YanHulbert Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 bonjour, je voudrais interdire à certains périphériques de mon réseau local, de contacter leur maison mère. recherche automatique de mise à jour, envoi de je ne sais pas quel fichier. bref ils sont trop bavards à mon gout. je n'ai pas trouvé car je n'ai certainement pas cherché au bon endroit. Comment bloquer ces périphériques ? par leur adresse IP, par leur adresse Mac ? ou mettre une règle ? merci pour vos conseils. cordialement Yan
PiwiLAbruti Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Configure leur adresse IP manuellement en ne précisant ni serveur DNS, ni passerelle.
YanHulbert Posté(e) le 9 décembre 2021 Auteur Posté(e) le 9 décembre 2021 bonjour et merci @PiwiLAbruti oui mais non car ces périph ont besoin de se connecter à d'autre périph de mon réseau local, ne serait-ce que se mettre à l'heure synchro de mon serveur NTP. je cherche le moyen de faire une règle sur le RT2600 et uniquement sur le RT cordialement Yan
Mic13710 Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 De ce que j'ai compris, les routeurs Synology ne sont pas encore capables de faire ça. La prochaine version (annoncée la semaine dernière) devrait le proposer, ainsi que le VLAN. Sortie prévue .... quand ce sera dispo.
MilesTEG1 Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Il me semble qu’on peut interdire le traffic sortant sur internet pour un périphérique, non ? faut juste j’aille voir pour faire une capture.
oracle7 Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 @YanHulbert Bonjour, Dans le pare-feu du Routeur RT2600 tu crées une règle pour l'@IP locale de chacun de tes périphériques locaux qui n'autorise que ton réseau local en destination et cela devrait le faire. Si je ne dis pas de bêtises toute @IP externe ne sera donc pas joingnable pour ces périphériques mais attention dans certains cas cela peut empécher de périphérique en question de fonctionner correctement, donc à faire de façon pertinente. Cordialement oracle7😉
PiwiLAbruti Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Il y a 1 heure, YanHulbert a dit : oui mais non car ces périph ont besoin de se connecter à d'autre périph de mon réseau local Supprimer la passerelle ne les empêchera pas d'accéder aux autres machines du réseau local, sauf si tu as plusieurs sous-réseaux(ce dont je doute fortement).
YanHulbert Posté(e) le 9 décembre 2021 Auteur Posté(e) le 9 décembre 2021 je crois que j'ai trouvé, sauf votre avis contraire. RT2600 > Centre réseau > Contrôle du trafic il semble qu'en cliquant sur 'Banni' en regard du périphérique à bloquer (en faisant donc apparaitre le petit globe), si je comprends bien la doc "Guide de l'utilisateur du synology router" au chapitre 5 page14 'appliquer le controle du trafic' bloquerait toute sortie du périph vers internet. votre avis ? cordialement, Yan
PiwiLAbruti Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Si ça fonctionne et que ça te convient, c'est le principal. Personnellement je préfère que le trafic ne sorte même pas de la source, et donc que le pare-feu n'ait rien à bloquer.
YanHulbert Posté(e) le 9 décembre 2021 Auteur Posté(e) le 9 décembre 2021 il y a 11 minutes, PiwiLAbruti a dit : Si ça fonctionne et que ça te convient, c'est le principal. j'ai pas dit que cela fonctionnait et me convenait, je n'ai pas assez de recul. j'ai écris "je crois que j'ai trouvé, sauf votre avis contraire. ../.. il semble ../.. si je comprends bien .../... bloquerait .../... votre avis ? " je vais attendre l'avis d'autres personnes. @PiwiLAbruti dans ce cas, le parefeu ne sert jamais alors cela remet en cause le pourquoi de son existence. et que devient le trafic et l'échange des data entre les périphériques d'un même réseau local si tu ne définis ni passerelle ni sous réseau ? faudra que je soumette ta préconisation à l'ingé réseau du pro car ça dépasse mes compétences mais ça ne sera pas avant l'année prochaine, vacances obligent...
