Gestion des vlans dans un domaine

[lolo2000]

Bonjour.
La norme de sécurité TTPN, exige que tout les windows et winserver de production ne doivent pas avoir internet.
Mon pb, étant que les windows et les winserv de prod sont dans un domaine, mais sur un autre vlan.
Vlan administratif 101 /192.168.1.0
Vlan production 102 / 192.168.2.0

DNS 192.168.1.1
Plusieurs idée me sont venu:

 

1ere idee

je supprime le DNS de la carte réseau, mais les Windows et winserv de prod n'ont plus accès au domaine.
D'ailleurs cela pose aussi pb sur un serveur 2012 qui lui sert de partage.
Les différents partage sont accessibles par AD. Donc pas accès au domaine donc pas de partage.

 

2eme idee
Mettre un proxy cache et laisser le DNS sur la carte réseau.
Mais la encore les Windows et winserv ne voit pas le domaine.

 

3 ème idee
J'ai créé une règle dans le Firewall qui autorisé le vlan 101 à communiquer avec le vlan 102 avec  le port 53 à accéder au windows.
C'est non fonctionnel.
Il doit manquer quelque chose dans ma config.

J'espère avoir été clair.

Merci pour vos lumiere

Lolo

[Exelsis]

Il est tard j ai pas tout compris.

mais des règles sur ton pare feux ne suffiraient elles pas ?

[YBeth]

Pourquoi le port 53 ?

Que la Force soit avec toi !!!

[lolo2000]

Bonjour

Je pensais bien ne pas être clair, je vais essayer de l'être.

Dans mon infra j'ai plusieurs Vlan, les voici:

Vlan 101 en 192.168.1.0 administratif

Vlan 102 en 192.168.9.0 production

Vlan 103 en 192.168.11.0 production

 

Mon DC est sur le vlan 101 en 192.168.1.1

Mon dns est donc 192.168.1.1

Les Windows de prod ne doivent pas avoir internet

Mais les Windows de prod doivent pouvoir ce connecter à des volumes partagés sur le vlan 101.

 

Donc pour que les Windows de prod n'est pas internet, je supprime le dns sur leur carte réseau respective.

La je n'est plus internet, mais je perd aussi la liaison avec le domaine. Et forcément les volumes partagés.

Merci d'avance.

[lolo2000]

Po

Il y a 1 heure, YBeth a dit :

Pourquoi le port 53 ?

Que la Force soit avec toi !!!
 

53 c'est le dns

J'autorise dans mon Firewall le vlan 102 et 103 à accéder au 192.168.1.1

 

[YBeth]

Je suis plus axé système que réseau mais j'aurais ouvert tous les ports sur la vlan 101 et bloquer l'accès internet à la vlan 102 et 103 grâce au pare feu

Que la Force soit avec toi !!!

[Exelsis]

C est ton pare feu qui route entre les vlan ??

[Sinelys]

Si c'est ton firewall qui gère le routage intervlan, il te faut créer :

- 1 règle pour autoriser le trafic des vlan 102 et 103 vers 101

- 1 règle pour autoriser le trafic 101 vers 102 et 103

Eventuellement, ajouter les règles pour autoriser 102 et 103 à communiquer ensemble...

- 1 règle pour interdire le trafic de 102 et 103 vers ANY

Cela permettra à tes vlans de communiquer ensemble et d'interdire le reste.

 

[DeaconFraust]

Le 01/04/2021 à 23:46, Sinelys a dit :

Si c'est ton firewall qui gère le routage intervlan, il te faut créer :

- 1 règle pour autoriser le trafic des vlan 102 et 103 vers 101

- 1 règle pour autoriser le trafic 101 vers 102 et 103

Eventuellement, ajouter les règles pour autoriser 102 et 103 à communiquer ensemble...

- 1 règle pour interdire le trafic de 102 et 103 vers ANY

Cela permettra à tes vlans de communiquer ensemble et d'interdire le reste.

 

Je plussoie le commentaire de Sinelys.

Si ton trafic sort par un firewall, la notion d'accès à Internet ne dépend pas du port 54 ouvert ou non vers ton AD.
Il te suffit de ne pas autoriser tes vlan 102 & 103 à accéder à l'interface du firewall autorisant l'accès vers Internet et le tour est joué.
Je peux te proposer de te faire une petite matrice de flux si ca peut t'aider à cartographier la chose.