Isoler mon réseau wifi du réseau privé?

Salut à tous et merci de m'accueillir parmi vous.

Je viens de découvrir que mes "clients" wifi avaient facilement accès au reste de réseau. Et ce malgré des mesures que je croyais bien suffisantes!!!
Pour info, ça se présente ainsi:

Entrent dans le 1er switch Netgear GS108:

- Modem-routeur adsl Zyxel Prestige 650H
- Recepteur satellite Dreambox
- Mon petit PC "de salon"
---Et un cat 5e (25 m. ) qui part vers un deuxième GS108 sur lequel sont connectés, entre autres:

-1 PC Win2k03 srv
-1 PC Linux Debian
-Un point d'accès wifi "Buffalo WHR-HP-G54"

L'accès au Wifi est doublement sécurisé. Mot de passe + filtre des Mac Adresses.
Ajoutons à cela que le Zyxel est un excellent firewall "matériel" qui autorise et redirige les seuls ports ouverts vers leur destination.

Les clients wifi reçoivent une ip 192.168.110.xxx (dhcp) et tous les autres postes ont une ip fixe 192.168.1.xxx
Malgré tout cela, j'ai pu constater qu'un client wifi peut se connecter à tous mes autres postes. ( Interface du Zyxel, gestion php de ma DB Mysql, Dreambox, et d'autres truc trop perso ou professionels !!!

Mes clients wifi sont triés, peu nombreux et dignes de confiance mais j'aimerais quand même isoler le réseau wifi du reste.
Je ne suis pas un pro des réseaux. Que pensez-vous de mon problème et quelle(s) solution(s) pourriez-vous me conseiller.

Mille mercis pour vos aide, astuces et commentaires.

Bien amicalement

Camo1000

PS Qui sont Camomille et Camo? Me serais-je déjà inscrit avec mes précédentes adresses email ???

Bonjour et bienvenue Camo

Peux tu préciser sur quel point d'accès se connectent tes clients WIFI ? (sur le buffalo du deuxieme Gs108 ?), les "mesures que tu croyais suffisantes", et enfin le type de chiffrage mis en place sur ton réseau WIFI, ainsi qu'une estimation de la complexité de ton "mot de passe WIFI" (nb de caractère, mdp aléatoire chiffre+lettre, ou un mot ?).

Les dernières infos c'est juste pour bien voir si ton réseau est bien protégé et t'aider à améliorer deux trois points si tu veux.

Salut l'Aigle,

Les "clients" se connectent sur le Buffalo, flashé avec un firmware de dd-wrt.
Security mode :WPA-Pre shared key.
WPA Algorithm: TKIP.
Le mot de passe fait 20 caratères (3 mots reliés entre eux par deux underscores).

Avant qu'il puissent se connecter, je dois entrer leur adresse Mac dans la liste des seules adresses autorisées à se connecter.

J'espère avoir répondu correctement à ta question. Je ne m'inquiète pas pour l'accès au réseau wifi mais j'ai certainement encore pas mal de choses à apprendre !!
Je te remercie pour ton aide.

Bien amicalement.

Camo1000

Matériellement je ne vois pas comment procéder pour le moment.

Logiciellement par contre sur ton pc debian, tu dois avoir samba. Dans ce cas la tu peux déjà restreindre l'accès à ce pC à tes clients dans les configurations de samba (hosts deny 192.168.110.), et n'autoriser que ta plage d'adresse Ip personnelle (hosts allow 192.168.1.).

Ensuite, sur ton serveur 2003 et ton pc de salon, désactiver le partage de fichier simple et ne l'autoriser que pour les utilisateurs de ton réseau personnel. Pareil sur le pc du salon.

Peut être as tu déjà fait tout ça. Le mieux serait une restriction matérielle mais vu que tu utilises des switchs de bonne qualité mais malheuresement non administrable, je vois pas comment faire pour le moment.

Sorry pour le retard
J'ai déjà fait à peu près tout cela et je crois aussi qu'il faudrait trouver une solution "matérielle".
Avant cela, je vais encore approfondir les règles de sécurité proposées par le Modem router Zyxel Prestige.

Encore bien merci pour ton coup de main!

Bien amicalement

Camo

Salut
Le plus simple serait de créer des Vlans (Réseau privé virtuel). Mais pour ca il te faut acheter un switch manageable.
Chez Zyxel ils ont une gestion un peu particuliere de pseudo Vlans qui te permet de définir quels ports du switch peuvent communiquer entre eux. Ca marche plutot bien.
A plus