Synology Avis sur configuration Pare-feu sur NAS Synology DS220+

V

vespaman

Nouveau membre
29 Septembre 2024
22
6
3
Salut les experts ! J'essaye d'augmenter au maximum (en fonction de mes besoins d'utilisateur) la sécurité de mon NAS en jouant sur le pare-feu.

Voici mon installation :

  • Freebox en mode Bridge / Routeur Pour le LAN (192.168.x)
  • Routeur : redirection de port configurée en direction du port DSM / Deux serveurs VPN actif avec des plages 10.6.0.x & 10.8.0.x (Pare-feu actif)
Au sujet de l'utilisation du NAS :

  • Depuis le LAN : Echange de fichiers / DSM / Drive Client / Plex / Photo / VM home assistant
  • Depuis les PC Distants, via VPN : Echange de fichiers / DSM / Drive Client / Plex / Photo / VM home assistant
  • Depuis les Smartphones (Sans VPN) : Principalement DS File et Photo / VM Home assistant (ces périphériques sont généralement localisés en France)
Voici la configuration que j'ai mis en place au niveau du parefeu :

  • Aucune règle sur les interfaces LAN1 / LAN2, PPoE / VPN (avec la configuration de refus d'accès si aucune règle ne s'applique).
  • dans "toutes les interfaces" voici les règles configurées :
  1. "DSM, Reverse proxy", TCP, IP Source France, Flux autorisé.
  2. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 10.6.0.x, Flux autorisé.
  3. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 10.8.0.x, Flux autorisé.
  4. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 192.168.50.x, Flux autorisé.
  5. "Port 32400" (Pour Plex), TCP, IP Source : 10.6.0.x, Flux autorisé.
  6. "Port 32400" (Pour Plex), TCP, IP Source : 10.8.0.x, Flux autorisé.
  7. "Port 32400" (Pour Plex), TCP, IP Source : 192.168.50.x, Flux autorisé.
  8. "Tous", "Tous", "Tous", Flux refusé
La règle numéro 1 est uniquement crée pour l'utilisation des service DSM par mes Smartphones (Hors VPN)

Il y a une chose que je ne suis pas certain de maitriser. Si une règle ne corresponds pas, le pare-feu essaye d'appliquer la suivante si j'ai bien compris. J'ai aussi compris que si la première est applicable, les suivantes sont ignorées : raison pour laquelle j'ai minimisé les ports accessibles (à savoir un seul) sur cette règle qui, si j'ai bien compris ne s'appliquera qu'aux équipements hors réseau LAN)

Pensez vous que cette configuration est totalement adaptée à mon besoin ? Ai-je possibilité de faire mieux ? Merci d'avance.

Vespa
 
Salut à tous,

Bon... plus je réfléchis moins je suis certain de ma configuration.

Notamment la règle que j'ai mis en numéro 1 :
  1. "DSM, Reverse proxy", TCP, IP Source France, Flux autorisé.
Cela me semble totalement abruti car au final, toute connexion depuis une IP française autorisée sur mon NAS ignorant totalement les contrôles d'accès aux ports de mon NAS configurés après. En revanche, si je désactive cette règle (et c'est logique) je n'autorise l'accès au NAS uniquement depuis les adresses IP locales et je perds accès à mes applications Synology depuis mes smartphones non connectés au VPN. Ma question change donc un peu...

Sachant que je ne souhaite pas activer de VPN sur les smartphones (dont la sécurité peut facilement être compromise) et que leur IP n'est pas fixe, auriez vous une idée pour limiter les autorisations d'accès à des équipements mobile uniquement (par exemple) ?
 
Bon je m'auto réponds au cas ou cela puisse intéresser quelqu'un (Mais je suis toujours preneur d'un Avis d'expert !)

Mon opérateur mobile est ReeF (pas de marques !). J'ai réussi à trouver sur le net un site qui liste les plages d'ip du fournisseur : https://bgp.he.net/AS51207#_prefixes

4 plages d'IP sont listées. Ensuite je me suis aidé d'un autre site pour transformer IP.IP.IP.IP/xx en IP.IP.IP.IP + Masque : w.x.y.z et créer les règles suivantes dans mon pare-feu :

  1. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 10.6.0.x, Flux autorisé.
  2. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 10.8.0.x, Flux autorisé.
  3. "DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server", Tous, IP Source : 192.168.50.x, Flux autorisé.
  4. "Port 32400" (Pour Plex), TCP, IP Source : 10.6.0.x, Flux autorisé.
  5. "Port 32400" (Pour Plex), TCP, IP Source : 10.8.0.x, Flux autorisé.
  6. "Port 32400" (Pour Plex), TCP, IP Source : 192.168.50.x, Flux autorisé.
  7. "DSM, Reverse proxy", TCP, IP Source : Plage #1, Flux autorisé.
  8. "DSM, Reverse proxy", TCP, IP Source : Plage #2, Flux autorisé.
  9. "DSM, Reverse proxy", TCP, IP Source : Plage #3, Flux autorisé.
  10. "DSM, Reverse proxy", TCP, IP Source : Plage #4, Flux autorisé.
  11. "Tous", "Tous", "Tous", Flux refusé

Si je percute bien le fonctionnement du firewall Syno je me retrouve dans la situation suivante :
si t'es sur mon réseau (VPN compris) tu accèdes à DSM, Reverse proxy, Serveur de fichiers, Virtual Machine Manager, synology Drive server et Plex.
Si tu as un mobile ReeF tu accèdes à DSM, Reverse proxy (En revanche je perçois déjà une limite en cas d'itinérance sur le réseau mobile mais dans mon cas ce n'est pas fréquent et je peux toujours connecter le smartphone au VPN en cas d'urgence).

Et sinon.... tu te contentes d'attendre devant la porte !
 
Dernière édition:
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour