Synology Reglage pare feu

X

xavax

Chevalier Jedi
10 Mars 2021
162
6
18
Bonjour, j'ai essayé de régler mon pare feu mais il y a une regle qui me bloque l'acces depuis l'extérieur je ne comprends pas ....
Voici ce que j'ai fait en suivant un tuto :
1649152442426.png
Si j'active la dernière regle je ne saias plus accéder a DS audio depuis l'extérieur par exemple.
Merci pour votre aide
 
As-tu configurer des ports personnalisés ?
Si oui il faut aussi créer une règle pour les autorisé.
 
Neo974 a dit:
As-tu configurer des ports personnalisés ?
Si oui il faut aussi créer une règle pour les autorisé.
Cliquez pour agrandir...
Oui j'ai fait une regle pour jellyfin en reverse proxy et un pour DS audio.
Message automatiquement fusionné :

du coup je dois placer ou la regle et comment ?
 
Dernière édition:
xavax a dit:
Bonjour, j'ai essayé de régler mon pare feu mais il y a une regle qui me bloque l'acces depuis l'extérieur je ne comprends pas ....
Voici ce que j'ai fait en suivant un tuto :
Voir la pièce jointe 5202
Si j'active la dernière regle je ne saias plus accéder a DS audio depuis l'extérieur par exemple.
Merci pour votre aide
Cliquez pour agrandir...
Hello,
Alors, déjà tu ne t'y prends pas correctement pour configurer le pare-feu.
Il ne faut pas créer de règles interdisant l'accès sur un port ou autre pour un pays... Mais plutôt une autorisation.
C'est la dernière règle qui va interdire tout ce qui n'aura pas été autorisé auparavant.

Je vois ensuite un gros problème de sécurité : l'accès au SSH autorisé pour tout le monde de partout. C'est super dangereux !
Perso moi ça n'est autorisé que pour les IP LAN et VPN, rien d'autre.

Ensuite, pour ton pare-feu, je suivrais d'abord ce tuto :

Synology - [Tuto] Régler son pare-feu pour un usage local

Bonjour, Nous allons ici régler son pare-feu pour un usage local du NAS. Nous estimons le réseau local fiable, nous allons donc "ouvrir" le NAS sur le réseau local et "fermer" le reste ( donc le réseau internet ). Cela n’empêchera pas le NAS d’accéder à internet, mais il ne pourra pas être...
www.forum-nas.fr www.forum-nas.fr

Ensuite, il faut lister ce que tu veux rendre accessible depuis l'extérieur (et se poser la question : est-ce vraiment nécessaire ? Car une attaque est toujours possible).
Là, tu auras besoin de mettre une règle qui autorise le service en accès extérieur avant la dernière qui elle refuse tout.

PS : as-tu configuré le nom de domaine synology ? (DDNS Synology)
Utilises-tu le proxy-inversé ?

PPS : que veux-tu rendre accessible depuis internet ? est-ce vraiment nécessaire ?
 
  • J'aime
Réactions: EVO
Merci pour ta réponse.
Oui j'ai un nom de domaine synology.me. j'utilise le proxy inversé poiur acceder à jellyfin en https.
Je voudrais acceder a mon nas depuis l'exterieur pour pouvoir configurer DSM par exemple. En ce moment j'utiise quickconnect pour acceder a DSM.
Après a part jellyfin et DS audio je n'ai besoins de rien d'autre
Message automatiquement fusionné :

pour le SSH je dois faire comme ceci ?
1649164017885.png
Mais du coup si je me connect avec openVPN je ne pourrait plus acceder en SSH au nas depuis le VPN ? Je dois mettre quoi dans la règle pour activer l'ecces SSH via le vpn ?
Le vpn utilise ceci :
1649164110103.png
 
Dernière édition:
Bonjour, @xavax
Par exemple, tu peux suprimmer les 2 premières lignes (Inutiles)
Modifier la 3éme pour mettre 192.168.0.0/255.255.0.0 (qui deviendra la 1ère) (celle-ci permettra le SSH en local)
Créer une un 2nd en dessous une autre réglés identique tous les ports > 10.0.0.0/255.0.0.0 > autoriser (celle-ci permettra le SSH en VPN)
Et en dernier cocher/activer la régle Tous > Tous > Refuser (qui englobe ta régles tous > chine > refusé)

Tu peux mettre plus restrictif, mais aprés si tu change de box, Routeur, de plage d’IP pour le VPN…
 
merci, du coup ca donne ceci ?
Je laisse l'avant dernière ?
1649165709965.png
Message automatiquement fusionné :

j'ai testé mis je n'accede plus a jellyfin de l'exterieur si j'active le dernier. j'i essayé depuis mon mobile et l'ordi du boulot.
 
