Aller au contenu

Parefeu euh ?


comess

Messages recommandés

Bonjour, 🙂

Probleme super simple.
Il ne devrait pas en avoir selon moi. mais comme il est bien la. quelque chose d’évident doit m’échapper :

Je bloque la connexion de l'ip 77.XXX.XXX.XXX (mon telephone pour le test hors wifi...)
j'autorise ma connexion local (mon pc)
Je bloque toutes les autres

Et aucune reaction ; je me connecte sans bloquage.
J'ai essayé les meme regles avec LAN1 en cochant refus a la fin

ai-je oublié quelque chose d'essentiel ?

En vous remericiant

 

 

Firewall.jpg

Lien vers le commentaire
Partager sur d’autres sites

@comess

Bonjour,

Pourrais-tu STP préciser quelques points pour bien comprendre le contexte :

  • As-tu un serveur DHCP d'activĂ© et sur quoi ? ton NAS ou ta box ?
  • L'@IP de ton PC est-elle fixe via un bail DHCP sur ta box ou l'as-tu fixĂ©e directement sur l'adaptateur rĂ©seau de ton PC (paramĂštres carte rĂ©seau) ?
  • Est-tu sĂ»r que l'@IP de ton tĂ©lĂ©phone n'a pas changĂ© entre temps ?

Par ailleurs, j'espÚre que ton pare-feu ne reste pas dans cet configuration (copie d'écran) en fonctionnement normal. Je ne peux que trop t'inviter à lire et à suivre le Tutoriel "[TUTO] Sécuriser les accÚs à son nas" sur le présent forum.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Oravle7 et merci !

Alors non, je ne laisse pas le pare feu comme ca, j'ai tout enlever pour verifier que ca marche bein ! Je te remercie du lien que tu m'as donné, les regles sont quand meme plus 'dur' que ce que j'avais. (je le suivrais apres ca !)

- j'ai paramétré l'ip du NAS par la livebox, j'ai donc dans ma Network Interface 'Get Network config auto DHCP'
- je n'ai pas acces a l'ordi ici, mais je n'ai rien parametré coté ip. en revanche, le verifie souvent si c'est toujours la meme (fini par .28)
- pour le telephone, je suis sur, mon log center me donnant l'ip de la connexion que j'ai bien bloqué.

Je suis relativement novice, et n'ai pas a l'abris d'avoir fait quelque chose d’étrange. meme si en theorie, je ne suis pas du genre a cliquer quelque part sans comprendre pourquoi.

Lien vers le commentaire
Partager sur d’autres sites

@comess

Ok donc tu es en DHCP sur la Livebox. Donc, c'est elle qui défini automatiquement l'@IP de ton PC, de ton NAS et de tous tes autres périphériques (bien évidemment s'ils sont configurés aussi en DHCP automatique comme ton PC).

  • Alors en allant dans l'interface d'administration de la LB, dans "Mes Ă©quipements connectĂ©s" peux-tu regarder quelle @IP est affectĂ©e actuellement Ă  ton PC ?
    Est-ce 192.168.1.28 ou pas ?
  • Par ailleurs, dans ce cas il serait quand bien de figer au moins l'@IP de ton NAS par un bail statique dans la LB (dans RĂ©seau / DHCP). Au moins tu seras ainsi sĂ»r que ton NAS sera lui toujours Ă  la mĂȘme adresse et t'Ă©vitera ainsi des dĂ©sagrĂ©ments si par ex un reboot de la LB intervenait pour X raisons. En effet Ă  cause du DHCP il pourrait y avoir une rĂ©affectation totale ou partielle des @IP de tes pĂ©riphĂ©riques.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Encore merci Oracle7

- je travail en ce moment, je ne peux pas vérifier l'adresse du PC.

- ca a ete fait pour le NAS, j'ai fixé son ip local a 192.168.1.99 via la LB. pour eviter des soucis comme tu dis pendant un redémarrage (et pour utiliser un WOL car le NAS est rangé dans un caisson)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Oracle7 !
Pardon, c'est plutot moi qui te dĂ©range ! 🙄

Je suis rentré et ai fixé l'adresse ip de mon PC à ...88, c'elle de mon NAS à ...99. Le tout par la LB menu DHCP.

