Invité Sum67 Posté(e) le 25 juin 2010 Partager Posté(e) le 25 juin 2010 Bonjour à tous, Je fais appel à vous car je suis un peu à la masse aujourd'hui et que j'ai besoin d'aide J'utilise ma Freebox en mode bridge afin de laisser les tâches de routages et de firewalling à une Openbrick sous pfSense qui dipose de trois pattes, LAN, WAN et DMZ, mon Syno étant sur cette dernière. Le port forwarding fonctionne bien, mon Syno est ben accessible et mon trafic DMZ vers le LAN impossible. Ma problématique est que depuis que j'ai mis mon Syno sur ma patte DMZ avec une adresse en 192.168.2.x, je ne vois plus mon Syno depuis mon LAN (en 192.168.1.x). Est-ce normal (je pense que oui, on est plus dans le même subnet) mais y-a-t-il quelque chose que je puisse faire où la seule alternative est de remettre mon Syno dans le LAN ? Désolé de ces questions triviales mais je suis sysadmin pas netadmin irl D'avance merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
hpsmartyz Posté(e) le 25 juin 2010 Partager Posté(e) le 25 juin 2010 salut heu ..... pourquoi le syno en DMZ? c'est pas très sécurisant, pour le syno en tout cas pour répondre à ta question, je pense que oui, c'est normal, ta brick isole les deux segments. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Sum67 Posté(e) le 25 juin 2010 Partager Posté(e) le 25 juin 2010 salut heu ..... pourquoi le syno en DMZ? c'est pas tr 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
cricx Posté(e) le 26 juin 2010 Partager Posté(e) le 26 juin 2010 Car sur mon Syno j'h 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MS_Totor Posté(e) le 26 juin 2010 Partager Posté(e) le 26 juin 2010 salut +1 avec crirx pour wins résoudre ip/nom netbios du lan vers la dmz il te faut au moins une route du lan vers la dmz pour laisser passer ce trafic et bien sur bloquer tout trafic non sollicité depuis le lan dans le sens inverse. aucun paquet émetteur ne doit passer de la dmz vers le lan, sinon cela est exploitable en cas d'attaque si le syno devient compromis .... pinholes DMZ à éviter pour info j'ai pas mal bossé pour porter iptables complet donc gestion log etc...sur un 1010+, synflood etc.... pour avoir un firewall digne de ce nom car la gestion iptables actuelle n'est pas de mon point de vue capable d'encaisser tout le bad trafic du net sur un syno en DMZ comme le ferait un serveur sous linux classique. sur le forum anglais, (il m'a grillé, car perso je continue à évaluer une solution ids/ips et donc pas diffusé de paquet ) dino a mis à dispo le pacquage iptables pour x86, comprenant tout le nécessaire en bibliothèque, et module kernel, afin de mettre tout script iptables digne de ce nom en place. de là tu as un vaste choix de script pour combattre le flood, les scans , brutes forces et autres saletés, disponibles dans le monde admin debian et gérer de façon bien plus efficace et sérieuse le ban automatique des vilains autrement que sur syno qui ne sait gérer que le contrôle des log d'authentification pour faire un ban et ne gère pas le ban concernant les paquets mal formatés et autres... un bonne protection sur ce qui concerne le trafic http en plus et la situation sera je le pense plus sereine. par exemple, section bar et papote sur dedibox, rodo37 a mis un lien vers un script pas mal du tout ... si tu n'est pas à l'aise avec iptables http://configserver.com/cp/csf.html bien entendu phase de tests avant production ÉDIT: je ne sais pas quel modèle de syno tu as donc je me suis peut etre avancé trop vite dans mon propos qui est dédié uniquement pour les x86 , donc 710 et 1010 @++ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Sum67 Posté(e) le 27 juin 2010 Partager Posté(e) le 27 juin 2010 Bonjour et merci pour vos r 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.