Acc

[watcha]

Bonjour,

Je vous explique je voudrai rendre mon Synology accessible depuis le web mais mon routage est un peu compliqué :

J'ai ma livebox IP 192.168.1.1

Et derrière un PC qui fait office de firewall avec deux cartes réseaux :

- 192.168.1.2 --> Live Box

- 192.168.0.1 --> Réseau Interne

et derrière ce PC un SWITCH avec mes différents PC, dont mon NAS 192.168.0.38

Voici le schéma :

http://myreader.toile-libre.org/routage.pdf

J'ai un domaine xxxxxxx.diskstation.me

mais impossible de joindre depuis l'extérieur

Je dois paramètrer les règles de routage mais je ne vois pas trop où ni comment faire.

Merci d'avance de vos éclairages

Modifié le 10 septembre 2013 par watcha

[CMDC]

On va router le port 5001 en TCP pour l'exemple:

Sur la Live tu "ouvres" ce port en le redirigeant vers 192.168.1.2 (Firewall)

Sur ce firewal tu rediriges via iptables ce port vers 192.168.0.38

qque chose comme :

iptables -t nat -A PREROUTING -p tcp -m tcp -i eth[0|1] --dport 5001 -j DNAT --to-destination 192.168.0.38

Modifié le 10 septembre 2013 par CMDC

[CMDC]

Petit intermède: au cas ou la gestion de ton firewall sur PC te semble bien compliquée, il existe un excellent logiciel gratuit de gestion de routage/firewall http://www.pfsense.org/

[PiwiLAbruti]

Quel est le besoin initial qui nécessite de chaîner deux passerelles NAT sur le réseau local ?

[CMDC]

Quel est le besoin initial qui nécessite de chaîner deux passerelles NAT sur le réseau local ?

Peut-être parce-que c'est amusant ? (et formateur) .. si en plus il met un petit SQUID dessus ça devient franchement hilarant

[watcha]

On va router le port 5001 en TCP pour l'exemple:

Sur la Live tu "ouvres" ce port en le redirigeant vers 192.168.1.2 (Firewall)

Sur ce firewal tu rediriges via iptables ce port vers 192.168.0.38

qque chose comme :

iptables -t nat -A PREROUTING -p tcp -m tcp -i eth[0|1] --dport 5001 -j DNAT --to-destination 192.168.0.38

Merci

Mon PC firewall est sous window xp (désolé) le soft firewall est COMODO

Comment je fais cette même manip ?

Modifié le 11 septembre 2013 par watcha

[CMDC]

Humm, à mon avis je pense comme Piwi, que ton architecture réseau est à revoir ! Utiliser windows XP comme firewall c'est franchement un peu ... comment dire ... pas très catholique (ou orthodoxe hein c'est selon) ?

[watcha]

Oui mais ça fonctionne pas mal...et je fais avec les moyens du bord :-/

Cette machine est équipé de COMODO qui scanne tout ce qui rentre et ce qui sort, l'architecture est certes étrange mais elle est là même depuis des années et j'avoue que je n'ai aucun problème d'attaque dans le réseau derrière ce firewall. En fait cette machine partage la connexion Internet et gère la sécurité.

Du coup j'ai bien envie de ne pas y toucher ;-)

Bon j'y suis arrivé par contre, l'ouverture des fichiers dans le cloud, ne se fait qu'en lecture seule, y'a t-il un moyen de contre carrer cela ?

Modifié le 11 septembre 2013 par watcha

[CMDC]

Le syno étant fortement sécurisé et sécurisable (suppression des accés root sous SSH, disable du compte admin très (trop) connu par un autre compte avec privilèges, gestion de DDos, blocage IP etc.. etc...) je le mettrais directement au c*l de la box c'est à dire dans le réseau 192.168.1.0/24

[tonymans72]

Aucun problème d'attaques avec ton archi. Mais en serait t-il différemment sans ton PC Firewall ?

C'est rare quand les hackers s'attaquent à des particuliers quand même...

[PiwiLAbruti]

Le PC ne fait office que de pare-feu ? Pas de proxy ?

À moins qu'il y ait des règles très spécifiques, je ne vois pas l'intérêt de ce pare-feu.

Dans tous les cas il n'y a pas besoin d'avoir 2 réseaux avec 2 passerelles NAT. Au pire, le PC pare-feu pourrait parfaitement fonctionner en mode transparent. Ainsi il n'y aurait qu'un seul réseau avec une seule passerelle NAT.

[Brunchto]

c'est une config qui doit dater de l'époque où les modems ADSL/cable se branchaient en USB et ou on avait une connexion directe internet

[watcha]

Le PC ne fait office que de pare-feu ? Pas de proxy ?

À moins qu'il y ait des règles très spécifiques, je ne vois pas l'intérêt de ce pare-feu.

Dans tous les cas il n'y a pas besoin d'avoir 2 réseaux avec 2 passerelles NAT. Au pire, le PC pare-feu pourrait parfaitement fonctionner en mode transparent. Ainsi il n'y aurait qu'un seul réseau avec une seule passerelle NAT.

Il y avait un Proxy à l'époque, je l'ai viré. Posait trop de problème. Certains logiciels ne pouvait pas sortir. J'ai gardé le pc, en simple partage de connexion Internet plus un parefeu. Je taf dans une asso, c'est pas mon boulot l'informatique, je fais avec les moyens que j'ai ;-)

Je peux quand même pas m'empêcher de me dire, que je suis plus sécure avec un PC qui fait office de parefeu entre le réseau local et la livebox que sans...

Modifié le 11 septembre 2013 par watcha

[PiwiLAbruti]

Je peux quand même pas m'empêcher de me dire, que je suis plus sécure avec un PC qui fait office de parefeu entre le réseau local et la livebox que sans...

Si tu veux mon avis, ce PC permet plus de te rassurer que de protéger ton réseau.

La Livebox dispose déjà d'un pare-feu, donc je maintiens que tu pourrais grandement simplifier ton architecture. Maintenant, ce n'est pas moi qui galère à ouvrir des ports sur deux passerelles NAT en cascade.

[watcha]

Si tu veux mon avis, ce PC permet plus de te rassurer que de protéger ton réseau.

La Livebox dispose déjà d'un pare-feu, donc je maintiens que tu pourrais grandement simplifier ton architecture. Maintenant, ce n'est pas moi qui galère à ouvrir des ports sur deux passerelles NAT en cascade.

Tu as très certainement raison !

[tonymans72]

Même avis que Piwil, ça te rassure sans pour autant te protéger plus que ce que la box ne fait déjà