J'ai enlevé toutes les rÚgles à nouveau. Puis j'ai ajouté dans cet ordre dans LAN 1 seulement ( LAN 2 étant déco ) :

Port:tous    Protocole:tous    IP:...88    Accepter
Port:tous    Protocole:tous    IP:tous    Refuser
puis, si aucune regle n'est remplie, refuser l'accĂšs.

eeet... je peux me connecter avec mon telephone sans problĂšme (via firefox ou DSaudio), il m'affiche bien dans le journal de connexion, login success avec l'ip du mobile.

ca devrait fonctionner mon blocage non ? ( parefeu activĂ© Ă©tant bien cochĂ© 🙂 )


 

Lien vers le commentaire
Partager sur d’autres sites

@comess

Ne le prends pas mal mais ce serait bien que tu sois STP plus explicite dans tes rĂ©ponses car il faut deviner ce qui se cache derriĂšre et cela ne facilite pas les choses pour t'aider. Par ex tu dis "ai fixĂ© l'adresse ip de mon PC Ă  ...88" : je crois comprendre que tu as dĂ©fini un bail statique sur cette @IP dans ta box. Mais cela pourrait ĂȘtre une chose façon d'attribuer une @IP, l'impact de l'une ou l'autre peut ĂȘtre bien diffĂ©rent selon ... Comprends-tu ?

En tout cas, pour bien comprendre ce qui se passe et pourquoi le blocage pare-feu mis en place n'est pas effectif, il faut que tu me dises aussi STP :

  • Comment tu te connectes ? via un navigateur Web, une application client spĂ©cifique , etc ...
  • Si c'est un navigateur Web, qu'est-ce que tu tapes prĂ©cisĂ©ment comme URL de connexion sur ton PC et/ou TĂ©l ?
    Si tu es gĂȘnĂš du point de vue sĂ©curitĂ©, dans ta rĂ©ponse remplace l'@IP rĂ©elle par 1.2.3.4 si c'est ton @IP externe, pour les @IP locales que tu citerais, tu peux les laisser en clair car de toutes façon elles ne sont pas joignables hors de ton rĂ©seau local et si c'est ton domaine alors remplace le par "ndd.tld".

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Oracles7

Merci encore pour ta rĂ©ponse. Je ne le prends pas mal, j’espĂšre mĂȘme ĂȘtre plus clair.

Dans l'onglet HDCP de l'interface de la livebox 5, j'ai attribué au PC et au NAS les adresses ip suivantes : respectivement 192.168.1.88 et 192.168.1.99.
J'ai ensuite vérifié avec l'appli orange l'ip de chaque appareils connectés.

 

- Depuis un PC, je me connecte avec l'adresse http://quickconnect.to/monNom via le navigateur web firefox (ce qui me permet de changer les regles du Pare-feu)
      Aussi, j'ai creer des lecteurs réseaux (un pour chaque disque) pour le travail et les transferts de fichiers.

- Depuis mon mobile, lorsque je fais des tests, a l'exterieur ou depuis chez moi en reseau 4G, j'essaye de me connecter au NAS via les deux applications suivantes : DS audio et DS file. Mais aussi via l'app firefox en rentrant l'adresse quickconnect. c'est a dire http://quickconnect.to/monNom

(Autre exemple : je suis connecté en ce moment meme avec firefox a l'adresse https://MonNom.fr1.quickconnect.to/ depuis un bureau exterieur. )

sur l'image, les seuls rÚgles que j'ai créé pour tester le bloquage

image.png.f4aea4345247053b6bda3a154a245029.png

Lien vers le commentaire
Partager sur d’autres sites

@comess

Bonjour,

Désolé pour mon délai de réponse, j'ai pas mal d'affaires sur le feu en ce moment...

En tout cas Merci, avec ta derniÚre réponse, c'est bien plus exploitable.

Bon maintenant je crains que ton problĂšme vienne en fait de ta connexion via QuickConnecct. Je te dis cela sous toutes rĂ©serves car je n'en suis pas sĂ»r (ne pas hĂ©siter Ă  me corriger au besoin). Je peux me tromper mais j'ai l'impression que la connexion via Quickconnect semble faire abstraction du paramĂ©trage du pare-feu dans le sens oĂč ton @IP de dĂ©part ne serait pas en fait celle Ă  ton arrivĂ©e sur le NAS puisque cette connexion directe au NAS repose sur un VPN. Ce qui expliquerait que tu arrives Ă  te connecter malgrĂ© les rĂ©glages que tu as mis en place sur celui-ci pour bloquer cette @IP de dĂ©part. A confirmer par un expert de QuickConnect.

