Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

Comprendre son routeur - 2ème partie.

Aller plus loin dans la configuration de son routeur/firewall.


Un précédent article, disponible ici, expliquait les réglages sommaires d'un routeur, et de son interface firewall, à savoir la modification du mot de passe, l'activation du serveur DHCP (Dynamic Host Configuration Protocol), ou le mappage des ports. Cependant, d'autres réglages un peu plus poussés sont aussi disponibles, même sur la plupart des routeurs/firewall d'entrée de gamme. Je vais tenter de vous expliquer ces réglages

1. comment héberger deux serveurs de même type chez soi?

Je partage ma ligne internet avec mon voisin (enfin, disons plutôt qu'il profite de ma ligne). J'ai un serveur Web Apache qui tourne sur l'un de mes Macs (celui dont l'IP est 192.168.1.242), et mon voisin a aussi un serveur Web, qui est sur son PC, dont l'IP est 192.168.1.119. Si je mappe le port 80 à l'IP de mon Mac, mon voisin ne peut plus le faire, et donc son serveur web n'est pas accessible depuis le côté WAN de mon réseau. On a donc contourner ceci, en mappant le port 81 à l'IP de son PC :

le port 80 est donc pour mon serveur, le port 81 est pour le serveur de mon voisin. Je peux accéder à mon serveur sans problème du côté WAN du réseau, mon voisin doit juste "forcer le port d'accès" pour accéder au sien : il doit utiliser l'adresse http://IP_du_routeur:81, alors que pour moi, http://IP_du_routeur suffit, bien que http://IP_du_routeur:80 pointe aussi vers mon serveur.

Mon voisin a deux PC, et un serveur FTP sur chaque PC. Il a donc de même fait un mappage sur deux ports : le 21 pour le premier PC, le 22 pour le second.

2. Utiliser les mêmes ports sur deux ordinateurs (ou plus) en même temps?

Je vais pour cela me baser sur un exemple, celui de l'utilitaire Timbuktu, de Netopia. Ce soft permet la prise de contrôle d'ordianteurs à distance. Il utilise entre autre le port 407. En mappant ce port à l'IP d'un ordinateur, je ne peux de l'extérieur de mon réseau que prendre le contrôle de celui-ci. Il me sera impossible de contrôler les autres ordinateurs. Les réglages disponible sur la page "Special Application" permettent pourtant de le faire. En effet, au lieu de mapper un port à une adresse IP, on va ouvrir le port pour tous les ordinateurs :

Ainsi, le port 407 est ouvert pour tout le monde. Il ne me reste plus qu'à rentrer une adresse mail ou un nom d'ordinateur différent dans les réglages IP Locator de Timbuktu, pour que je puisse accéder à tous mes ordinateurs via Timbuktu, depuis le côté WAN de mon réseau.

3. Filtrer les accès au réseau

Cette page permet de gérer les accès au réseau, en fonction de l'heure, du jour de la semaine, et de l'ordinateur utilisé (en fonction de son adresse IP).

Dans les premiers champs, on indique la page d'adresses IP concernées par la règle que l'on met en place (ici, toutes les adresses dans la plage 192.168.1.20 à 192.168.1.40 vont être concernées). Ensuite, on définit la plage des ports concernés (15 à 400 ici), pour un protocole donné. Reste à dire si l'on veut bloquer ou autoriser, pour l a plage horaire que l'on définit très facilement à l'aide de menus déroulants.

On peut ainsi interdire à un ordinateur précis d'aller sur internet (port 80) pendant la journée, mais de lui laisser accès aux serveurs FTP par exemple.

Les boutons "Enabled" permettent de désactiver temporairement des règles sans les détruire.

N'oubliez pas de valider vos réglages en cliquant sur le bouton Enter.

4. Mise à jour du firmware / Remise à zéro / divers

Il suffit pour cela de passer par la page Tools :

Le lien "Reset Barricade" permet bien évidemment d'effacer tous les réglages que vous avec fait, c'est à dire effacement de votre configuration internet, effacement des logs, remise à zéro de l'heure.

Le lien "Reset Factory Defaults" permet quant à lui de remettre votre routeur dans sa configuration d'origine (ce qui, par rapport au lien Reset, ne fait que perdre votre configuration internet, et les réglages du routeur, mais vos ordinateurs garderont les mêmes adresses IP).

Le lien "Update Firmware" permet logiquement de mettre à jour ce dernier, depuis un Mac ou un PC. Il faut au préalable télécharger sur le site de SMC un firmware plus récent que celui actuellement installé.

Il est également possible avant de toute modification de vos réglages de les enregistrer (via le bouton "Backup Settings"). Vous pouvez ensuite les restaurer via le bouton disponible ("Restore Settings") en bas de la page Tools.

D'autres réglages sont également disponibles :

On peut par exemple définir un temps d'inactivité au bout duquel une session ouverte d'administration du routeur est automatiquement close.

On peut également désactiver le ping du côté WAN de votre réseau (c'est à dire depuis l'extérieur de votre réseau), ou définir une adresse IP à partir de laquelle le routeur peut être configuré du côté WAN du réseau, car par défaut, le routeur n'est administrable que du côté LAN du réseau, c'est à dire en local.

Une zone démilitarisée (DMZ) peut être crée : cela veut dire que l'ordinateur qui possède l'IP de cette DMZ n'est plus protégé par le firewall, tout lui est ouvert. C'est donc une solution de dernier recours, lorsque le firewall bloque votre ordinateur, et que votre mappage de ports par exemple ne solutionne pas votre problème.

5. conclusion

J'espère que cet article, ainsi que la première partie qui va avec vous aidera à mieux comprendre les fonctionnalités de votre routeur/firewall. Certes, je me suis basé sur mon routeur pour les explications et les captures, mais cela doit être presque identique pour un autre modèle.

C'est tout ce que l'on peut faire avec un routeur d'entre de gamme, d'autres fonctionnalités existent cependant sur des modèles de routeurs plus chers.

Si vous avez des questions, je me tiens à votre disposition par mail : [email protected]

Partager sur

Sondage

Comptez-vous acheter un Vision Pro ?