Subdomain acces and adresse MAC

Hello, (:fr: ci-dessous).

I am trying to find out if the following is achievable.

Situation: my YunoHost is organized into subdomains. Some subdomains are accessible to the public (blog etc) and others only to my members (families).

Project: I would like to be able to regulate the access to my subdomains according to the visitor for example:

subdomain01: allow all flows.
subdomain02: block all flows except MAC01 MAC02 MAC03?

Or is it possible to tell the server you allow the following macs addresses to access such and such subdomains and the others you send them to an empty page or the Google page for example.

Which solution do you think is used? Can Fail2ban allow macs addresses based on domains?
I know the MAC address may be spoofing, but it seems to me that is more difficult right? Is there any other criteria that could be used to lock down the security?

Thank you for your opinions and your feedback on similar practices that you have put in place.

Thank you
Guillermo


Bonjour,

Je cherche à me renseigner si la chose suivante et réalisable.

Situation : mon YunoHost est organisĂ© en sous-domaines. Certains sous-domaines sont accessibles par le public (blog etc) et d’autres uniquement Ă  mes membres (familles).

Projet : J’aimerais pouvoir rĂ©gler l’accĂšs Ă  mes sous-domaines en fonction du visiteur par exemple :

sousdomaine01 : autoriser tous les flux.
sousdomaine02 : bloquer tous les flux sauf MAC01 MAC02 MAC03 ?

Ou alors est-il possible de dire au serveur tu autorises les adresses macs suivantes à accéder à tel et tel sous-domaines et les autres tu les renvoies vers une page vide ou la page Google par exemple.

Quelle solution utilisée selon vous ? Fail2ban peut-il autoriser des macs adresses en fonction des domaines ?
Je sais que l’adresse MAC peut-ĂȘtre usurper, mais il me semble que c’est plus difficile non ? Il y a t’il un autre critĂšre qui pourrait permettre de verrouiller la sĂ©curitĂ© ?

Merci pour vos avis et vos retours sur des pratiques similaires que vous auriez mis en place.

Merci
Guillermo

Bonjour Guillermo,

Les accĂšs et Ă©changes Ă  ton serveur via internet (qu’il s’agisse de sous-domaines ou pas) se font avec l’adresse IP du client et non son adresse MAC (l’adresse IP est une adresse logique, l’adresse MAC est une adresse physique).

MĂȘme si mes connaissances sur le sujet remontent Ă  biiiien longtemps, dans un Ă©change TCP seule l’adresse IP du client est conservĂ©e Ă  travers internet ; si ton serveur devait observer une adresse MAC, ce serait celle du dernier routeur par lequel a transitĂ© la requĂȘte du client.

1 Like

J’ai peut-ĂȘtre dĂ» l’extrapolĂ© Ă  partir du SSH alors ? Il me semblait avoir lu quelque part qu’un accĂšs pouvait se filtrer avec la MAC adress d’un appareil, mais j’ai peut-ĂȘtre mĂ©langer les choses.

Donc admettons l’adresse IP, mais pour un terminal en 4G par exemple l’IP dĂ©pendra du relais par lequel passera le signal alors ?

Si tu es sur le mĂȘme rĂ©seau IP (par exemple, un rĂ©seau local chez toi oĂč tous les appareils sont connectĂ©s Ă  la mĂȘme box), alors oui : ta box peut d’ailleurs filtrer par adresse MAC les appareils autorisĂ©s Ă  s’y connecter. Mais pas via internet, puisque l’adresse MAC n’est pas conservĂ©e.

Entre autres, oui. En tout cas, l’adresse IP peut varier.

Tu pourrais Ă©ventuellement demander Ă  tes utilisateurs de passer par un VPN dont l’adresse IP serait fixe : tous les clients qui se connecteraient Ă  ton serveur via ce VPN auraient la mĂȘme adresse IP ; tu pourrais donc refuser toutes les connexions qui ne proviennent pas de cette adresse IP en particulier. Sauf qu’en rĂ©alitĂ©, lĂ  tu ne fais que transfĂ©rer ton problĂšme initial au VPN, qui a la charge de vĂ©rifier si un client/user donnĂ© a le droit de s’y connecter (toujours via un systĂšme de login/mot de passe ou autre certificat). Et les utilisateurs devront quand mĂȘme s’authentifier Ă  ton serveur ensuite.

D’aprùs moi, le mieux est tout simplement de laisser ton YunoHost tel quel, et lui laisser la gestion des accùs avec le systùme de login/mdp. Le service Fail2Ban bloquera de toute façon une IP si celle-ci fait trop de tentatives de connexions infructueuses.

Si ce qui t’inquiùte c’est les mots de passe de tes users, tu as un settings qui permet de demander des mots de passe plus fort.