Forum général.général Isoler une machine dans mon réseau domestique

Posté par  . Licence CC By‑SA.
1
9
jan.
2021

Bonjour,

J'aurais besoin d'un avis technique avant d'investir dans un switch manageable.

Je suis tombé sur ce fil qui est proche de ma question :
Vlan local derrière box pour isoler pc safes

Pour faire court, voici mon réseau actuel :

Net
|
Box (DHCP, wifi, routage port 80)
|
+------ Serveur web
+------ NAS
+------ PC 1
+------ PC 2

Avec plusieurs laptops en wifi, donc sur la box (paramètre important). Tout est sur le même réseau en 192.168.0.*. La box ne sait pas gérer les VLAN bien entendu, ce serait trop simple.

Mon problème c'est que même si mon serveur web est bien configuré et à jour, si un jour il est compromis cela laisse accès à tout mon LAN, et donc au NAS. J'aimerai mettre du filtrage entre la box et ce dernier, sans pour autant trop modifier mon réseau actuel. Je ne veux pas rajouter de nouvelle borne wifi par exemple. Je pense donc configurer un sous-réseau juste pour ce serveur web, de cette manière :

Net
|
Box (DHCP sur 192.168.0.*, wifi, routage port 80 vers switch)
|
+------ Switch (filtrage et routage port 80) --- Serveur web [192.168.1.2]
+------ NAS [192.168.0.2]
+------ PC 1 [192.168.0.3]
+------ PC 2 [192.168.0.4]

Dans cette configuration, le switch (de niveau 3) gère un sous réseau en 192.168.1.* , interdit tout trafic de 192.168.1.* vers 192.168.0.* et autorise le trafic entrant (port 80) et sortant entre 192.168.1.* et le net.

D'où ma question : est ce qu'en procédant ainsi mon serveur web est bien "encapsulé", sans échanges possibles avec le reste du réseau ?

Merci par avance pour votre réponse.

  • # oui possiblement mais avec des problèmes à prévoir

    Posté par  . Évalué à 3.

    oui car ton switch (qui devient en fait un routeur de niveau 3) va devoir avoir comme passerelle ta box

    seulement tes PCs dans le 192.168.0 ne pourront alors pas accéder au site web, car la réponse ne pourra pas revenir

    il te faudrait 3 reseaux, et une machine entre les 3 (la box d'un coté, les PCs de l'autre et la zone serveur)

    tu peux donc regarder à faire une machine pare-feu, dire à ta box de tout renvoyer vers cette machine (option DMZ dans pas mal de box françaises)

    et c'est cette machine qui fait le filtrage et le routage

    et c'est elle qui déciderait qui accède à quoi.

    Net
    |
    Box (DHCP sur 192.168.0.*, wifi, routage entrant vers pare-feu)
    |
    Switch vlan X (sortie internet)
    |
    Pare-feu vlan X
    |--------------+->Parefeu Vlan Y ->--- Serveur web [192.168.1.2]
    Parefeu vlan Z
    |
    +------ NAS [192.168.2.2]
    +------ PC 1 [192.168.2.3]
    +------ PC 2 [192.168.2.4]

    avant les vlans, si tu as plusieurs petits switch, ca marche aussi.
    le vlan permet juste de découper un gros switch en plusieurs petits
    et à une carte reseau d'en simuler plusieurs (1 par vlan)

    • [^] # Re: oui possiblement mais avec des problèmes à prévoir

      Posté par  . Évalué à 1.

      Merci NeoX pour ta réponse.

      oui car ton switch (qui devient en fait un routeur de niveau 3) va devoir avoir comme passerelle ta box

      Excellent !

      seulement tes PCs dans le 192.168.0 ne pourront alors pas accéder au site web, car la réponse ne pourra pas revenir

      Alors tout à fait. Au fond c'est pas grave. Mais si besoin je ne pourrais pas m'en sortir en ajoutant des règles NAT sur le port 80 et/ou le protocole http uniquement ?

      il te faudrait 3 reseaux, et une machine entre les 3 (la box d'un coté, les PCs de l'autre et la zone serveur)

