Gim83 Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 (modifié) Bonjour, nouveau venu dans le monde du NAS, j'aurais besoin d'aide pour pouvoir bien régler mon pare-feu ! Je souhaite avoir accès à Photostation par le net à une adresse *.synology.me, accès par log/mdp, et sécuriser ensuite mon NAS grâce au firewall et Antivirus essential. Voici ce que j'ai fait, mais j'ai un message qui est apparu... et là je ne vois pas pourquoi... pouvez-vous dire où cela cloche ? J'ai autorisé l'accès à Photstation tous, mais je lui ai interdit l'accès à mon ip reseau du NAS... J'ai autorisé l'accès à mon ip reseau du NAS à tous mais aussi au fameux ports au cas où... et j'ai ce message qui apparait ! Et je bloque l'accès si aucune régle n'est remplie ! Suis-je trop restrictif ? Si je suis le tuto trouvé ici, j'aurais donc ça, et sans message d'avertissement : mais je ne comprends pas quelque chose... avec la dernière régle j'autorise tout le monde à avoir accès à Synology Assistant, l'Interface degestion etc... correct ? N'est-ce pas comme si je n'appliquais aucun pare-feu à mon système NAS ? Merci de vos aides et conseils, Pascal. Modifié le 17 mars 2014 par Gim83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gim83 Posté(e) le 17 mars 2014 Auteur Partager Posté(e) le 17 mars 2014 (modifié) Bon je viens de voir que même ces modifications posent problèmes, dans le sens, où mon ordi, par l'esplorateur reseau windows n'a plus accès au NAS, mais aussi mon lecteur multimédia qui est sur le reseau et lit les fichiers sur le NAS se trouve bloqué ! Dans mon cas, mon NAS me sert que pour la diffusion de photos via Photostation par le net à une adresse *.synology.me, accès par log/mdp pour les users que j'ai créé, activeriez-vous le firewall du NAS ? Merci. Modifié le 17 mars 2014 par Gim83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gim83 Posté(e) le 17 mars 2014 Auteur Partager Posté(e) le 17 mars 2014 Je vais essayé de vous faire un dessin pour e^tre clair et vous expliquez exactement ce que je veux 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 (modifié) La premiere chose à faire pour ne pas avoir de probleme avec le firewall est de mettre en tete de liste (les règles s'appliquent de haut en bas, la première qui correspond au flux entrant est appliquée) une regle qui autorise toutes les connexions a partir des machines du réseau local Ca devrait résoudre tes problemes Voici a quoi ca ressemble chez moi: Faudra peut-être remplacer "192.168.1.0" en fonction du subnet utilisé sur ta box/routeur Faut savoir aussi qu'il est inutile de bloquer sur le nas les ports qui n'ont pas été redirigés sur la box: les flux entrants n'arriveront jamais jusque là de toutes façon (à moins d'avoir configure l'IP du NAS en DMZ sur la box, ce qui en général n'est pas une bonne idée) Modifié le 17 mars 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gim83 Posté(e) le 17 mars 2014 Auteur Partager Posté(e) le 17 mars 2014 Bon voici le petit schéma de ce que je veux faire... désolé, je débute en réglage firewall et je cherche à comprendre à progresser, merci. CoolRauol j'ai donc crée une règle autorisant les connexions à partir des machines du reseau local, donc dans mon cas, le pc qui est en 192.168.1.6, et le lecteur multimédia qui est en 192.168.1.22 c'est correct ? ou dois-je créer une régle générale utilisant l'ip du server dns de la Freebox revolution qui est 192.168.1.254 ? donc je souhaite autoriser l'accès à photostation à partir du net pour des utilisateurs que j'ai créé (avec login et mot de passe). Mais pour sécuriser l'ensemble, je souhaite interdire l'accès, à partir de photostation, à mes autres machines sur le reseau, à savoir le NAS, le PC et le lecteur multimédia... voici ce que j'ai fait, merci de me dire si c'est juste : Encore merci de vos aides et conseil Pascal. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 (modifié) CoolRauol j'ai donc crée une règle autorisant les connexions à partir des machines du reseau local, donc dans mon cas, le pc qui est en 192.168.1.6, et le lecteur multimédia qui est en 192.168.1.22 c'est correct ?Donc tu as le meme subnet que moi, a savoir 192.168.1.