Par ailleurs, tu verras/liras partout sur ce forum que l'utilisation de QuickConnect n'est pas du tout recommandée du point de vue sécurité parce que tout ton trafic (donc tes données) passe par les serveurs de Synology. A moins que tu ne leur fasses une totale confiance à ton niveau, saches que ce n'est pas le cas pour un nombre d'utilisateurs ici.

Pour mémoire voici un extrait du tuto sur la sécurisation des accÚs écrit par un expert reconnu à propos de QuickConnect :

Citation

 

Ici on va aller vite, je déconseille d'activer ce service si on tient un tant soit peu à la sécurité.

Pour informations, voici comme fonctionne QuickConnect :

  1. votre NAS établi un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accÚs direct au NAS s'ils le souhaitent)
  2. en parallÚle il créé et met à jour un enregistrement DNS avec votre IP public (comme un DynDNS)
  3. lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de déterminer si vous pouvez vous connecter en direct
  4. si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe)

Le résultat est un trafic souvent trÚs lent, relativement instable et difficile à maitriser.

Néanmoins, si vous souhaitez conserver QuickConnect, pensez à limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accÚs à DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accÚs aux fichiers sur un NAS limite grandement son utilité ...).

 

A toi de voir et d'y rĂ©flĂ©chir mais une solution bien plus sĂ©curitaire pour toi serait de prendre un nom de domaine personnalisĂ© (environ 10€ par an chez OVH par ex) et de configurer ton NAS (une fois les accĂšs sĂ©curisĂ©s) avec un serveur DNS et un reverse proxy . Les Tutos pour faire cela sont disponibles sur le forum et c'est relativement facile Ă  faire. Ainsi tu pourrais de connecter en tapant simplement une URL du type "xxxxxx.mondomaine.tld" avec un "xxxxxx" correspondant Ă  chacun de tes pĂ©riphĂ©riques et/ou applications/services de ton NAS.

Cordialement

oracle7😀

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, oracle7 a dit :

 

 

A toi de voir et d'y rĂ©flĂ©chir mais une solution bien plus sĂ©curitaire pour toi serait de prendre un nom de domaine personnalisĂ© (environ 10€ par an chez OVH par ex) et de configurer ton NAS (une fois les accĂšs sĂ©curisĂ©s) avec un serveur DNS et un reverse proxy . Les Tutos pour faire cela sont disponibles sur le forum et c'est relativement facile Ă  faire. Ainsi tu pourrais de connecter en tapant simplement une URL du type "xxxxxx.mondomaine.tld" avec un "xxxxxx" correspondant Ă  chacun de tes pĂ©riphĂ©riques et/ou applications/services de ton NAS.

Cordialement

oracle7😀

 

Bonjour oracle7,

Pour ma comprĂ©hension personnelle , en quoi l'utilisation d'un nom de domaine sĂ©curiserai l’accĂšs ? Dans mon esprit le nom de domaine n'est qu'une traduction de l'adresse IP publique.

Si le trafic entrant est autorisĂ© , le nom de domaine ou adresse IP publique  pourront ĂȘtre utilisĂ© indiffĂ©remment .

C'est peut ĂȘtre plutĂŽt l'utilisation d'un serveur VPN qui apporterait une sĂ©curitĂ© supplĂ©mentaire .

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

@Juan luis

Bonjour,

Effectivement, je me suis mal exprimé, désolé. Ce que j'ai voulu dire en fait, c'est qu'il me paraßt plus pertinent d'utiliser un nom de domaine pour se connecter que d'utiliser une URL de type QuickConnect.

L'usage d'un nom de domaine, sous entend aussi l'usage derriĂšre de mĂ©canismes et/ou d'outils qui sont eux mĂȘme sĂ©curisĂ©s et/ou sĂ©curisant pour la connexion. En quelque sorte c'est pour cela que je pense qu'il concoure indirectement Ă  un premier niveau de sĂ©curisation et d'autant plus que l'on vient encore par dessus rajouter l'usage d'un certificat pour ce domaine afin d'en garantir l'authenticitĂ©.