Dernière édition:
xavax a dit:
j'ai testé mis je n'accede plus a jellyfin de l'exterieur si j'active le dernier.
Cliquez pour agrandir...
Jellyfin via Docker?
Il faut aussi que tu autorises le port (je ne connais pas le numéro) de jellyfin en créant une règle avant la dernière qui refuse tout.

xavax a dit:
Je laisse l'avant dernière ?
Cliquez pour agrandir...
Si c'est pour le réseau local? Non (c'est déjà autorisé)
Si c'est pour l'extérieur, oui mais il vaut mieux créer un reverse proxy et n'ouvrir que le port 443 (443 > 5001...)
 
Jellyfin n'est pas en docker. Je l'ai mis en reverse proxy sur un port a part mais je pourrais le mettre sur le 443 ?
Le port 443 est ouvert par défaut sur le parefeu de mon routeur ou il faut l'ouvrir aussi ?
Par exemple j'ai ouvert le port 8999 sur mon routeur unifi pour qu'il accede a jellyfin via le reverseproxy. Si je veux passer sur le 443 il faut que je fasse la meme chose pour ce port ?

L'avant derniere c'etait pour n'autoriser l'accès au NAS que depuis la france, belgique et luxembourg. Par exemple acces a jellyfin en belgique.

Et pour acceder à DSM et eviter quick connect c'est mieux de faire quoi ? ouvrir le port 5001 sur mon routeur ou faire un reverse proxy du port 5001 vers 443 ?
 
Dernière édition:
Je n'ai pas reussi a reoudre mon problème. je vais essayer de trouver des tutos pour comprendre
 
Salut,
Tu devrais lire ceci au sujet du reverse proxy : https://www.cachem.fr/synology-domaine-reverse-proxy-https/
Effectivement il est possible de tout faire passé par le port 443, ce que je conseil ( en tout cas pour le traffic web d'application )

xavax a dit:
Et pour acceder à DSM et eviter quick connect c'est mieux de faire quoi ?
Cliquez pour agrandir...
Le mieux est de clairement evité d'exposer l'administration de son NAS sur internet ! Si cela est necessaire, le mieux reste d'utiliser un serveur VPN qu'on installera sur le NAS pour y acceder a distance.

xavax a dit:
ouvrir le port 5001 sur mon routeur ou faire un reverse proxy du port 5001 vers 443 ?
Cliquez pour agrandir...
S'il n'y a pas mise en place d'un VPN pour l'acces distant, l'option reverse proxy par le port 443 est encore la moins pire :)
 
Merci pour ta réponse. Je vais tout relire sur le reverse proxy et voir ce qui ne va pas avec mon firewall.
On est d’accord que si je fais un reverse proxy sur le port 443, il faut sue j’ouvre ce port sur mon routeur pour que ça fonctionne ?
Comme pour n’importe quel port ?
 
xavax a dit:
On est d’accord que si je fais un reverse proxy sur le port 443, il faut sue j’ouvre ce port sur mon routeur pour que ça fonctionne ?
Cliquez pour agrandir...
Sur le routeur et dans le pare-feu du NAS.
Si tu utilise le reverse proxy pour tes applis, alors c'est le seul port a ouvrir ( avec le 80 pour la génération du certificat HTTPS )
 
@xavax
Si je résume bien, tu veux :
  • accéder à Jellyfin depuis l'extérieur du LAN
  • accéder à DSM depuis l'extérieur du LAN
C'est bien cela ?

Ma solution : utiliser le reverse proxy, et donc un nom de domaine, le tout sur le port 443 en externe. Le reverse-proxy se chargeant de pointer sur les bons ports de chacun des services.
Il faudra aussi faire en sorte de faire une transmission de port dans le routeur/box en amont du NAS. Et bien sûr paramétrer correctement le pare-feu.

Procédons par étapes.
Mais d'abord un prérequis que je vais considéré comme OK de ton coté :
-> Le nom de domaine tonndd.tld pointe sur ton adresse IP (DDNS Synology à priori OK), mais aussi un certificat wildcard sur ce nom de domaine et *.tonndd.tld

1. Configuration du reverse-proxy​


2. Réglages du pare-feu :​

Là, on va faire le cas où tu ne veux accéder à DSM depuis internet que depuis la France.
Il faut autoriser cette connexion, mais aussi toutes celles du LAN (et du serveur VPN, mais ça on y viendra plus tard quand ton accès sera fonctionnel depuis l'extérieur).

