Aller au contenu

Faire une black list sur DHCP server pour ne pas répondre à des adresses connues (DSM 7)


nono512

Messages recommandés

Bonjour à tous,
Je voulais savoir s'il était possible de configurer le serveur DHCP sur mon NAS Synology pour qu'il ne réponde pas à une adresse mac en particulier, faire une black list pour ne donner une adresse IP qu'au machines autorisée et ne pas répondre à une certaine adresse IP ?

Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

@nono512

Bonjour,

Pour ton information, que je sache, un serveur DHCP ne répond pas à des adresses MAC en particulier. Il attribue automatiquement une @IP unique correspondant à l'@MAC du périphérique qui se connecte sur le sous-réseau qu'il gère.

Ce que tu veux faire en terme de filtrage d'@IP est réalisé par le pare-feu du NAS. Donc dans celui-ci tu n'autorise que les @IP de ton choix et toutes les autres sont refusées.

Je t'invite à lire expressément ce TUTO : Sécuriser les accès à son NAS , il t'aidera à clarifier les choses tout en répondant à ton besoin ...

Par ailleurs, sauf erreur de ma part, il n'y a que sur le réseau WiFi que tu peux appliquer un blocage/filtrage sur des @MAC.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonjour 

c’est moi qui n’a pas été précis 

j’ai un routeur qui monte un VPN sur son interface WAN, si l’opérateur VPN ne répond pas c’est alors mon nas qui est serveur Dhpc sur le Lan qui lui donne un ip dû L’an et le VPN coté routeur ne remonte plus 

j’aurai aimé dire à mon serveur DHCP de ne pas répondre au broadcast de l’interface WAN pour ne pas lui attribuer d’adresse ip comme cela la sortie wan reste coupée / désactivée si le VPN n’est pas monté.

En fait j’aimerai dire au serveur dhcp de ne pas donner une adresse ip à un liste d’interfaces connues 

Lien vers le commentaire
Partager sur d’autres sites

il y a 53 minutes, nono512 a dit :

En fait j’aimerai dire au serveur dhcp de ne pas donner une adresse ip à un liste d’interfaces d'adresses MAC connues

Un serveur DHCP ne peut filter que les adresse MAC (et les options DHCP), et c'est une fonctionnalité qui n'est pas disponible dans le serveur DHCP de DSM.

Lien vers le commentaire
Partager sur d’autres sites

@nono512

Bonjour,

Désolé mais j'ai un peu de mal avec ton explication.

il y a une heure, nono512 a dit :

mon nas qui est serveur Dhpc sur le Lan qui lui donne un ip dû L’an et le VPN coté routeur ne remonte plus

"lui" si je te suis bien, serait ton VPN ?

Dans tous les cas, le canal VPN que tu établis sur l'interface WAN de ton routeur est une liaison (tunnel sécurisé et étanche par rapport à l'extérieur) qui va de ton routeur (depuis son @IP externe) vers les serveurs d'un fournisseur VPN tiers qui eux "remplacent" cette @IP externe par une autre @IP masquant ainsi ta réelle @IP externe sur la toile Internet.

Si ton NAS est le serveur DHCP de ton sous-réseau local (LAN), ce serveur DHCP ne fait t'attribuer des @IP LOCALES aux périphériques de ce sous-réseau local. Il attribue donc une @IP LOCALE à ton routeur qui y est connecté (à moins que tu n'ai déjà toi attribué à ton routeur un bail statique donc une @IP fixe).

En aucun cas cette @IP locale attribuée au routeur n'intervient dans l'établissement du tunnel VPN sur le réseau WAN de celui-ci et donc pourrait l'empêcher de s'établir. De toutes façons cette @IP locale n'est pas routable à l'extérieur !

Maintenant si les serveurs VPN de ton fournisseur tiers ne répondent pas, c'est normal que ton tunnel VPN ne s'établisse pas.

il y a une heure, nono512 a dit :

En fait j’aimerai dire au serveur dhcp de ne pas donner une adresse ip à un liste d’interfaces connues 

Qu'entends-tu par "listes d'interfaces connues" ? Si ce sont des @IP alors je te le répète, c'est le rôle du pare-feu du NAS d'assurer ce filtrage.

Mais pour clarifier les choses, c'est juste pour bien comprendre, ton infrastructure est bien de ce type :

1 - Internet  --- (@IP externe) BOX internet  ------ réseau local box LAN  ------ (WAN) Routeur  ------ réseau local ------ NAS (DHCP)

OU

2 - Internet  --- (@IP externe) BOX internet  ------ réseau local box LAN  ---|---- (WAN) Routeur 

     | ------ NAS (DHCP)

OU

3 - Internet ---(@IP externe) Routeur ------ réseau local LAN  ------ NAS (DHCP)

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Le test que j'ai fait est de faire un ping en continu sur une adresse IP quelconque sur le NET. Quand mon VPN est monté il passe normalement par le VPN et l'adresse publique vue est celle de mon fournisseur de VPN.

Par contre si je fait exprès de faire tomber mon VPN, le ping continue mais depuis mon adresse publique officielle qui est à nouveau exposée, et le VPN ne remonte plus tout seul.

J'aimerai que si le fournisseur de VPN vienne à couper l'accès pour des raisons technique, mon routeur coupe les flux internet jusqu'au rétablissement du service VPN et qu'aucun paquet ne sorte avec mon adresse IP publique officielle.

Lien vers le commentaire
Partager sur d’autres sites

@nono512

Bonjour,

Il y a 2 heures, nono512 a dit :

mon routeur coupe les flux internet jusqu'au rétablissement du service VPN et qu'aucun paquet ne sorte avec mon adresse IP publique officielle.

Personnellement, j'utilise les services de NordVPN et avec ce VPN (dans le client VPN) j'ai une fonction nommée "kill switch" qui me permet, lorsque le VPN n'est pas activé, de bloquer l'accès à internet dans sa globalité ou seulement aux applications que je désigne/sélectionne (par ex BitTorrent, Navigateur Web, etc ...).

Sauf erreur de ma part, je ne pense pas que les routeurs permettent directement ce genre de fonction. Renseignes-toi pour voir si ton client VPN de ton fournisseur tiers n'a pas aussi ce type de fonction qui correspond bien à ton besoin suscité.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.