[Tuto] Régler son pare-feu pour un usage local

EVOTk

Modérateur
Membre du personnel
Avec cette règle, tu expose ton NAS ( interface de gestion ) directement sur internet. Je n'utilise pas quickconnect, mais pour moi il na pas besoin de cette règle, car cela enlève donc tous l’intérêt de quickconnect qui est de ne pas avoir a ouvrir de port.
 

bemo47

Nouveau membre
oui étrange, à creuser, je l'enleve, mais jusque là mon fw n'était pas activé.... donc je ne suis pas en situation pire...
 

bemo47

Nouveau membre
littérature sur quickconnect ici
il y a plusieurs niveaux :
- ça passe sans rien faire sur le routeur et c'est bon
- sinon activation du relay server chez synology mais perte de perf
- si upnp ouvert sur le routeur, les forward sont activés mais on expose le nas
bref.... ça reste un peu moyen tout ça, sauf l'option 2 mais avec perte de perf...

1631658383555.png
 

MilesTEG1

Chevalier Jedi
Salut par ici 👋
Normalement il ne devrait pas y avoir besoin de spécifier une règle spécifique pour le serveur DHCP si les règles du parfeu sont bien faites.
@bemo47 Dans ta dernière capture, les règles ne vont pas. Tu autorises toutes les IP à accéder à DSM et d'autres services... Ce n'est franchement pas une bonne idée.
Par exemple sur mon NAS, j'ai mis ça comme règles :
1631689871219.png
Les règles du haut vers le bas :
  • Règle n°1 : elle autorise les IP des réseaux Docker (conteneurs) ;
  • Règle n°2 : elle autorise les IP LAN (probablement trop large) de type 192.168.xxx.yyy ;
  • Règle n°3 : pour les connexions venant d'internet (IP française uniquement) sur le port 443 qui est mon reverse proxy (c'est lui qui redirige vers les bons ports à partir d'un nom de domaine du type service1.mon-nas.tld) ;
  • Règle n°4 : pour les connexions venant d'internet (IP française uniquement) sur le port 80 (je pense que je pourrais supprimer cette règle, car rien n'accède en HTTP sur le port 80...)
  • et ainsi de suite.
  • Les règles non cochées, sont pour autoriser les IP de Synology, quand j'ai besoin d'un support technique avec accès à mon NAS à distance.
  • La dernière règle interdit tout traffic qui n'a pas été bloqué ou autorisé avant.
Voilà.
Après, j'ai un parefeu encore plus restrictif sur mon routeur synology.
Grossomodo, il ne laisse passer que le traffic sur le port 443 et le port 6690 (port pour le client Drive)
 

bemo47

Nouveau membre
merci de vos retours et ça m'intéresse car dans mon LAN j'ai la box 4G d'entrée dont le FW n'a pas de règles modifiables semble t il, un routeur ASUS AC88U qui ne fait plus que du wifi, le NAS Syno qui héberge maintenant aussi ce DHCP et sur lequel j'ai tenté d'activer le FW.
D'ou peut être le besoin de règles DHCP car il est derrière le FW ?
Mais ce qui m'intéresserait c'est de mieux organiser tout ça au niveau sécurité, peut être remettre le ASUS en position de FW derrière la box, mais un des soucis c'est que ça faisait 2 routeurs entre mon LAN et Internet et pour certains accès entre LAN et Internet ça semblait poser pb sauf à en mettre un en bridge... bref un peu trop compliqué pour moi.
mais peut être devrais je en faire un post dédié ?
 

MilesTEG1

Chevalier Jedi
Un périphérique sur le réseau n'a pas d'ip avant que le DHCP lui en procure une non ? Donc à part autoriser Tous comment faire ?
Oué c’est pas faux… mais du coup s’il n’a pas d’ip le pare-feu ne peux pas le bloquer non ?
Pour moi ce n’est pas cohérent de faire une règle pour ça. Après je ne connais pas assez le fonctionnement du serveur dhcp qui est chez moi sur le routeur.
D’ailleurs je n’ai pas de règle pour ça dans le routeur et ce dernier affecter bien les ip aux périphériques.
 

EVOTk

Modérateur
Membre du personnel
Oué c’est pas faux… mais du coup s’il n’a pas d’ip le pare-feu ne peux pas le bloquer non ?
Quand je dit pas d'ip, je veut dire un truc générique il doit prendre une IP au hasard peut être le dernière qu'il a utilisé ? Ou une ip en dur dans le systeme. Le fonctionnement du DHCP est aussi asser abstrait pour moi.
 

bemo47

Nouveau membre
en tous cas si je ne mets pas cette règle, le dhcp ne fonctionne pas, ou du moins le mobile n'arrive pas à se connecter au wifi, en fait j'ai supposé que c'était à cause du dhcp mais ça peut être une autre raison aussi...
et si j'active cette règle la connection se fait.... enfin ça sent le dhcp quand même...

mais sinon, je pourrais aussi mettre le dhcp sur le routeur asus qui ne sert plus à grand chose à part connecter des équipements wifi, mais il est bien dans mon lan comme le nas...

existe t il une possibilité de transférer facilement les règles de dhcp d'une machine à l'autre ? autrement que hard copy d'un coté pour ressaisie de l'autre ?
 

EVOTk

Modérateur
Membre du personnel
Que veut tu dire par copier les règles DHCP ? Le DHCP a une plage d'ip qu'il attribue cela ce limite a sa.
 

bemo47

Nouveau membre
ah ce que je veux dire c'est j'ai pas mal d'ip qui sont fixes, notamment les caméras de surveillance ou autres équipements particuliers et qu'on les définit aussi côté dhcp pour pas que ces ip soient prises par d'autres, non ?
 

EVOTk

Modérateur
Membre du personnel
Pour définir un DHCP il y a juste 2 règles:
IP de début
IP de fin

Tes réglages d'ip fixe doivent être hors de la plage du DHCP.

Exemple :
Réseau 192 168.1.0/255.255.255.0
Box/routeur 192.168.1.1
Dhcp 192.168.1.200 a 192.168.1.255

Dans cette exemple les IP fixes sont a choisir de 192.168.1.2 ( le .1 étant déjà pris par la box/routeur ) et 192.168.1.199
Le reste est pour le DHCP qui fait sa "sauce".
 

bemo47

Nouveau membre
ip fixes ou réservées d'ailleurs je vois que c'est une grande discussion dans les forums....
en fait je n'ai pas vraiment d'appareil qui imposent une fixe, ni de logiciel, mais c'est la façon de les utiliser qui crée un besoin d'ip "fixe"
exemple : les caméras ip, dans le module vidéosurveillance de DSM ont les accède via une IP, si cette IP change, on doit faire une maj dans le logiciel pour y réaccéder de nouveau, idem avec les url pour les gérer, c'est avec l'ip qu'on y accède, d'où le besoin d'avoir toujours la même ip, etc...
et au final je me retrouve avec plein d'équipements pour lesquels il vaut mieux que l'ip ne change pas. donc statiques ou seulement réservées ça suffirait.
ou alors c'est à ça que pourraît servir un dns non ou des noms logiques qui permettraient de toujours retrouver la bonne ip d'un équipement... ça n'existe pas sur un lan ?
 
Haut