Souci de compréhension d'ADM Defender

scudo

Apprenti
Hello

Après avoir paramétré mon NAS nasodigitalement, je me suis penché sur la sécurité (je suis un peu parano là dessus).
J'ai donc voulu configurer ADM defender en mode "bloquer toute connexion, sauf liste".
J'ai mis dans la liste blanche mon sous-réseau (192.168.xx), ce qui normalement bloque toute connexion entrante, sauf mon LAN.

Mais sur Asustor, ça bloque aussi les connexions sortantes : impossible de se connecter au App Central (erreur réseau), impossible de vérifier les mises à jour.
Dans le même goût, AiMaster sur mon smartphone en Wifi sur le LAN ne peut se connecter: il voit le NAS, me jette si je mets un mauvais mot de passe, valide avec le bon, (ce qui me dit que NAS et aimaster communiquent) mais reste bloqué sur la popup "chargement"....

Si je repasse en "autoriser les connexions, sauf liste", là tout marche....

quelque chose me dit que
1. la doc est bien trop succinte (tant FR que US)
2. l'implémentation du firewall dans ADM n'est pas au top

il y a un truc que j'ai pas encore tenté, c'est de mettre en "bloquer sauf liste" et autoriser le port 80 vers tous les réseaux (DNS est déjà autorisé vers 8.8.8.8).

je suis friand de vos avis et/ou tests en la matière.
 

Dami1

Grand Maître Jedi
Je suis d'accord avec toi
Je leur ai déjà fait remonter ce que tu dis.
ça n'est pas clair ce parefeu.
J'en ai aussi déjà échangé avec FX.
Je viens d'envoyer un laïus a leur boss.

Merci à toi. Tu as déterré un problème que j'avais oublié avec le temps :?
 

scudo

Apprenti
Hello

bah de rien pour le rappel :)

Je me suis penché ce soir sur la configuration linux derrière ADM defender.
c'est bien iptables qui est utilisé, de manière classique (règles entrant / sortant + deny / allow).

En listant les règles (en mode "bloquer sauf liste"), on voit
Code:
root@nas:/etc # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       anywhere
ACCEPT     all  --  8.8.8.8              anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             multiport dports www,https
ACCEPT     all  --  localhost            anywhere
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

C'est donc bien uniquement les connexions "entrantes" qui sont censées être bloquées et rien en sortant.

La logique (dans le monde des firewall), c'est qu'une connexion entrante c'est uniquement quand initié depuis un hôte distant.
Les connexions entrantes en réponse à une connexion sortante ne devraient pas être rejetées, car considéré comme conversation initiée par le nas.
(En gros je demande http://asustor.com, c'est le sortant, le contenu de la page web renvoyé en réponse est la connexion entrante, liée à la conversation sortante "je veux http://asustor.com").

Hors là tout semble bloqué, y compris les réponses sur une conversation sortante.
Sauf étrangement sur le LAN local (ouf, sinon je n'accèderais même plus à ADM)...

J'en conclus que la source du bug est plutôt dans l'implémentation d'iptables sur la couche linux que dans la couche graphique ADM

au passage j'ai testé mon idée du matin "autoriser le port 80 vers tous les réseaux", ça ne sert à rien.
j'ai même ajouté manuellement sans succès une règle output (sortie) pour autoriser le HTTP vers partout...

(j'espère que je n'ai pas assommé tout le monde :D)
 

Dami1

Grand Maître Jedi
merci ton aide que je qualifie de "géniale"
j'ai remonté ça à leur boss du développement avec pour message TRES URGENT. J'ai traduit ton post entièrement en anglais avant

merci à toi ! Je sens que tu vas devenir vite un pilier de ce site
 

scudo

Apprenti
de rien... j'essaye juste de faire fonctionner au mieux mon NAS en fait :)

Merci pour la remontée à Asustor. Espérons avoir de leurs nouvelles rapidement.
 

scudo

Apprenti
Bonsoir,

Damien, il semble que tu sois un magicien et les équipes Dev sont vraiment réactives.
ça fait plaisir et ça me conforte dans mon choix Asustor.

J'ai mis la beta ADM 2.2 ce soir.
Le mode "bloquer sauf liste" marche !!

le nas ping des ip publiques et peut aller sur le AppCentral
La lecture de iptables montre une nouvelle ligne pour accepter les connexions "réponses" (ligne state related,...) .
Code:
root@nas:/home # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere
ACCEPT     all  --  localhost            anywhere
DROP       all  --  anywhere             anywhere

youpiiiiiiiiiiiiiiiiiiiiiiii :geek:

Je ferai plus de tests demain ou ce WE quand même ;)

mais déjà un grand MERCI
and a warm thanks for Asustor teams
 
Haut Bas