MilesTEG1 Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 il y a 40 minutes, YanHulbert a dit : je crois que j'ai trouvé, sauf votre avis contraire. RT2600 > Centre réseau > Contrôle du trafic il semble qu'en cliquant sur 'Banni' en regard du périphérique à bloquer (en faisant donc apparaitre le petit globe), si je comprends bien la doc "Guide de l'utilisateur du synology router" au chapitre 5 page14 'appliquer le controle du trafic' bloquerait toute sortie du périph vers internet. votre avis ? cordialement, Yan @YanHulbert C'est bien là ce dont je parlais ce matin 😉 Vous avez été plus rapide que moi 😉 Cela-dit, voilà quand même une capture d'écran : Par contre, les caméras doivent être configurées pour récupérer l'heure depuis le NAS ou un autre serveur sur le LAN puisque tout le traffic sortant du LAN sera bloqué.
church Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Hello ! Il y avait déjà eu une demande identique il y a quelques mois sur ce topic : Je confirme que l'option fonctionne parfaitement : je bloque toute communication de mes caméras IP avec le cloud du fabricant de cette manière. Elles restent parfaitement accessibles en local et je m'y connecte à distance en passant par le VPN hébergé sur le routeur. Note : service NTP activé sur le RT2600AC. Les caméras sans fil y sont connectées en fixant les IP locales ainsi que l'adresse du routeur dans les DNS. La synchro de l'heure se fait bien automatiquement.
PiwiLAbruti Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Il y a 3 heures, YanHulbert a dit : que devient le trafic et l'échange des data entre les périphériques d'un même réseau local si tu ne définis ni passerelle ni sous réseau ? Ne définis que l'adresse IP et le masque sur les appareils restreints, ça suffit pour que l'appareil puisse communiquer avec les machines du même sous réseau. Le passerelle n'est utilisée que pour atteindre des réseaux dont l'adressage est différent de celui de l'appareil. Il y a 3 heures, YanHulbert a dit : dans ce cas, le parefeu ne sert jamais alors cela remet en cause le pourquoi de son existence. Sachant que le pare-feu devrait bloquer tout le trafic des appareils restreints, ça lui fait ça de moins à gérer. Le pare-feu ne filtre que le trafic entre réseaux différents, le trafic du réseau local (d'un même réseau) ne fait que le traverser le pare-feu sans aucun contrôle. Donc je ne vois pas en quoi ça remettrait en cause l'existance du pare-feu.
cadkey Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Il y a 5 heures, church a dit : Note : service NTP activé sur le RT2600AC. Les caméras sans fil y sont connectées en fixant les IP locales ainsi que l'adresse du routeur dans les DNS. La synchro de l'heure se fait bien automatiquement. @church, Comment fais-tu la synchro de l'heure des cameras avec le service NTP du RT2600ac? Moi la config des caméras ne voit que 4 serveurs NTP prédéfinis. Configures-tu NTP pour les caméras dans Surveillance Station?
maxou56 Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 il y a 46 minutes, cadkey a dit : Comment fais-tu la synchro de l'heure des cameras avec le service NTP du RT2600ac? Bonjour, Sur le Routeur (ou sur le NAS) tu actives le serveur NTP (sur SRM dans Panneau de configuration > service > service NTP). Puis dans la caméra, tu rentres manuellement (si c'est possible) l'IP du serveur NTP (parfois même si il n'y qu'une liste, on peut aussi rentrer manuellement un IP, c'set le cas sur macOS par exemple, ou les Reolink avec le client). Sinon le plus simple, si surveillance station géré l'option pour la caméra, le mieux c'est de mettre pour le serveur de temps "synchronisation avec surveillance station" (Sinon si c'est codé en dur et que le périphérique utilise bien le NTP standard, on doit pouvoir contourner avec un serveur DNS nondusrveurNTP.org > redirection de type A > IP du serveur NTP local)
cadkey Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 @maxou56, merci de ton aide sur le routeur j'ai bien activé NTP sur Surveillance station "synchronisation avec surveillance station" est grisé. les cam sont configurées en ONVIF. sur mon RT2600ac, dans centre reseau controle de trafic je les bloque pour ne pas qu'elles se connectent sur le net, et le NTP ne fonctionne pas. pourtant c'est le routeur qui fait le service NTP. si je ne les bloque pas ça fonctionne
church Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 Hello ! Je n'utilise pas surveillance station. Uniquement le client de mes caméras reolink. Comme dit plus haut, j'ai paramétré l'adresse du serveur NTP (IP du routeur Synology) dans l'interface des caméras. L'update de l'heure se fait donc par ce biais.
cadkey Posté(e) le 9 décembre 2021 Posté(e) le 9 décembre 2021 @church, d'accord. je pensais que tu avais Surveillance Station. @maxou56, merci. j'ai modifié ma confige et j'ai pu activer "synchronisation avec surveillance station" Merci à vous.
