salutlesrageux | Couper internet d'une prise réseau tout en gardant le réseau local |
1 #1 |
---|---|---|
Je suis accro
Inscrit: 10/02/2017 20:27
Post(s): 1572
Karma: 1102 |
Bonjour,
j'ai en interne un serveur qui me sert de serveur pour la sécurité vidéo et j'ai besoin qu'il soit en local uniquement... Hors il y a internet qui passe par son câble réseau et je trouve pas comment garder le réseau local en coupant internet. Vous avez une solution simple ? Une ligne à taper dans l'invit de commande ? Merci d'avance
Contribution le : 16/02/2017 09:45
|
|
Signaler |
-JoJo- | 1 #2 |
|
---|---|---|
J'aime glander ici
Inscrit: 25/12/2007 00:19
Post(s): 5077
Karma: 2246 |
Et ce "cable internet" il est branché à quoi? Routeur?
Sans cette information, on peut pas t'aider, on a besoin de connaitre l'infrastructure de ton réseaux.
Contribution le : 16/02/2017 09:49
|
|
Signaler |
salutlesrageux | 0 #3 |
|
---|---|---|
Je suis accro
Inscrit: 10/02/2017 20:27
Post(s): 1572
Karma: 1102 |
Citation :
C'est l'admin réseau qui à installé ça, le serveur est branché à un switch 16 slots qui lui est branché au routeur internet j'ai l'impression. Si je passe pas directement par lui c'est par ce que j'aimerai bien m'en passer, c'était volontaire de sa part de faire que le serveur capte internet mais ça me plaît pas du tout. J'imaginai qu'il suffisait d'une manip sur le serveur en lui même pour lui couper internet, non ?
Contribution le : 16/02/2017 09:55
|
|
Signaler |
-JoJo- | 1 #4 |
|
---|---|---|
J'aime glander ici
Inscrit: 25/12/2007 00:19
Post(s): 5077
Karma: 2246 |
Contribution le : 16/02/2017 10:59
|
|
Signaler |
Skity | 1 #5 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@NeekyZback
Ou sinon, tout simplement, tu enlèves la GW par défaut sur le serveur que tu veux protéger Tu fais en sortes qu'il n'y ait pas un DHCP qui traîne sur le réseau qui pourrait remettre la gw par défaut (ou alors configurer le DHCP pour éviter de la faire) et voilà terminé Ton PC a accès qu'en local. Perso, je trouve ça plus simple que de l'iptables quand tu n'as pas l'habitude
Contribution le : 16/02/2017 20:25
|
|
Signaler |
salutlesrageux | 0 #6 |
|
---|---|---|
Je suis accro
Inscrit: 10/02/2017 20:27
Post(s): 1572
Karma: 1102 |
Merci beaucoup, je vais check ça demain matin
Tant que j'y suis, un moyen de limiter la bande passante réseau utilisé par une application Windows ? Si je veux accéder aux caméras depuis un autre pc que celui dédié, le soft me bouffe toute la bande passante vu qu'il y a une 15aine de cams et je peux quasiment plus aller sur internet. J'avais trouvé un logiciel pour faire ça mais en version d'essai c'était pas top.
Contribution le : 16/02/2017 20:34
|
|
Signaler |
Arsenick | 1 #7 |
|
---|---|---|
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6502
Karma: 1045 |
Citation :
désolé mais Pour limité l'accès WAN d'une machine ça se fait via le firewall si on veux travailler proprement. Si ton install à été faite par une personne qui s'y connais, ton réseau est séparer en 2 : LAN || DMZ || WAN. Seul les machines en DMZ ont un accès WAN donc si une machine est configurer dans la zone LAN, le firewall bloque son accès WAN. Enfin ça c'est la théorie parce qu'en pratique cela dépends de la taille de ton réseau : dans les petites structures (type petite pme ou particulier) il n'y a pas de DMZ. :oops: Concernant la limitation de la bande passante, certain modèle de firewall te permette "d'étrangler" certaine machine / port. La version sale c'est de mettre un switch bas débit entre ton serveur et ton patch panel.
Contribution le : 16/02/2017 21:54
|
|
Signaler |
Adr1enb | 2 #8 |
|
---|---|---|
La loi c'est moi
Inscrit: 19/04/2008 16:29
Post(s): 8776
Karma: 2423 |
Citation :
Goulot d'étranglement sur la carte réseau ou le switch? T'as du Gigabit partout ?
Contribution le : 16/02/2017 22:00
|
|
Signaler |
salutlesrageux | 0 #9 |
|
---|---|---|
Je suis accro
Inscrit: 10/02/2017 20:27
Post(s): 1572
Karma: 1102 |
Sur la carte réseau de mon pc, qui d'ailleurs n'en est pas une dédiée maia simplement un port réseau sur ma cm, me semble pas qu'elle soit gigabit. Je check demain là j'écris de mon smartphone, c'est pas le top.
Merci pour les infos mais ne soyez pas trop techniques svp, je m'y connais un peu plus que la moyenne mais je suis loin d'avoir les capacités d'un admin réseau
Contribution le : 16/02/2017 22:19
|
|
Signaler |
Arsenick | 1 #10 |
|
---|---|---|
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6502
Karma: 1045 |
@NeekyZback Plus vraiment besoin, la pluspart des firewall ont une interface de gestion graphique qui permet de config pas mal de truc en quelques clic donc plus besoin de connaitre les lignes de commande etc...par contre c'est aussi plus facile de planté ta config :lol:
Bref une idée de comment les choses fonctionne et des bonnes pratiques sont suffisante, sans oublier LA règle N°1 en informatique: en cas de doute, s'abstenir.