      Merci pour toute l'explication. J'y avais pensé au début mais je pense avoir deux problèmes en faisant ainsi (sauf si j'ai pas compris un truc) :
      1/ mes laptops en wifi sont du mauvais coté du firewall et ne seront pas dans le VLAN 192.168.2.*
      2/ la box (delta serveur) c'est quasiment un PC sur le réseau vu tous les petits services qu'elle gère, et elle ne serait plus non plus sur bon réseau en 192.168.2.*
      J'ai entendu parler du mode transparent (trunk c'est pareil non?), j'ai l'impression que ca pourrait régler le problème, mais j'anticipe des heures à galérer pour configurer ça.

      • [^] # Re: oui possiblement mais avec des problèmes à prévoir

        Posté par  . Évalué à 2. Dernière modification le 09/01/21 à 17:46.

        Alors tout à fait. Au fond c'est pas grave. Mais si besoin je ne pourrais pas m'en sortir en ajoutant des règles NAT sur le port 80 et/ou le protocole http uniquement ?

        non car le switch ne fait que le routage (niveau3) par le NAT

        1°) tes laptops, tu les gères, donc tu peux ajouter une route sur le laptop pour dire que 192.168.2.x est derriere la machine 192.168.0.X (le coté freebox de ton pare-feu)

        je l'ai fait pour un client, ca marche bien

        2°) pourquoi la freebox devrait accéder aux machines en RJ45 derriere le firewall, hormis la redirection du port 80 public vers le pare-feu (qui redirige ensuite vers le serveur web)

        3°) le mode transparent de la box permet d'obtenir l'IP publique directement sur le premiere périphérique branché (ton pare-feu par exemple)
        mais ca pete le wifi, la tv, etc

        autant utiliser le paramètre DMZ pour renvoyer tout ce qui arrive sur l'IP publique vers une machine en particulier sur le reseau (dans notre cas, le pare-feu dans 192.168.0.x)

        • [^] # Re: oui possiblement mais avec des problèmes à prévoir

          Posté par  . Évalué à 1.

          non car le switch ne fait que le routage (niveau3) pas le NAT

          Ah bordel, je m'attendais pas à ca. Coté pérennité ca risque de devenir pénalisant si je ne peux pas communiquer d'un sous-réseau à l'autre en filtrant soit le port soit le protocole.

          1°) tes laptops, tu les gères, …

          Oui c'est vrai, mais je n'ai cité que des laptops pour aller vite, mais j'ai aussi des smartphones et une tablette qui vont sur le NAS, peut être un jour des cameras ou autre chose. Ca devient une usine a gaz si je déporte la complexité sur les terminaux. Il faut vraiment que ce soit géré au niveau de l'équipement réseau.

          Du coup il faudrait passer à un switch de niveau 4 c'est ca ? Mais sinon un firewall ca s'installe pas en plein milieu d'un réseau, par ce que ca gère ce genre de fonction non ?

          Sinon j'étais tombé lors d'une précédente recherche sur ce matériel : Mikrotik RB4011
          J'ai l'impression qu'il est blindé de fonctions et qu'il pourrait faire l'affaire (ici). Mais j'ai aussi l'impression d'être devant le menu de certains restos chinois : y'a trop de pages pour que ca inspire confiance. Le truc il fait tout … pour 200 euros.

          Bon en tous cas merci pour ton aide, ca me fait vachement avancer dans ma réflexion.

          • [^] # Re: oui possiblement mais avec des problèmes à prévoir

            Posté par  . Évalué à 2.

            le switch va en effet vite te limiter, car meme s'il fait le routage et les ACL (liste d'accès)

            il ne pourra filtrer qu'au niveau IP et pas en fonction du port.

            Le Mikrotik RB4011 semble un bon produit, plusieurs ports RJ45 1Gbs, un port SFP+ pour l'extension, dans ton cas avec un cable AOC tu récupères les 10Gbps de la freebox directement sur le routeur.

