Interrupteur G

[tos]

Bonjour,

après moulte recherche, je n'ai pas trouvé de réponse à ce que je cherche.

Je cherche la commande permettant de déconnecter / reconnecter mon Synology à internet.

Typiquement, lorsque je suis à mon domicile, j'aimerais couper l'accès à l'extérieur tout en maintenant l'accès par le réseau local.

En ce moment, je suis l'objet de pas mal de tentatives d'intrusion externes non autorisées.

Je sais qu'il "suffit" de paramétrer le pare-feu, mais j'aimeras savoir s'il y a un moyen de couper l'accès externe tout en maintenant l'accès par LAN. Éventuellement en basculant le pare-feu entre deux configurations préparées à cet effet.

Merci,

Tos

[DjMomo]

C'est pas sur le NAS qu'il faut faire cela, mais sur ton routeur/box.

[CoolRaoul]

Ce que je peux te proposer c'est ajouter deux règles dans le firewall en début de liste.

• Une première qui laisse passer tous les flux pour le réseau local, toujours active
  
• Une suivante qui bloque tout, activable a la demande
  

Comme ceci:

Suffit de cocher la case entourée de rouge pour bloquer tous les flux externes.

A toi de configurer correctement l'ip et le masque de la 1ère règle afin que cela corresponde au plan d’adressage de ton lan.

[loli71]

CoolRaoul, l'idée est bonne, sauf que les paquets qui proviennent d'internet sont généralement "paté" par le routeur ASDL, autrement dit, les paquets arrivent sur le synology avec l'adresse interne de ta box (adresse dans ton réseau en 192.168.1.0/24).

Une solution serait peut être (mais pas certain que cela ne bloque pas le traffic dy syno vers internet, et plus précisément la réponse du paquet) la suivante :

Il faut donc normalement plutôt la règle bloquant le traffic en provenance de l'adresse IP interne de la box (192.168.1.1 par exemple) juste avant la règle qui autorise ton réseau.

Maintenant, il faut bien faire attention au Firewall de la DSM 4.0 qui est actuellement bugué comme tu l'as indiqué, avec la solution de contournement indiquée.

[CoolRaoul]

CoolRaoul, l'idée est bonne, sauf que les paquets qui proviennent d'internet sont généralement "paté" par le routeur ASDL, autrement dit, les paquets arrivent sur le synology avec l'adresse interne de ta box (adresse dans ton réseau en 192.168.1.0/24).

ménonménon: pour les paquets entrants, c'est l’adresse *cible* qui est nattée, l'IP source est inchangée (un simple tcpdump te convaincra) et donc ma solution fonctionne.

Modifié le 7 mars 2012 par CoolRaoul

[loli71]

Alors si tcpdump le dit, je m'incline effectivement

Remarque, j'avais pris des gants en mettant dans mon message "sont généralement paté", lol .. ok, mauvaise foi que la mienne

[tos]

Cool Raoul !

Cette solution a l'air bien.

Je n'ai pas tout compris à propos du pâté, mais comme je sors de table, c'est peut-être normal...

Sinon, quel est le bug sur DSM 4 ? J'utilise la beta.

[loli71]

Tos, le bug sur DSM 4 a été résolu par la nouvelle release de syno ce matin.

il s'agissait d'un problème de config du firewall (ligne iptables manquante interdisant les paquets sortants à part ceux définis comme autorisés en entrant pour ceux qui avant choisi le "deny all" à la fin)

[tos]

Ah, d'accord. Tout va bien alors; je suis à jour.

Merci loli71.