Synology [Tuto] Régler son pare-feu pour un usage local

EVO

Administreur
Membre du personnel
25 Novembre 2019
8 160
1 563
278
/var/run/docker.sock
Bonjour,
Nous allons ici régler son pare-feu pour un usage local du NAS.

Nous estimons le réseau local fiable, nous allons donc "ouvrir" le NAS sur le réseau local et "fermer" le reste ( donc le réseau internet ).
Cela n’empêchera pas le NAS d’accéder à internet, mais il ne pourra pas être contacté depuis l'extérieur de votre réseau.

Le réglage du Pare-Feu se passe dans Panneau de Configuration > Sécurité > Pare-Feu
1677147583124.png
Nous allons cocher la case "Activer le pare-feu" puis nous cliquons sur "Modifier les règles"

On clique ensuite sur "Créer" pour créer les 3 règles du pare-feu la procédure sera la même, seuls les IP source vont être modifiées :
1677147741106.png
Port : Tous
Ip Source : Ip Spécifique*
Action : Autorisé

IP Spécifique, règle 1 :
1677147626771.png
IP Spécifique, règle 2 :
1677147643263.png
IP Spécifique, règle 3 :
1677147652742.png

Détaillons un peu ces 3 règles
La règle N°1 va autorisé tout le trafic provenant d'une connexion depuis VPN Serveur par exemple ( sous réseau en 10.0.0.0 ).
La règle N°2 va autoriser tout le trafic provenant des sous-réseaux de Docker par exemple.
La règle N°3 va autoriser tout le trafic provenant des appareils de votre réseau local. ( sous réseau en 192.168.0.0 ).

Une fois c'est 3 règles créées, nous allons interdire tout le reste !
Nous allons donc créer une 4e règle, sous la forme :
1677147680027.png
Port : Tous
Ip Source : Tous
Action : Refuser

Une fois fini, vous devez avoir votre profil qui est comme ceci :
1677147702515.png

Le pare-feu exécute les règles dans l'ordre, en partant du haut, vers le bas. Donc la règle qui refuse "tout le reste" ( tout ce qui n'est pas clairement autorisé dans les règles avant ) se trouvera toujours en bas de liste ! Si elle se retrouve en haut, le NAS exécutera cette règle en 1er, et donc bloquera tout, sans tenir compte de nos autres règles en place !

Note : Pour ouvrir des ports vers l'extérieur, il vous faudra placer ces nouvelles règles juste avant la règle N°4, qui refuse tout le trafic qui n'est pas clairement autorisé.

Il ne vous reste plus qu'à valider, et appliquer les paramètres du pare-feu.
Attention si un message vous avertir que les règles vont bloquer votre machine, c'est que vous avez fait une erreur ! Dans ce cas ne valider pas votre changement, et contrôler vos règles, en cas de soucis, venez demander conseil ici.

2023-02-23 - Mise à jour des images , Thx @Neo974
2020-03-25 - Création
 
Dernière édition:
Bonjour et un grand merci pour ce tuto qui me sert grandement (étant débutant).

Je viens d'appliquer exactement ce qui est indiqué, et je n'arrive pas à trouve le bon réglage pour que Plex et l'accès à distance ne soit pas dans le rouge.
J'ai essayé d'ouvrir plusieurs ports mais à chaque fois ça ne fonctionne pas.
Je suis obligé de le désactiver pour que l'accès à distance de Plex soit dans l vert.

Si vous avez une idée, je suis preneur.

Merci,
 
Salut,
Pour plex, il faut rajouter une autorisation sur le port 32400/TCP. Cette autorisation doit se trouver AVANT l'interdiction de tout le reste, donc avant la derniere ligne !

Comme ceci :
w4jXR07.png


En agrippant le bout de la ligne d'une règles, tu peu faire une cliquer/glisser afin de changer sa position.
5gmnF0z.png
 
Bonjour,
Pouvez me dire à quel appareil correspondent chaque ip que vous avez noté s'il vous plaît.
De plus sur open vpn je suis en L2TP/IPSec est c'est une plage d'Ip que j'ai est ce que je dois donc mettre "plage d'ip" à la place de "hôte unique" pour IP source ?
Je suis une débutante est vos tutos m'aide

En attendant votre réponse
 
Bonjour,
A la fin du tuto j'ai détaillé :

La règle N°1 va autorisé tout le trafic provenant d'une connexion depuis VPN Serveur par exemple ( sous réseau en 10.0.0.0 ).
La règle N°2 va autoriser tout le trafic provenant des sous-réseaux de Docker par exemple.
La règle N°3 va autoriser tout le trafic provenant des appareils de votre réseau local. ( sous réseau en 192.168.0.0 ).

Ce sont des sous réseaux, non des hôtes ou plage IP.
 