YanHulbert Posté(e) le 10 décembre 2021 Auteur Posté(e) le 10 décembre 2021 Il y a 20 heures, MilesTEG1 a dit : Par contre, les caméras doivent être configurées pour récupérer l'heure depuis le NAS ou un autre serveur sur le LAN puisque tout le traffic sortant du LAN sera bloqué bonjour, en effet, je récupère les trames des satellites GPS pour les utiliser comme serveur de temps. je ne dépends pas des NTP internet à cause des coupures trop fréquentes. pour mon hobby de presque retraité, j'ai besoin que tous mes enregistrements aient un décalage de temps de moins d'un quart de seconde. Il y a 20 heures, church a dit : Je confirme que l'option fonctionne parfaitement : je bloque toute communication de mes caméras IP avec le cloud du fabricant de cette manière. bonjour, merci pour ta confirmation. je fonctionne tout comme toi. j'ai pas trouvé le post que tu cites. Il y a 11 heures, cadkey a dit : j'ai modifié ma confige et j'ai pu activer "synchronisation avec surveillance station" bonjour, hahaha je vois que ma QLC (Question à La Con) a été utile. chouette. Il y a 14 heures, maxou56 a dit : Sur le Routeur (ou sur le NAS) tu actives le serveur NTP (sur SRM dans Panneau de configuration > service > service NTP). bonjour, c'est vrai que c'est très simple. et ça permet d'avoir toutes les bécanes du réseau à la même heure. ( et ça fatigue moins le parefeu qui n'a plus analyser et a laisser passer les innombrables requêtes de trames NTP vers l’extérieur) 🧐 Il y a 18 heures, PiwiLAbruti a dit : Sachant que le pare-feu devrait bloquer tout le trafic des appareils restreints, ça lui fait ça de moins à gérer. bonjour, si maintenant il faut se préoccuper de la charge de travail d'un parefeu, ce pour quoi il est fait .... Il y a 18 heures, PiwiLAbruti a dit : Donc je ne vois pas en quoi ça remettrait en cause l'existance du pare-feu c'est ta 'recette' pour empêcher la connexion vers l'extérieur qui remet en cause le rôle même du parefeu qui devient donc inutile dans une infra en regard des couches 2 et 3 du modèle OSI bonne journée, Yan
cadkey Posté(e) le 10 décembre 2021 Posté(e) le 10 décembre 2021 il y a 33 minutes, YanHulbert a dit : en effet, je récupère les trames des satellites GPS pour les utiliser comme serveur de temps. je ne dépends pas des NTP internet à cause des coupures trop fréquentes. pour mon hobby de presque retraité, j'ai besoin que tous mes enregistrements aient un décalage de temps de moins d'un quart de seconde. Bonjour, Peut-on savoir avec quoi tu recuperes les trames GPS et tu les utilises dans ton Syno? Merci
PiwiLAbruti Posté(e) le 10 décembre 2021 Posté(e) le 10 décembre 2021 il y a 16 minutes, YanHulbert a dit : c'est ta 'recette' pour empêcher la connexion vers l'extérieur qui remet en cause le rôle même du parefeu qui devient donc inutile dans une infra en regard des couches 2 et 3 du modèle OSI Ça ne remet rien en cause du tout et ça ne s'applique qu'aux appareils concernés, les autres ont besoin du pare-feu ne serait-ce que pour limiter une partie du trafic. C'est juste la façon la plus sécurisée d'empêcher des appareils maîtrisés d'accéder à d'autres réseaux (on les prive de niveau 3 en leur retirant la passerelle, rien ne sort de ces appareils en dehors du trafic local). Maintenant chacun fait comme il le souhaite.
