  

comme nous dans CoD4?

sont pas aussi doués que vous