            Comme c'est un routeur, il aura les options firewall/nat/redirection de port, etc

            mais ca ne résoudra en rien ton souci des postes wifi qui voudront accéder à des machines derriere le routeur/firewall.

            peut-être alors voir pour un routeur plus complet qui fait aussi Hotspot wifi
            ainsi tu gères tout sur le routeur, et du peut décider si les clients wifi peuvent aller sur le LAN (tes PCs, NAS, imprimante) ou dans la DMZ (sur ton site web)

            • [^] # Re: oui possiblement mais avec des problèmes à prévoir

              Posté par  . Évalué à 1.

              Bon, NeoX merci une nouvelle fois pour ton aide.

              Les choses commencent à se préciser.

              Je pense que pour mon 1er besoin j'ai la solution (début du fil de discussion), en partant du principe que les deux sous-réseaux ne communiqueraient pas.

              J'ai juste une dernière idée à soumettre en rebondissant sur :

              mais ca ne résoudra en rien ton souci des postes wifi qui voudront accéder à des machines derriere le routeur/firewall.

              Sur le trafic entrant du routeur, qui serait donc juste en aval de la box (laquelle fait encore wifi dans ce scenario) et en amont du NAS et du serveur web (la partie PC on s'en fout) je configure 2 règles :
              - tout ce qui arrive sur le port 80 part sur le serveur web
              - tout le reste part sur le NAS.

              Ca donnerait ca en fait :

              Box (DHCP sur 192.168.1.*, wifi, redirection port 80 sur routeur)
              |
              routeur/firewall (redirige port 80 sur www et tout le reste sur NAS)
              |
              +------ NAS [192.168.2.2]
              +------ WWW [192.168.3.2]

              Ca pourrait pas donner accès au NAS à mes terminaux wifi ?

              Si la réponse est non et qu'un jour je veux faire communiquer les deux sous-réseaux, effectivement il va falloir réfléchir sacrifier la fonction wifi de ma box et le déporter soit sur le routeur soit sur une nouvelle borne.

              • [^] # Re: oui possiblement mais avec des problèmes à prévoir

                Posté par  . Évalué à 2.

                tu peux jouer du NAT sur le firewall en effet,
                mais il faudra alors que tes clients wifi accèdent au NAS via l'IP en 192.168.1.x (IP externe du NAS vis à vis du firewall)

                tu n'as besoin que de connaitre les quelques ports nécessaires au fonctionnement du NAS :

                • SMB/CIFS : 445/TCP
                • FTP : 21/TCP + range de port configurer en mode passif
                • page d'admin (suivant le NAS)
                • [^] # Re: oui possiblement mais avec des problèmes à prévoir

                  Posté par  . Évalué à 1.

                  Et oui, accès via l'IP externe du routeur.
                  Bon ben c'est cool.
                  Je vais y aller étape par étape vu le temps que ca va me prendre de configurer tout ca, mais au moins j'ai un objectif et une solution simple qui marchera toujours.

                  Merci un nouvelle fois.

                  • [^] # Re: oui possiblement mais avec des problèmes à prévoir

                    Posté par  . Évalué à 1.

                    Bonjour tout le monde,

                    Epilogue de l'histoire : j'ai acheté un boîtier firewall (mikrotik RB4011) que j'ai positionné au cœur du réseau. Je n'ai finalement pas eu besoin de créer de VLAN, il m'a suffit de configurer dans ce routeur/firewall un ensemble de sous-réseaux (pour lesquels il est serveur DHCP) plus pas mal de règles de filtrage pour :
                    - isoler les sous réseaux entre eux
                    - router tout ce qui doit passer (en NAT), que ce soit vers le nas, le serveur web, etc
                    - bien configurer qui peut accéder à l'interface d'admin du routeur

                    Et j'en ai profité (opportunité) pour brancher le firewall à la freebox en SFP+ ainsi que le NAS en agrégation de ports. Totalement surdimensionné mais ça fonctionne :) Un jour j’investirai certainement dans des SSD qui envoient du pâté.

                    Bon en tous cas tout ceci m'aura pris un peu de temps mais je suis bien content que ca fonctionne.
                    Merci encore pour le coup de mains NeoX

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.