1649366388804.png

Explications :
Il faut savoir que les règles sont lues et appliquées (si activées) de haut en bas.
  1. On autorise Tous depuis les IP de ton LAN : 192.168.1.1 -> 192.168.1.254
  2. On autorise Tous depuis les IP du réseau du VPN : 192.168.10.1 -> 192.168.1.254 (nécessaire quand on aura abordé la partie VPN, qui est bien plus sécurisé pour accéder à DSM... perso, je n'ai pas autorisé l'accès depuis internet à DSM, uniquement en LAN et depuis le VPN).
  3. On autorise toutes les connexions TCP sur le port 443 (HTTPS) depuis des IP françaises (ce sera le reverse proxy qui va se charger de transférer sur le bon port).
    J'utilise le sélecteur pour choisir le bon port :
    1649366654084.png
  4. La règle est pour le moment désactivée, mais elle autorise les connexions TCP sur le port 80 (Web) aux IP françaises : cette règle ne devrait pas avoir besoin d'être activée, et peut même être supprimée, mais comme il se peut que l'on en ait besoin, je l'ai laissée... mais désactivée.
  5. On autorise les connexions sur le port 55555 de Jellyfin à toutes les IP françaises.
  6. Cette règle est désactivée, mais est présente en cas de besoin. Elle permet à toutes les IP du monde entier (pas de restriction géographique) de se connecter sur le port 443 (HTTPS).
  7. Même chose que la règle 6, mais pour le port 80 (Web). Désactivée.
  8. La plus importante des règles : elle refuse toute connexion qui n'aurait pas été autorisées auparavant. Elle est essentielle pour la sécurité du NAS.
Pour ton utilisation future, il faudra ajouter une règle pour autoriser une application à être accessible depuis internet en ajoutant une règle avant la dernière.
Par exemple, si tu veux utiliser les clients Drive en synchronisation, il faudra ouvrir le port 6690 (dispo dans le sélecteur de ports : 1649367182607.png )
Le pare-feu ressemblera alors à ça :
1649367336146.png

3. Configuration de la box​

Maintenant, pour accéder depuis internet à ton NAS, il faut faire une transmission (ou redirection) de port sur ta box ou ton routeur.
Quelle est ta configuration à ce sujet ?
Box ? Routeur ?
Quel modèle ?
Sais-tu faire une redirection de port ?

Si oui, il faut faire une redirection/transmission du port 443 (externe) vers le port 443 (interne) sur l'IP de ton NAS.
 

Pièces jointes

  • 1649365413475.png
    1649365413475.png
    9.4 KB · Affichages: 0
Dernière édition:
  • J'adore
Réactions: xavax et EVO
Mince, j'ai appuyer sur tab+entrer :ROFLMAO: ça a validé l'envoi du message... pas tout à fait fini


J'ai édité mon précédent message.
@EVOTk @FX Cachem : pourquoi l'écriture d'une réponse juste après le message précédent n'a pas édité le précédent message mais a créé une nouvelle réponse ?
 
  • J'aime
Réactions: xavax
Merci je vais relire tout ceci avec attention lundi et reviens vers vous pour valider que je n’ai pas fait de boulette.
Pour le vpn il est déjà fait.
 
  • J'aime
Réactions: EVO
xavax a dit:
Merci je vais relire tout ceci avec attention lundi et reviens vers vous pour valider que je n’ai pas fait de boulette.
Pour le vpn il est déjà fait.
Cliquez pour agrandir...
Pour le VPN, on verra ensuite ^^ (faudra peut-être ajuster la règle du pare-feu en fonction de l'IP configurée dans le VPN Serveur).

Ps : pour tester ton accès extérieur, tu utilises bien une autre connexion que celle de ton domicile ? Par exemple une connexion 4G/5G ?
 
MilesTEG1 a dit:
Ensuite les entrées WebSocket :
1649365396023.png


Et les deux autres qui suivent (trouvé dans le fichier de conf de nginx : https://github.com/linuxserver/reverse-proxy-confs/blob/master/jellyfin.subdomain.conf.sample )
1649365662666.png
Cliquez pour agrandir...
Hello, merci pour toutes ces explications :) j'ai commencé a essayé de comprendre :)
Ca sert à quoi les en-tête personnalisée ?
J'avais paramétré le reverse proxy sans ca ca fonctionné et avec les en-tete aussi du coup je ne comprends pas bien ce que ca fait exactement

J'ai fait un VPN avec openvpn et vpn server sur le syno


Petite question, si je fais une fausse manip dans le parefeu et que je ne peux plus y acceder meme en local ? il y a quoi comme solution ?
 
Dernière édition:
Heu pont les en-têtes personnalisés… je sais que certaines applications ne fonctionnent pas bien sans. Faudrait creuser car là je ne sais pas expliquer davantage ??

Pour ta dernière question : il faut faire un reset du nas , niveau 1 je crois, ça va réinitialiser les réglages réseau et le mot de passe administrateur. Cf le site de syno dont j’ai pas le lien sur mobile ?
 
Je verrai ce soir car la je n'y accede plus de l'exterieur
J'avais créé la règle pour le local (j'espère qu'elle était bonne :) ),
la regle pour le reverse proxy qui pour l'instant est sur le port 7090 accessible depuis la france.
et la regle sur bloquer tout le reste

Le reverse proxy n'etait plus accessible depuis ma machine du bureau... Du coup je me suis dit que l'ip n'etait peut etre pas francaise et j'ai mis accessible a tous pour tester....
Et la je n'ai plus acces a rien sauf a jellyfin sur le reverse proxy....
Message automatiquement fusionné :

C'est bon j'ai reucpéré mon nas :)
Pour quickconnect il faut activer quoi comme regle ? Je voudrais l'activer temporairement au cas ou
 
Dernière édition:
  • J'aime
Réactions: MilesTEG
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour