Aller au contenu

Ma Configuration Pare-Feu


RubxQbe

Messages recommandés

salut

pour le nat sur le routeur c'est ok, mais comme répété partout, pour garder la main à distance au cas ou, exemple un reboot nécessaire du syno, , plantage d'un service à redémarrer etc... ssh est primordial !! si possible à éviter pour ssh le port 22, car très connus et scanné régulièrement

donc regarde ta doc routeur, comment rediriger un port exemple 50627 externe vers l'ip et le port 22 du syno, de l'extérieur tu te connectera en 50627, et la redirection interne sera transparente vers le port 22 du syno via le nat.

ou encore une autre méthode, tu modifie le port d'écoute de ssh directement sur le syno, en 50267 au lieu de 22, ou tout autre numéro de port au dessus de 1024 ex: 50221 ou 50624, et sur le routeur tu redirige toute connexion externe en 50627 directement vers l'ip du syno port 50627 et hop accès ssh de l'extérieur.

Au niveau du pare-feu du Synology, j'ai utilisé "Type : Port de destination" avec l'adresse IP "192.168.XX.XX" interne pour la source avec les ports suivants : TCP 443,5001,22,7001 et en UDP 9997,9998,9999

une ip en 192.168.xx.xx n'est pas du tout explicite pour moi, et je ne peux être sur que tu ne te trompe pas entre ip du syno et une autre IP, réglage pour un flux entrant ou sortant vu du pare-feu syno .

une ip interne du reseau local, n'est en rien un secret, tu peux mettre ton adressage interne sans problème.

PS: relis le tuto que j'ai fais au dessus, car je crois que, ou tu t'es mal exprimé ou qu'il y a confusion port source port de destination.

bref décris ce que tu souhaite faire exactement pour un coup de main, ca sera bien plus facile ;)

Lien vers le commentaire
Partager sur d’autres sites

salut

pour le nat sur le routeur c'est ok, mais comme répété partout, pour garder la main à distance au cas ou, exemple un reboot nécessaire du syno, , plantage d'un service à redémarrer etc... ssh est primordial !! si possible à éviter pour ssh le port 22, car très connus et scanné régulièrement

donc regarde ta doc routeur, comment rediriger un port exemple 50627 externe vers l'ip et le port 22 du syno, de l'extérieur tu te connectera en 50627, et la redirection interne sera transparente vers le port 22 du syno via le nat.

ou encore une autre méthode, tu modifie le port d'écoute de ssh directement sur le syno, en 50267 au lieu de 22, ou tout autre numéro de port au dessus de 1024 ex: 50221 ou 50624, et sur le routeur tu redirige toute connexion externe en 50627 directement vers l'ip du syno port 50627 et hop accès ssh de l'extérieur.

une ip en 192.168.xx.xx n'est pas du tout explicite pour moi, et je ne peux être sur que tu ne te trompe pas entre ip du syno et une autre IP, réglage pour un flux entrant ou sortant vu du pare-feu syno .

une ip interne du reseau local, n'est en rien un secret, tu peux mettre ton adressage interne sans problème.

PS: relis le tuto que j'ai fais au dessus, car je crois que, ou tu t'es mal exprimé ou qu'il y a confusion port source port de destination.

bref décris ce que tu souhaite faire exactement pour un coup de main, ca sera bien plus facile ;)

Bonjour,

Merci pour votre réponse, pour commencer, j'ai donc relu votre tuto et aussi étudié vos recommandations.

Mon modem/routeur est assez limité alors j'étais déjà en train de regarder pour en acheter un autre, épisode à suivre. Ensuite j'utiliserais l'une de vos méthode.

Concernant l'autre partie je vous informe donc des IP utilisées.