Merci pour votre réponse.
Je trouve les valeurs du sous réseaux du vpn sur l'application du vpn, et pour le sous réseaux qui va autoriser les appareils de mon réseau local c'est sur le "site" de ma livebox mais étant vraiment débutante je ne sais pas ce que sont les dockers pouvez vous m'expliquer s'il vous plaît ?
 
Salut,
Le L2TP/IPSec utilise par defaut la plage 10.2.0.0
Celle ci fait partie de la règle N°1 : Sous-Réseau 10.0.0.0/255.0.0.0
 
Mj23 a dit:
Merci pour votre réponse.
Je trouve les valeurs du sous réseaux du vpn sur l'application du vpn, et pour le sous réseaux qui va autoriser les appareils de mon réseau local c'est sur le "site" de ma livebox mais étant vraiment débutante je ne sais pas ce que sont les dockers pouvez vous m'expliquer s'il vous plaît ?

Hello,

Pour eclairer ta lanterne : https://www.synology.com/fr-fr/dsm/packages/Docker
si tu n'utilises pas, tu peux supprimer ladite regle dans le parefeu. ;o)
 
bonjour,

pour ma part, si je n’autorise que les IP françaises dans le firewall, je n’arrive pas à accéder à mon NAS de l’extérieur. Je suis abonné chez SFR fibre. L’IP de ma box est bien identifié en FRANCE d’après le site http://www.maxmind.com. (idem pour mon abonnement 4G). Si j’autorise toutes les IP sources plutôt que FRANCE, l’accès est à nouveau fonctionnel de l’extérieur.

Ports: "interface de gestion", Protocole: "tous", IP source: "FRANCE", action: autoriser => avec cette règle, impossible de me connecter de l'extérieur (en 4G par ex).
Ports: "interface de gestion", Protocole: "tous", IP source: "TOUS", action: autoriser => avec cette règle, connexion sans problème de l'extérieur (en 4G par ex).

Une idée ? un conseil?

Merci pour votre aide.
 
Salut,
Surement que ton IP 4G n'est pas considéré française, ce peut etre le cas pour de multiple raison, et la géolocalisation par IP est loin d'etre une science exacte !
Tu n'est pas proche de la frontiere par hasard ?

Tu peu aussi essayer via ce site, voir se que te donne comme localisation l'ip public de ton téléphone en 4G https://ping.e.cx.ua/geo
 
bonsoir,
je tente d'activer le pare feu sur mon NAS avec DSM 7 mais ça m'empêche de connecter les mobiles au wifi.
le wifi est généré par un routeur qui est dans le LAN
le dhcp est fourni par le DSM
avec ces règles minimalistes et peut etre pas très utile ça bloque
si je désactive le FW ça se connecte
1631654363327.png
 
Re,
Eleve cette regle avec provenance de Chine, qui en l'état ne sert a rien.
Apres reflexion, je pense que le soucis viens de fait que un périphérique qui demande un accès DHCP c'est pour avoir une IP locale, car il n'en possède pas !

Il faudrait donc rajouter en avant dernière une règle qui autorise les ports 67 et 68 depuis toutes les IP Sources.
 
haha, je vois que tu m'as pas laché et j'en suis très content
donc j'ai enlevé la chine
j'ai ajouté la règle sur le service DHCP avec 67 et 68
et j'avais commencé à créer d'autres règles en regardant un tuto en anglais mais je reverrai ça plus tard
en attendant, la connexion wifi du mobile refonctionne !
merci beaucoup :)
1631655977081.png
 
❌La 1ere regle ne sert a rien, car la 3eme l'englobe
❗ la 2eme regle permet l'acces a Surveillance station ne n'importe ou ( exposer sur internet donc ) c'est voulu ?
✅la 3eme regles autorise tous le traffic venant de ton reseau local ( c'est bien de pas se bannir soit meme ^^ )
✅la 4eme regle est donc notre autorisation pour le DHCP, avec l'obligation de la regler sur "Ip Source > tous"
✅la 5eme regle interdit tout le reste
 
ok, j'enleve cette 1ère règle
la 2, je pense que oui car j'accède à surveillance station depuis mon mobile, mais via quickconnect.... donc à tester.. et effectivement ça fonctionne sans cette règle
et le reste bouge pas.... j'enlève 1 et 2
 
la 2, je pense que oui car j'accède à surveillance station depuis mon mobile, mais via quickconnect.... donc à tester.. et effectivement ça fonctionne sans cette règle
quickconnect a un fonctionnement avec un VPN intermédiaire ( de chez Synology ), il ne réclame donc pas d'ouverture de port.
 
oui mais non, entre temps cette règle avait été rajoutée par la notification pare feu je crois et ça ne marche que avec celle là, la 1
1631657325248.png
 
bon, je crois que je vais en rester là pour ce soir, à suivre....
en tous cas merci de cette aide extrêmement efficace !