J'aimerais créer une topologie de réseau où tous les appareils IoT (imprimante, DVR, thermostat, lecteur BluRay, etc.) sont tous dans une DMZ et le reste de mes appareils sont tous sur le LAN. Notez que l'utilisation de DMZ ici est différente de la DMZ sur les routeurs et fait référence à une "zone du réseau dans laquelle je place les appareils auxquels je ne fais pas confiance pour ne pas essayer de pirater mon réseau".
Normalement, cela se fait en créant des passerelles à plusieurs niveaux (c'est-à-dire en ayant une passerelle dans la zone démilitarisée pour protéger le réseau local) ou en ayant une passerelle personnalisée à trois voies avec des règles iptables spéciales. J'ai fait les deux avant, mais les deux souffrent du problème qu'ils sont une solution de couche-3 et je cherche une solution de couche-2, principalement pour préserver le fonctionnement de mDNS et Service Discovery.
Ce que je pense vouloir, c'est permettre :
LAN --[n'importe quoi]--> DMZ
DMZ --[établi+diffusion+DHCP]--> LAN
Cependant, en regardant le ebtables la documentation, il ne semble pas que je puisse faire la différence entre établi les connexions ip et nouveau des connexions ip, ce qui est une caractéristique requise de mon plan.
Donc, il y a deux possibilités qui en découlent :
1) Déterminer comment utiliser ebtables de faire ce que je veux ; ou
2) Utiliser l'approche double-NAT et avoir un dispositif (RasPi ou autre) qui écoute les diffusions de Service Discovery sur la DMZ et les relaie sur le LAN.
La dernière question : Quelle est l'approche possible et/ou la plus facile à gérer du point de vue du temps que je vais devoir passer à bricoler pour que ça marche ?
Note : le marquage sous iptables 代わりに ebtables parce qu'apparemment je ne peux pas créer cette balise...
