Aide pour modifier Firewall 4g du FAI

[Djibe]

Bonjour,

J'ai besoin de votre aide car mes notions de routage sont limitées.

Voici l'exposé: j'habite en Calédonie, j'ai une connexion 4G (pas d'adsl dispo...), IP ext dynamique, un modem 4g fourni par le FAI (Huawei B325), puis un routeur Synology 2600ac puis mon NAS sur le LAN.

Pour l'accès externe à mon NAS, on oublie Quickconnect et les solutions VPN hors territoire (même avec le cable sous marin, le débit montant est famélique).

Mon FAI me propose d'ouvrir son firewall 4g qui bloque toutes les connexions entrantes, pour une somme modique (4€/mois, pour une fois... à 75€/ mois l'abonnement 4g...!! ils peuvent)

Je mets en PJ le formulaire. Je ne sais pas ce que je dois mettre, si quelqu'un veut bien m'aider à le remplir 😉

Merci.

PS: est ce que le plus simple ne serait pas de demander une IP fixe et d'ouvrir tout le trafic entrant??

 

 

Formulaire dérangement GSM fixe.docx

Modifié le 21 juin 2019 par Djibe

[.Shad.]

Si tu as moyen d'avoir une IP fixe c'est mieux effectivement, mais ça n'a pas de rapport avec les ports que tu ouvres ou non.
Tout dépend des services que tu utilises, mais je pense qu'il te faut au minimum :

- port 80
- port 443 (très important, car tu vas utiliser ton proxy inversé pour faire transiter tous tes services par ce port)
- port SSH (pas le 22 par défaut, choisis-en un autre et demandes-en l'ouverture)
- ports liés à Mail Server si tu comptes héberger ton propre serveur mail (surtout si tu arrives à avoir une IP fixe), voir le tuto à ce sujet pour la liste des ports qui peuvent t'intéresser.
- ports VPN éventuellement (pareil voir tuto, suivant le protocole que tu comptes utiliser)

[Djibe]

Super, merci pour ta réponse. Effectivement le reverse proxy va m'éviter d'ouvrir tout un tas de port.

Je pense que je vais commencer par 80,443, SSH et VPN (je pourrai toujours demander d'en ouvrir si besoin), je vais demander l'IP fixe mais je crois que ça a un surcoût.

Je vais d'abord tout bien préparer avant la demande.

Est-ce qu'il y a un moyen de tester, genre un mode virtuel (sur le LAN), si mon routage, reverse proxy et pare feu est opérationnel, avant de faire ouvrir les ports?

 

 

 

[.Shad.]

Le principe est simple, sur ton routeur tu dois préciser que tu rediriges son port 443 vers celui de ton proxy inversé, donc vers l'adresse IP du NAS. Sur ton pare-feu, tu dois autoriser le trafic sur le port 443 (voir tuto de la sécurisation des NAS de Fenrir), et créer les entrées de proxy inversé qui t'intéressent.

Je ne sais pas si tu as un nom de domaine chez un prestataire, ou si tu utilises le paquet serveur DNS, mais il faut créer les entrées CNAME qui correspondent aux entrées du proxy inversé (voir tuto serveur DNS), une fois ceci fait ta redirection devrait fonctionner.

[Djibe]

C’est clair! Merci pour ton aide... Je sais ou je vais, y a plus qu’ me mettre au boulot.

Tankiou bien!