Un autre exemple, est l'usage d'un reverse proxy sur le NAS, qui impose de passer par une liaison sĂ©curisĂ©e HTTPS qui est elle-mĂȘme Ă©coutĂ©e sur le port 443 lui-mĂȘme sĂ©curisĂ© avant que ne soit traduit le nom de domaine et que la connexion soit redirigĂ©e au bon endroit sur le NAS ou le rĂ©seau local.

C'est donc aussi cet "empilement" de sĂ©curitĂ© autour qui me fait dire (peut-ĂȘtre par erreur et/ou abus de langage) qu'un nom de domaine est sĂ©curisant mĂȘme si,  et j'en conviens volontiers, le terme est un peu fort, mal adaptĂ© ou pas le bon tout simplement.

Maintenant tu as raison pour verrouiller complétement les choses la meilleure solution c'est d'utiliser un VPN pour sécuriser la connexion.

Cordialement

oracle7😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,
Aucun problĂšme pour l'attente, je te remercie pour ton aide.

Du point de vue sécurité, je leur fait confiance (tous mes fichiers sont perso et "peu" importants). C'est pourquoi je ne me suis jamais penché sur la facon dont je pourrais me passer de quickconnect. Si je maitrisais le jargon, je me serais déjà lancé.

- Je vais primo contacter le service technique de syno pour leur demander si c'est normal que quickconnect outrepasse le parefeu (passage par OpenVPN pour la connexion de syno a mon NAS) puis revenir ici pour donner l'information.
- si c'est normal, je me pencherai sur la solution que tu m'as donné, c'est a dire, si j'ai bien compris :

  1. création d'un nom de domaine (pour un acces externe constant a ma box quelle quel que soit son ip)
  2. setup d'un reverse-proxy (je ne sais pas encoce ce que sais, mais je me renseignerai)


Est ce que ces deux seules etapes, a l'usage, ne changerai en rien ma maniùre d'utiliser le NAS ? avec l’avantage de ne pas passer par les serveurs syno.
Mon utilisation Ă©tant principalement depuis l’extĂ©rieur de charger / telecharger depuis filestation par firefox et par l'appli android DS file, sauvegarde de photos avec moments et de mon domicile utilisation de videostation, et accĂšs direct via un lecteur connectĂ© principalement.


Je précise aussi que mon but et d'ajouter un vpn a la connexion de mon syno (nordvpn pour etre precis), j'ai créé ce topic afin de maßtriser déjà la simple utilisation de régles dans le parefeu avant d'ajouter une seconde couche avec un vpn.

Modifié par comess
Lien vers le commentaire
Partager sur d’autres sites

@comess

Bonjour,

il y a une heure, comess a dit :

j'ai créé ce topic afin de maßtriser déjà la simple utilisation de régles dans le parefeu avant d'ajouter une seconde couche avec un vpn

Pour activer un VPN sur ton NAS (pour sécuriser les connexions de l'extérieur vers le NAS et ton réseau local), il est impératif que tu commences déjà par sécuriser les accÚs "normaux" à ton NAS (voir le tuto idoine). Ensuite seulement, tu prolongeras cela avec un l'utilisation d'un nom de domaine associée à un serveur DNS et un reverse proxy ainsi ton utilisation du NAS sera grandement facilité. Le seul changement à tes habitudes résidera uniquement dans une plus grande simplicité de ta façon de te connecter. De plus, toutes tes connexions seront vraiment sécurisées. Par ailleurs, ces conditions étant remplies, la mise en place d'un VPN de type NordVPN pour sécuriser les connexions depuis ton NAS et/ou ton réseau local vers l'extérieur ne sera qu'un jeu d'enfant.

Je ne peux que te conseiller de lire tranquillement dĂ©jĂ  tous les tutos correspondants Ă  ces fonctions pour bien en apprĂ©hender et maitriser le jargon des notions mises en oeuvre et tout cela complĂ©tĂ© par une recherche personnelle sur la toile pour de plus amples dĂ©tails. Et lĂ  tu seras bien armĂ© pour installer de façon sereine ces fonctions sur ton NAS. Cela te demandera certes un petit effort et investissement personnel, mais crois moi le jeu en vaut la chandelle car tu va ainsi dĂ©couvrir d'autres facettes et possibilitĂ©s offertes par ton NAS que tu n'imagines peut ĂȘtre mĂȘme pas aujourd'hui ...

