Aller au contenu

Syno, Netbios, Dmz Et Pfsense


Invité Sum67

Messages recommandés

Bonjour à tous,

Je fais appel à vous car je suis un peu à la masse aujourd'hui et que j'ai besoin d'aide :)

J'utilise ma Freebox en mode bridge afin de laisser les tâches de routages et de firewalling à une Openbrick sous pfSense qui dipose de trois pattes, LAN, WAN et DMZ, mon Syno étant sur cette dernière. Le port forwarding fonctionne bien, mon Syno est ben accessible et mon trafic DMZ vers le LAN impossible.

Ma problématique est que depuis que j'ai mis mon Syno sur ma patte DMZ avec une adresse en 192.168.2.x, je ne vois plus mon Syno depuis mon LAN (en 192.168.1.x). Est-ce normal (je pense que oui, on est plus dans le même subnet) mais y-a-t-il quelque chose que je puisse faire où la seule alternative est de remettre mon Syno dans le LAN ?

Désolé de ces questions triviales mais je suis sysadmin pas netadmin irl ;)

D'avance merci.

Lien vers le commentaire
Partager sur d’autres sites

salut

+1 avec crirx pour wins

résoudre ip/nom netbios du lan vers la dmz il te faut au moins une route du lan vers la dmz pour laisser passer ce trafic et bien sur bloquer tout trafic non sollicité depuis le lan dans le sens inverse.

aucun paquet émetteur ne doit passer de la dmz vers le lan, sinon cela est exploitable en cas d'attaque si le syno devient compromis .... pinholes DMZ à éviter

pour info j'ai pas mal bossé pour porter iptables complet donc gestion log etc...sur un 1010+, synflood etc.... pour avoir un firewall digne de ce nom

car la gestion iptables actuelle n'est pas de mon point de vue capable d'encaisser tout le bad trafic du net sur un syno en DMZ comme le ferait un serveur sous linux classique.

sur le forum anglais, (il m'a grillé, car perso je continue à évaluer une solution ids/ips et donc pas diffusé de paquet ) dino a mis à dispo le pacquage iptables pour x86, comprenant tout le nécessaire en bibliothèque, et module kernel, afin de mettre tout script iptables digne de ce nom en place.

de là tu as un vaste choix de script pour combattre le flood, les scans , brutes forces et autres saletés, disponibles dans le monde admin debian et gérer de façon bien plus efficace et sérieuse le ban automatique des vilains autrement que sur syno qui ne sait gérer que le contrôle des log d'authentification pour faire un ban et ne gère pas le ban concernant les paquets mal formatés et autres...

un bonne protection sur ce qui concerne le trafic http en plus et la situation sera je le pense plus sereine.

par exemple, section bar et papote sur dedibox, rodo37 a mis un lien vers un script pas mal du tout ... si tu n'est pas à l'aise avec iptables

http://configserver.com/cp/csf.html

bien entendu phase de tests avant production

ÉDIT: je ne sais pas quel modèle de syno tu as donc je me suis peut etre avancé trop vite dans mon propos qui est dédié uniquement pour les x86 , donc 710 et 1010

@++

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.