Syno, Netbios, Dmz Et Pfsense

[Invité Sum67]

Bonjour à tous,

Je fais appel à vous car je suis un peu à la masse aujourd'hui et que j'ai besoin d'aide

J'utilise ma Freebox en mode bridge afin de laisser les tâches de routages et de firewalling à une Openbrick sous pfSense qui dipose de trois pattes, LAN, WAN et DMZ, mon Syno étant sur cette dernière. Le port forwarding fonctionne bien, mon Syno est ben accessible et mon trafic DMZ vers le LAN impossible.

Ma problématique est que depuis que j'ai mis mon Syno sur ma patte DMZ avec une adresse en 192.168.2.x, je ne vois plus mon Syno depuis mon LAN (en 192.168.1.x). Est-ce normal (je pense que oui, on est plus dans le même subnet) mais y-a-t-il quelque chose que je puisse faire où la seule alternative est de remettre mon Syno dans le LAN ?

Désolé de ces questions triviales mais je suis sysadmin pas netadmin irl

D'avance merci.

[hpsmartyz]

salut

heu ..... pourquoi le syno en DMZ? c'est pas très sécurisant, pour le syno en tout cas

pour répondre à ta question, je pense que oui, c'est normal, ta brick isole les deux segments.

[Invité Sum67]

salut

heu ..... pourquoi le syno en DMZ? c'est pas tr

[cricx]

Car sur mon Syno j'h

[MS_Totor]

salut

+1 avec crirx pour wins

résoudre ip/nom netbios du lan vers la dmz il te faut au moins une route du lan vers la dmz pour laisser passer ce trafic et bien sur bloquer tout trafic non sollicité depuis le lan dans le sens inverse.

aucun paquet émetteur ne doit passer de la dmz vers le lan, sinon cela est exploitable en cas d'attaque si le syno devient compromis .... pinholes DMZ à éviter

pour info j'ai pas mal bossé pour porter iptables complet donc gestion log etc...sur un 1010+, synflood etc.... pour avoir un firewall digne de ce nom

car la gestion iptables actuelle n'est pas de mon point de vue capable d'encaisser tout le bad trafic du net sur un syno en DMZ comme le ferait un serveur sous linux classique.

sur le forum anglais, (il m'a grillé, car perso je continue à évaluer une solution ids/ips et donc pas diffusé de paquet ) dino a mis à dispo le pacquage iptables pour x86, comprenant tout le nécessaire en bibliothèque, et module kernel, afin de mettre tout script iptables digne de ce nom en place.

de là tu as un vaste choix de script pour combattre le flood, les scans , brutes forces et autres saletés, disponibles dans le monde admin debian et gérer de façon bien plus efficace et sérieuse le ban automatique des vilains autrement que sur syno qui ne sait gérer que le contrôle des log d'authentification pour faire un ban et ne gère pas le ban concernant les paquets mal formatés et autres...

un bonne protection sur ce qui concerne le trafic http en plus et la situation sera je le pense plus sereine.

par exemple, section bar et papote sur dedibox, rodo37 a mis un lien vers un script pas mal du tout ... si tu n'est pas à l'aise avec iptables

http://configserver.com/cp/csf.html

bien entendu phase de tests avant production

ÉDIT: je ne sais pas quel modèle de syno tu as donc je me suis peut etre avancé trop vite dans mon propos qui est dédié uniquement pour les x86 , donc 710 et 1010

@++

[Invité Sum67]

Bonjour et merci pour vos r