VINDICATORs wrote:...
Mais bon, faut déjà une machine de plus, mais tu peux l'adapter avec des machines virtuels avec deux cartes réseaux physique
WAN-->freebox->MachinesVirtuels-->switch-->Clients
Tu cache et rend impossible toutes les connexions à l'hôte et ça tourne impec c'est très sécurisé invisible.
...
A une époque le sujet m'avait intéressé (et m’intéresse toujours mais bon que 24h dans une journée et en plus faut dormir ...).
Ce que j'avais en tête c'était de faire du PCI Passthrough avec une carte réseau qui voit le réseau externe dans la VM firewall ...
Du coup, il n'y a que la VM firewall qui voit la carte réseau sur le réseau externe.
Depuis, une chercheuse en sécu (il me semble) a poussé le concept d'isolation assez loin, elle en est arrivé à faire un OS basé sur des VM cloisonnées : Qubes, le tout avec du xen et du Fedora.
Sinon, je pense qu'il doit aussi être possible de faire un pont transparent en gardant la carte réseau qui voit le réseau externe gérée par l'hôte.
En tout cas : l'hôte ne doit pas être accessible en direct de l'extérieur sinon ça casse la sécu.
Si je reprends le schéma de VINDICATORS :
WAN->FreeBox->Carte Réseau externe->VM Firewall->Carte Réseau interne->Autres VM
Après ta carte réseau interne ça peut être une interface virtuelle.
http://blog.derouineau.fr/2011/09/presentation-de-qubes-os-los-client-ultra-securise/