Contribution le : 16/02/2017 22:28
|
|
Signaler |
Skity | 0 #11 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@Arsenick lol
Oui mais ça reste simple. C'est sûr que normalement faut un firewall pour ça ... Donc jouer avec l'iptables ou le Ca dépend si monsieur cherche à faire propre ou à ne pas se casser la tête @Adr1enb Je suis d'accord. Ca put le goulot d'étranglement. @NeekyZback Pas moyen de réduire la qualité des vidéos ?
Contribution le : 16/02/2017 23:40
|
|
Signaler |
Arsenick | 2 #12 |
|
---|---|---|
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6502
Karma: 1045 |
@Adr1enb : je dirai l'inverse, son flux est trop gros (je parle de flux vidéo bande de pervers! :D) et sature le réseau.
@Skity Oui c'est plus simple mais si il veux se passé de l'admin réseau le mieu c'est de l'aiguiller direct sur un truc propre parce que faire du sale sur du sale à force on se retrouve avec une merde monstre qui fonctionne par chance et par habitude. Pour faire du sale, il faut une maîtrise parfaite du propre ^^. Citation :
Et tu as totalement raison, un serveur prévu pour du local (LAN) n'a rien à faire avec une connection internet, c'est une faille de sécurité. Pour faire simple et t'expliquer (si besoin ), un réseau est globalement désigner en 3 "couches", LAN / DMZ / WAN. LAN : c'est le réseau local, toutes les machines de se réseau sont sur et n'ont pas d'accès internet direct. WAN : c'est internet, toutes les machines de se réseau doivent être considérer comme corrompue (paranoia, paranoia, everyone come to get me... :lol: ) DMZ ou zone démilitarisée : C'est la zone de jonction entre le LAN et le WAN, ces machines sont accessible depuis le net et donc considérée comme potentiellement corrompue. Donc si ton serveur de vidéo ne dois pas être visible depuis le net, il dois être mis dans le LAN sans accès extérieur. En gros les régles de routages sont les suivantes: LAN to LAN : Accept LAN to WAN / WAN to LAN : Reject DMZ to ANY / ANY to DMZ: Accept ANY to ANY : Reject La dernière ligne est soumise à débat, certain admin réseau accepte tout par défaut et crée des exception de blocage, pour ma part je préfère refuser tout et accepté les exceptions, je trouve ça plus sécuritaire. Perso, je te conseil fortement d'avoir un vrai firewall et pas te servir d'une machine comme firewall, Zyxel par exemple fait de petit firewall efficace, bon marché (250€ le moins cher il me semble) et une interface graphique facile à manipuler. Dernier point, les PCs (caisse comprise vu leur connection au net) sont à mettre en DMZ, de nouveau c'est sujet à débat, certain admin les mettes en LAN. Voilou, si t'as des question hésite pas (dans la limite de mes connaissance, je suis pas admin réseau non plus ^^) PS: 250€ c'est pas rien pour une personne lambda, ici on parle d'achat société soumis à une fiscalité différente. ^^
Contribution le : 17/02/2017 10:24
|
|
Signaler |
Skity | 0 #13 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
Pour compléter les dires de @Arsenick, un réseau propre pourrait ressembler à ça:
Sinon, si pas de budget ou besoin de simplifier, au minimum ça: Voilou
Contribution le : 17/02/2017 12:56
|
|
Signaler |
Arsenick | 0 #14 |
|
---|---|---|
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6502
Karma: 1045 |
@Skity Pour la seconde image, le firewall devrait être mis au point d'intersection, la on dirait que la DMZ n'est pas couverte . Ca peut crée une confusion chez un néophyte ^^.
Si il n'y a qu'un seul firewall, c'est plus comme ça:
Contribution le : 18/02/2017 10:49
|
|
Signaler |
Skity | 0 #15 |
|
---|---|---|
Je masterise !
Inscrit: 29/12/2013 23:48
Post(s): 2024
Karma: 521 |
@Arsenick C'était volontaire de ma part.
C'est une vielle archi, mais certains réseaux sont encore ainsi et possèdent les machines directement connectées au net. Il n'y a pas de Firewall dédié et c'est les fronts qui prennent le flux dans la gueule. Ce que tu montres ressemble plus aux réseaux particuliers entre le FAI et le particulier ou la petite entreprise utilisant une "box pro". A ce moment, c'est la box qui fait FW + Router (même si un FW peut être rajouté sur le réseau local) Tous ça dépend de ce qui est disponible ou pas et ce qui a déjà été fait pour le problème de @NeekyZback Dans tout les cas, si il a la possibilité de refaire son réseaux et qu'il a un accès complet à sa connexion Internet (routage BGP contrôlé), il faudrait qu'il prenne la première solution que j'évoque via mes schémas (2x2 FW :: Middle + Front) pour avoir une sécurité minimale
Contribution le : 18/02/2017 13:22
|
|
Signaler |
salutlesrageux | 0 #16 |
|
---|---|---|
Je suis accro
Inscrit: 10/02/2017 20:27
Post(s): 1572
Karma: 1102 |
Merci pour vos messages je les ai lu attentivement et je m'y attaque dès que j'ai du temps devant moi, avec du personnel en vacances c'est galère en ce moment
Contribution le : 18/02/2017 14:23
|
|
Signaler |