Bonne lecture et n'hĂ©sites pas Ă  revenir poser tes questions ici, il y aura toujours un membre pour te rĂ©pondre 😀

Cordialement

oracle7😀

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Il y a également un élément  qui me chagrine dans vos solutions , c'est le mode de fonctionnement du NAS.

Je ne laisserai jamais  mon NAS fonctionner 24/24  pendant l’étĂ© surtout si je suis absent .

Bien sûr c'est un surcout mais , je pense qu'il vaut mieux confier les taches d'accÚs distant, de gestion de  VPN, de FW à un routeur qui supportera mieux le 24/24.

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

@Juan luis

Il y a 4 heures, Juan luis a dit :

je pense qu'il vaut mieux confier les taches d'accÚs distant, de gestion de  VPN, de FW à un routeur qui supportera mieux le 24/24.

C'est sĂ»r que mettre en place un routeur pour faire ce travail est une trĂšs bonne chose en soi (indĂ©pendamment du coĂ»t d'investissement), il peut mĂȘme supplĂ©er la box en faisant encore mieux le travail dĂ©volu habituellement Ă  celle-ci et ce avec bien plus de fonctions de paramĂ©trage qu'elle,  offrant ainsi une plus grande souplesse d'utilisation.

Cela dit, n'oublies pas qu'un NAS est conçu pour fonctionner h24. Si tu l'arrĂȘtes, tu n'auras plus accĂšs Ă  tes donnĂ©es et autres fonctionnalitĂ©s bien utiles comme par exemple la surveillance vidĂ©o de ta maison justement lorsque tu es absent, ce qui apporterait des preuves aux autoritĂ©s les cas Ă©chĂ©ants.

Mais c'est toi qui vois ... et puis on s'Ă©carte du sujet initial et du problĂšme de @Comess.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonjour a tous,

Je reviens avec la réponse de synology :

Citation

 

Dear customer,

Thank you for contacting Synology Technical Support.

I would recommend you to disable QuickConnect if you don't want external connections to use it.

QuickConnect uses hole-Punching feature and cannot be disabled unless you disable QuickConnect.

With Hole-Punching, you might still use mobile apps to access DS even you set the firewall to block the IP.
(Hole-Punching - DS will initiate the connection first to let Hole-Punching work.)

As you said, the connection goes to the Synology servers first and then to the NAS, I would recommend you to disable it and use DDNS (you can block this one externally).

I'm sorry for the inconveniences and I hope this information helps.

Best Regards,

 

Donc, je comprends ici que la raison pour laquelle mon parefeu ne bloquait rien etait bien le quickconnect.


J'ai donc depuis ces deux dernieres semaines mis en place ce que tu m'as préconisé. c'est a dire, nom de domaine et reverse proxy ! ( merci aux créateurs de tutos, ils m'on beaucoup aidé, sans citer Fenrir, unPixel et d'autres)
Ca m'a prit beaucoup de temps et pas mal d'arrachage de cheveux. MAIS, je suis arrivé a un truc qui marche et j'ai pu enlever quickconnect et le parefeu bloque quand je lui demande de bloquer !

Donc le problÚme est résolu !

Pour prĂ©ciser, il y a plein de notions que je ne maitrisent pas (exemple, regler les connexion HTTP et HTTPS, les sous domaines et j'en passe). J'abadonne la mise en place du VPN egalement, j'ai essayĂ© avec grand mal de suivre et de comprendre mais sans succes (tout un nouveau monde d'ip, et pas de killswitch ?). Je me remmettrai un jour dessus quand j'aurai beaucoup de temps ou qqn sur place avec les connaissances requises. En tout cas, merci oracle de ta patiente 🙂

Modifié par comess
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
RĂ©pondre Ă  ce sujet


×   CollĂ© en tant que texte enrichi.   Coller en tant que texte brut Ă  la place

  Seulement 75 Ă©moticĂŽnes maximum sont autorisĂ©es.

×   Votre lien a Ă©tĂ© automatiquement intĂ©grĂ©.   Afficher plutĂŽt comme un lien

×   Votre contenu prĂ©cĂ©dent a Ă©tĂ© rĂ©tabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insĂ©rez-les depuis une URL.

×
×
  • CrĂ©er...

Information importante

Nous avons placĂ© des cookies sur votre appareil pour aider Ă  amĂ©liorer ce site. Vous pouvez choisir d’ajuster vos paramĂštres de cookie, sinon nous supposerons que vous ĂȘtes d’accord pour continuer.