* ou dois-je créer une régle générale utilisant l'ip du server dns de la Freebox revolution qui est 192.168.1.254 ? Ni l'un ni l'autre: faire la règle *exactement* comme dans mon screenshot, choisir "sous réseau", addresse IP "192.168.1.0" (s'agit d'une addresse de type *subnet*) de masque 255.255.255.0 Modifié le 17 mars 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 (modifié) donc je souhaite autoriser l'accès à photostation à partir du net pour des utilisateurs que j'ai créé (avec login et mot de passe). Mais pour sécuriser l'ensemble, je souhaite interdire l'accès, à partir de photostation, à mes autres machines sur le reseau, à savoir le NAS, le PC et le lecteur multimédia... je ne comprend pas cette phrase ("acces à partir de photostation à mes autres machines") C'est un utilisateur par l'intermédiaire d'une machine (interne ou externe) qui accède à PhotoStation, ce n'est pas PhotoStation qui accède aux machines Si tu veux juste donner acces à ton photostation à partir d'internet va juste falloir rediriger dans ta box le port (celui utilisé par photostation) vers ton NAS et uniquement celui la. Rien à configurer dans le firewall. Modifié le 17 mars 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gim83 Posté(e) le 17 mars 2014 Auteur Partager Posté(e) le 17 mars 2014 (modifié) Donc tu as le meme subnet que moi, a savoir 192.168.1.* Ni l'un ni l'autre: faire la règle *exactement* comme dans mon screenshot, choisir "sous réseau", addresse IP "192.168.1.0" (s'agit d'une addresse de type *subnet*) de masque 255.255.255.0 Ok merci, je viens de refaire la régle avec le "sous-reseau", ip 192.168.0.1 et masque 255.255.255.0 je ne comprend pas cette phrase ("acces à partir de photostation à mes autres machines") C'est un utilisateur par l'intermédiaire d'une machine (interne ou externe) qui accède à PhotoStation, ce n'est pas PhotoStation qui accède aux machines Si tu veux juste donner acces à ton photostation à partir d'internet va juste falloir rediriger dans ta box le port (celui utilisé par photostation) vers ton NAS et uniquement celui la. Rien à configurer dans le firewall. Je voulais dire, je ne sais pas si cela est possible, mais qu'un petit malin de Pirate, une fois sur PhotoStation puisse par un tour de passe-passe accéder à mes autres machines sur le reseau... Pour donner accès à Photostation à partir d'internet, j'ai utilisé EZ-Internet qui a tout fait, en sélectionnant juste Photostation avec le port dans la liste proposée ! Modifié le 17 mars 2014 par Gim83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 (modifié) Je vouslais dire, je ne sais pas si cela est possible, mais qu'un petit malin de Pirate, une fois sur PhotoStation puisse par un tour de passe-passe accéder à mes autres machines sur le reseau... Même si c'étais possible (ça m'étonnerait) , comment savoir se prévenir explicitement de quelque chose dont on ne connais pas à priori le mécanisme? En outre le firewall du syno protège des connexions *entrantes* alors que ce que tu décris se manifesterai par un flux *sortant* du syno (NAS -> autres équipements) Pour donner accès à Photostation à partir d'internet, j'ai utilisé EZ-Internet qui a tout fait ! Tu as de la chance d'avoir une box ou un routeur compatible avec EZ-Internet, c'est pas courant! Modifié le 17 mars 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gim83 Posté(e) le 17 mars 2014 Auteur Partager Posté(e) le 17 mars 2014 (modifié) Cool alors pour EZ-Internet ! merci Free et la Freebox revolution alors Voici les nouvelles règles créées, donc la dernière règle créée n'aurait pas d'utilité ! Modifié le 17 mars 2014 par Gim83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 (modifié) Cool alors pour EZ-Internet ! merci Free et la Freebox revolution alors Je ne suis pas sur que la Freebox Révolution était compatible EZ internet en DSM4, c'est peut-être une nouveauté de la V5 (à confirmer) Voici les nouvelles règles créées, donc la dernière règle créée n'aurait pas d'utilité ! Tout à fait: suivant le flux entrant soit c'est la règle #2 qui s'applique ce qui fait que la #3 est simplement ignorée, soit elle ne s'applique pas et la #3 non plus. Modifié le 17 mars 2014 par CoolRaoul 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gim83 Posté(e) le 17 mars 2014 Auteur Partager Posté(e) le 17 mars 2014 Alors je suis en DSM5, et bon je confirme que EZ-Internet marche L'accès Photostation avec le http en *****.synology.me que j'ai crée marche impec aussi. Donc ma règle n°2 fonctionne... J'espère que mon firewall est bien opérationnel, et que je sois sécurisé Merci CoolRaoul pour ton aide et tes conseils ! Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 17 mars 2014 Partager Posté(e) le 17 mars 2014 J'espère que mon firewall est bien opérationnel, et que je sois sécurisé Faut bien comprendre que si tu n'as redirigé que ce port dans ta box (le ) ici le firewall du NAS n'a pas de rôle supplémentaire à jouer. Il serait désactivé que ça ne changerai rien Mais ça t'a permis de comprendre le mécanisme, manip pas totalement inutile donc. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.