Discussion :

[AndroJex]

Bonjour tout le monde,

Tout d'abord j'espère ne pas m'être trompé de section sur le forum pour poser ma question..

Voilà, j'ai chez moi un tout petit réseau que je souhaite couper en deux sous réseaux. J'ai vu que l'on pouvait le faire par des masques, j'ai essayé mais je ne suis pas arrivé à faire ce que je voulais... Pour expliquer ma demande rien de mieux qu'un petit schéma :

NeufBOX ---> Switch DLINK ---> Serveur WHS2011 HP Proliant

Switch DLINK ---> Serveur NAS Synology

Mon souhait est que :
Les deux serveurs puissent se connecter librement à internet
Le serveur Proliant puisse accéder aux données du serveur NAS
Le serveur NAS ne puisse pas accéder aux données du serveur Proliant

J'ai essayé de jouer avec les masques de sous réseaux pour "découper" le réseau mais je n'ai jamais réussi à parvenir à mes fins.

Même si la séparation de réseaux par des masques n'est pas si sécurisé (Rien n'empêche l'utilisateur du NAS de changer son masque) je souhaite faire avec les moyens du bord.

Au niveau des adresses IP des équipements je peux faire ce que je veux.

Je voulais d'abord savoir si finalement ce que je souhaite est faisable avec seulement des masques. Si oui, comment s'y prendre ?

Je vous remercie de m'avoir accordé de votre temps.

Cordialement

[Invité]

Salut,

pourquoi ne pas simplement configurer un filtre IP sur ton serveur en interdisant l'IP du NAS, je suppose que c'est un serveur Windows ?

C'est sûrement possible avec un script en utilisant la commande DOS netsh (cf Google) ou en configurant le pare-feu.

Il existe également des softs gratuits pour faire ce genre de choses (les IP Blockers).

Steph

[AndroJex]

Tout d'abord merci pour cette réponse rapide !

Je vais donc abandonner l'idée de la segmentation du réseau par les masques et regarder du côté des firewalls et IPBlocker. Par contre en utilisant un IP Blocker (Comme BeeThink IP Blocker par exemple) pourrais-je quand même accéder au serveur NAS depuis le serveur Proliant ? Pour y déposer et télécharger des données ?

Bonne soirée

[Invité]

Excellente question

Concernant l'IP Blocker, tu as sans doute raison, tu ne pourras pas établir de connexion sur le NAS puisque ça travaille au niveau IP.

En revanche, par configuration du pare-feu, c'est normalement possible puisque dans ce cas, on est en mode stateful : tu interdiras le NAS d'initialiser la moindre connexion. Mais une fois la connexion démarreée par ton serveur, le NAS pourra causer avec.

Steph

[AndroJex]

Du coup j'ai essayé de configurer le parfeu de windows home server 2011 pour empêcher la connexion entrante de l'adresse IP du NAS et je n'y suis pas arrivé. Je n'ai pas encore trouvé le moyen de bloquer la connexion entrante en choisissant une IP, je peux que bloquer un port avec le protocole TCP / UDP...

[AndroJex]

Ca y est ! J'y suis parvenu, enfin.

J'ai crée une règle de connexion entrante de type bloquante et dans l'onglet "étendue", j'ai renseigné une plage d'adresse IP (192.168.2.1 - 192.168.2.254) et cela à l'air de fonctionner. J'arrive à accéder au NAS à partir du serveur mais pas l'inverse. Et lorsque je désactive cette règle, la connexion fonctionne dans les deux sens.

Merci beaucoup pour votre aide.

[Invité]

Là, difficile de t'aider, je ne connais pas ce produit et pour être honnête, je ne sais même pas si c'est possible...

Et quand bien même tu pourrais bloquer les connexions entrantes depuis une certaine adresse IP, je ne sais pas si ce produit se comporte comme un firewall stateful

Steph

[AndroJex]

Pour le moment les connexions entrantes ont l'air d'être bloqué, je n'arrive pas à accéder aux partages du serveur HP, je ne peux pas lui faire de ping,.. C'est déjà une chose, ce sera mieux que rien. Après à voir s'il y a moyen de se connecter quand même à ce serveur par le biai du NAS malgré cette règle.

Je vais continuer de me documenter sur tout ce qui est réseau. D'ailleurs connais-tu un site web bine fait qui regroupe pas mal d'infos à ce sujet ?

Bonne journée

[Invité]

Mon message #7 était en réponse au message #5, j'avais donc pas vu le message #6 avant de poster

Après à voir s'il y a moyen de se connecter quand même à ce serveur par le biai du NAS malgré cette règle

Pas possible en théorie puisque toute connexion entrante depuis le NAS se présentera avec une adresse IP source 192.168.2.x.

j'ai renseigné une plage d'adresse IP (192.168.2.1 - 192.168.2.254) et cela à l'air de fonctionner

En revanche, tu interdis tout le réseau...
Il n'y avait pas moyen d'interdire le NAS seulement ?
Si c'est à base de masques, tu pourrais simplement interdire l'adresse 192.168.2.x avec un masque 255.255.255.255 (x étant l'adresse IP du NAS).

Steph

[AndroJex]

Oui il y avait moyen de définir qu'une seule IP au lieu d'une plage, mais j'ai choisis d'interdire la plage 192.168.2.x entière, comme ça si j'ai d'autres pcs ou serveurs NAS à ajouter un jour je les mettrai sur ces adresses IP.