Sur la "lan", ce n'est pas de l'anti spoofing de se réduire aux adresses locales, en effet n'importe qui peut changer très facilement d'adresse locale
Bon, mise en conditions réelles:
lan0=192.168.1.xxx
dmz0=192.168.10.xxx
wan0=on s'en fout
Tu installes un firewall qui doit interconnecter ces 3 réseaux. Est-ce que tu trouves normal que ce firewall accepte en entrée sur son interface lan0 un paquet dont la source est 192.168.10.137?
Si oui, je ne préfère pas voir comment tu configures ce firewall... Si non, il faut chercher à comprendre pourquoi: parce que 192.168.10.137 n'est pas une adresse locale à lan0. Conclusion: le firewall doit se limiter à ne laisser entrer que les paquets dont l'adresse IP source est locale à l'interface. C'est quand même ça qu'on appelle de l'antispoofing, non?
Ce n'est pas le rôle d'un firewall que d'empêcher les machines d'un lan de se faire passer pour une autre machine de ce même lan (ou comme tu le dis, il faut faire 1 machine = 1 dmz).
[^] # Re: adresse privée sur l'interface publique ???!!!
Posté par pas_moi . En réponse à la dépêche Scan par témoin. Évalué à 5.
Bon, mise en conditions réelles:
lan0=192.168.1.xxx
dmz0=192.168.10.xxx
wan0=on s'en fout
Tu installes un firewall qui doit interconnecter ces 3 réseaux. Est-ce que tu trouves normal que ce firewall accepte en entrée sur son interface lan0 un paquet dont la source est 192.168.10.137?
Si oui, je ne préfère pas voir comment tu configures ce firewall... Si non, il faut chercher à comprendre pourquoi: parce que 192.168.10.137 n'est pas une adresse locale à lan0. Conclusion: le firewall doit se limiter à ne laisser entrer que les paquets dont l'adresse IP source est locale à l'interface. C'est quand même ça qu'on appelle de l'antispoofing, non?
Ce n'est pas le rôle d'un firewall que d'empêcher les machines d'un lan de se faire passer pour une autre machine de ce même lan (ou comme tu le dis, il faut faire 1 machine = 1 dmz).