Oui mais j’ai pas trouvé beaucoup d’infos sur le sujet. Quelques articles de Ivan le Terrible sur le sujet, et il en ressort qu’à chaque fois, tout repose sur des implémentations/bricolos pas très standardisés, que ça soit chez Cisco, Arista ou autre, et que tout le monde attend le Graal: un protocole de routage host-to-router.
Après, dans ce qui est accessible avec du matos standard: -sur le routeur Edge, assignation d’un /32 sur Eth X, routage du /32 Y du client vers l’interface Eth, et configuration en dur de l’adresse MAC de Y -sur la VM (Linux), assignation de Y sur eth0 et route par défaut avec un nexthop via X dev eth0 onlink C’est grosso-modo la méthode pour les IP FailOver OVH. C’est quand même crado, et ça marche pas quand on a pas accès à l’OS. Même pas essaye sur Windows, j’ose pas y penser. En plus, je vois pas de fonction de Clients Isolation sur les Linux Bridge ou OVS Bridge de Proxmox, donc pour sécuriser entre VM sur le même hôte, je vois pas. > Le 26 sept. 2020 à 16:56, Vincent Bernat <ber...@luffy.cx> a écrit : > > ❦ 26 septembre 2020 16:27 +02, David Ponzone: > >> Comme l’hébergement sérieux version 2020 m’est inconnu, je me >> demandais comment l'hébergeur gère la sécurité sur un LAN quand les >> machines qui y sont hébergées sont gérés par un tiers (risque d'IP >> foireuse, netmask foireux, proxy-arp, etc….). >> ARP en dur au niveau de l’équipement Edge, et désactivation/filrage >> des ARP Request vers le LAN et des gratuitous ARP venant du LAN ? >> Des trucs plus complexes ? > > Une archi en L3-only avec reverse path filtering élimine tous les > problèmes L2 que tu cites. > -- > Don't patch bad code - rewrite it. > - The Elements of Programming Style (Kernighan & Plauger) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/