.Shad. Posté(e) le 10 décembre 2021 Posté(e) le 10 décembre 2021 Il y a 19 heures, PiwiLAbruti a dit : Le pare-feu ne filtre que le trafic entre réseaux différents, le trafic du réseau local (d'un même réseau) ne fait que le traverser le pare-feu sans aucun contrôle. Je me permets de t'interroger là-dessus. Je ne sais pas ce qu'il en est du RT, mais ça m'interpelle, avec pfSense (défini en passerelle sur chaque périphérique) je peux totalement contrôler, au sein d'un même sous-réseau, qui communique avec qui, comment, etc... Mais j'imagine que c'est parce que le pare-feu est défini comme passerelle si je comprends bien tes propos ? En gros si j'enlevais l'IP du pare-feu en passerelle, chaque appareil pourrait communiquer avec son voisin de sous-réseau (en ne tenant pas compte des éventuels pare-feux logiciels de chaque périphérique) ?
PiwiLAbruti Posté(e) le 10 décembre 2021 Posté(e) le 10 décembre 2021 @.Shad. Si tu parles bien du trafic entre deux machines d'un même réseau, ça me paraît peu probable : Il y a 20 heures, PiwiLAbruti a dit : Le passerelle n'est utilisée que pour atteindre des réseaux dont l'adressage est différent de celui de l'appareil. Autrement dit, le trafic local n'ayant pas besoin d'être routé, la passerelle n'est pas utilisée. il y a 52 minutes, .Shad. a dit : En gros si j'enlevais l'IP du pare-feu en passerelle, chaque appareil pourrait communiquer avec son voisin de sous-réseau (en ne tenant pas compte des éventuels pare-feux logiciels de chaque périphérique) ? Exactement. C'est le moyen le plus simple et efficace d'empêcher des équipements d'accéder à d'autres réseaux (dont internet). Pas de bras, pas de chocolat 😄 Au passage, je ne sais pas s'il est possible de personnaliser les options d'une réservation DHCP dans SRM. Ça peut être pratique pour retirer la passerelle de certaines machines tout en les laissant en adressage dynamique (DHCP).
YanHulbert Posté(e) le 10 décembre 2021 Auteur Posté(e) le 10 décembre 2021 Il y a 1 heure, cadkey a dit : Peut-on savoir avec quoi tu recuperes les trames GPS bonjour, j'ai forcé un peu-beaucoup la chance pour récupérer un NTS-6002-GPS chez un client au pays du soleil et du sable ou il fait 35° en permanence. Il y a 1 heure, PiwiLAbruti a dit : st juste la façon la plus sécurisée houlalalalalala... Il y a 1 heure, PiwiLAbruti a dit : Maintenant chacun fait comme il le souhaite oui, toutafé. Il y a 1 heure, .Shad. a dit : Je me permets de t'interroger là-dessus. Rhoooooo🧐 👍👍👍 Il y a 1 heure, .Shad. a dit : En gros si j'enlevais l'IP du pare-feu en passerelle, chaque appareil pourrait communiquer avec son voisin de sous-réseau (en ne tenant pas compte des éventuels pare-feux logiciels de chaque périphérique) ? @.Shad. 🤗💯 mouarff bin oui et non puisque le parefeu est inutile !! Pardon, je me retire de la discussion mais je lirai vos propos avec la plus grande attention et le plus grand plaisir. cordialement Yan
PiwiLAbruti Posté(e) le 10 décembre 2021 Posté(e) le 10 décembre 2021 il y a 19 minutes, YanHulbert a dit : bin oui et non puisque le parefeu est inutile !! Je ne comprends toujours pas en quoi le pare-feu devient subitement inutile. Le pare-feu (et donc la passerelle dans le cas présent) n'est jamais utilisé dans le cas des communications entre machines d'un même réseau. Donc retirer la passerelle sur tes caméras ne les empêchera pas de se mettre à jour via NTP sur le réseau local, peu importe que le serveur NTP soit sur un routeur, un NAS, ou autre. Je ne vois pas ce qu'il y a de choquant là-dedans.
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.