• [^] # Re: adresse privée sur l'interface publique ???!!!

    Posté par . En réponse à la dépêche Scan par témoin. Évalué à 5.

    Sur la "lan", ce n'est pas de l'anti spoofing de se réduire aux adresses locales, en effet n'importe qui peut changer très facilement d'adresse locale



    Bon, mise en conditions réelles:

    lan0=192.168.1.xxx

    dmz0=192.168.10.xxx

    wan0=on s'en fout



    Tu installes un firewall qui doit interconnecter ces 3 réseaux. Est-ce que tu trouves normal que ce firewall accepte en entrée sur son interface lan0 un paquet dont la source est 192.168.10.137?



    Si oui, je ne préfère pas voir comment tu configures ce firewall... Si non, il faut chercher à comprendre pourquoi: parce que 192.168.10.137 n'est pas une adresse locale à lan0. Conclusion: le firewall doit se limiter à ne laisser entrer que les paquets dont l'adresse IP source est locale à l'interface. C'est quand même ça qu'on appelle de l'antispoofing, non?



    Ce n'est pas le rôle d'un firewall que d'empêcher les machines d'un lan de se faire passer pour une autre machine de ce même lan (ou comme tu le dis, il faut faire 1 machine = 1 dmz).