MODEM/ROUTEUR=192.168.1.1

PC=192.168.1.34

SYNO=192.168.1.10

Ce que je ne comprend pas, c'est que mon Synology assistant n'arrive plus à se connecter au Synology (je le vois, mais le statut système m'indique toujours "La connexion a échoué"), pourtant j'ai ouvert au niveau de celui-ci (sur le pare-feu du Synology) les ports 1234,9997,9998,9999 en UDP type=Port destination. sur l'adresse 192.168.1.1

Une petite idée ?

RubxQbe.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
  • 2 mois après...

Bon pour ne pas ré-ouvrir un topic sur le même sujet, je poste ici....

Voici mon cas, je ne souhaite pas accéder à mon DS410J depuis le net, je veux juste qu'il soit accessible depuis mon réseau local (2 ou 3 PC, PS3, etc....)

Je ne veux pas faire de FTP ou quoique ce soit d'autre.....(Pour le moment en tout cas)

Mon NAS me sert uniquement à centraliser mes données sur mon réseau à la maison....

Pour l'instant ça à l'air de fonctionner...

Ma question est dois-je configuer quelque chose dans le pare-feu du synology pour le protéger des accès internet ???

Et si c'est le cas, quoi ???

Info : Mon Nas est connecté sur une neufbox.

Merci

Lien vers le commentaire
Partager sur d’autres sites

dex je ne cautionne pas du tout ton propos 99 ou 90 %, désolé mais c'est un peu gros là et pas commenté comme il se doit quand on affirme cela wink.gif

il y a pleins de cas et effectivement tu ne lis pas tout ce que certains font avec leur matos...vpn and co, open bar je partage avec la planète dmz sur mon routeur etc, j'ai mis un bout de tuto qui décrit justement dans quel cas c'est utile voir obligatoire car perso j'en ai marre de voir des boulets héberger de la cochonnerie à tout vas et polluent à qui mieux mieux le net avec des bot qu'ils ne soupçonnent même pas....

et le contrôle des accès, genre petit contrôle parental via restriction d'accès ip/port en plus d'un accès par user/group ? cela marche pas avec iptables ? bien sur que si....... seulement il faut y penser

même chose que sp@ro pour la passerelle......

fin de mon commentaire et bonne journée

smile.gif

Lien vers le commentaire
Partager sur d’autres sites

Le gamin qui arrive à cracker l'accès par user n'aura pas de pb pour contourner l'accès par IP si tu veux mon avis.... biggrin.gif

Mets un sonicwall et tu verras la tête des gamins tongue.gif

En fait une bonne sécurité est le multiplexage de matos: routeur (type cisco ou juniper), firewall hard (type sonicwall par exemple), switch vlan manageable de niveau 2+ voir 3 (type HP procurve minimum 26xx) et tu mets tout ton réseau derrière en filtrant par mac-adresses. Par contre grave erreur de mettre un seul et unique fabricant pour toute sa sécurité.

J'ai un peu galéré sur le syno, mais maintenant firewall de mon DS207+ est bien actif avec ftp et site web actif sur le net (par défaut il manque le port tcp 20 pour les datas ftp dans les rêgles de bases du firewall, le port 21 n'est pas suffisant). Par contre, je suis contre la possibilité de gérer mon matos depuis l'extérieur même en VPN, on ne sait jamais. Par contre accéder à mes ressources via vpn là oui.

Lien vers le commentaire
Partager sur d’autres sites

Lol

pas besoin de matos pro à ajouter, netfilter est énorme pour cela mais il faut savoir s'en servir, foultitude de tutos existants.

un brute force c'est une façon obsolète de franchir les barrières et trouver des gentils noob , car trop visible, trop facilement traçable, si une gestion minimale est mise en place, ca ne franchit jamais x essais, les paquets sont dropés, sans donner d'information en retour.

alors le fiston sur le réseau local en question peut se gratter la tête encore longtemps pendant que son père se marre. et / ou sanctionne., il peut venir chez moi et faire mumuse, je ferai une sieste pendant qu'il s'esquinte à trouver laugh.gif

le reste et bien, éviter de mettre n'importe quoi sur le syno et de le gérer n'importe comment.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.