Soucis Pare-feu

[Geoff1330]

Bonjour,

J'ai un petit soucis de pare-feu pour le moment:

Je viens d'installé Note Station pour faire quelques tests de cette application.

La version Desktop fonctionne parfaitement bien. en Interne comme en Externe.

par contre DS Note, c'est autre chose: J'ai fais un portage d'application pour utilisé le port 9351 et j'ai configuré mon routeur.

Cela fonctionne uniquement si mon Pare-feu est désactivé. une fois réactivé, plus moyen d'utilisé DS note.

 

(J'avais déjà eu le soucis avec Drive version PC)

 

Mais je ne comprend vraiment pas ce qui cloche dans ma config

 

 

Merci pour votre aide.

 

[.Shad.]

La règle Tous/Tous/Refuser invalide tout ce qui se trouve après.
Les priorités sont de haut en bas.
Il faut donc placer cette règle tout en bas de la liste.

PS : La règle Tous/Tous/Refuser inclut Tous/Russie/Refuser, donc avoir les deux ne sert à rien.

Modifié le 16 septembre 2020 par .Shad.

[Geoff1330]

MERCIIIII 🙂

Tu es mon sauveur 🙂

effectivement, après les changements, cela fonctionne direct.

👍

[.Shad.]

Sauveur carrément ! 😄 

De rien 😉 

[Geoff1330]

En fait, je ne suis vraiment pas du genre à faire des postes comme celui-ci,

je peux passé des jours à chercher avant de demander de l'aide.

et j'ai déjà eu le soucis au part avant, sans vraiment comprendre pourquoi.

Alors sur ce coup la, ouais, tu es mon sauveur 🙂

Je penserais à toi à mon prochain passage par Nivelles 😉

 

[Thierry94]

Mettre une règle qui refuse tout un pays n'est pas forcément redondante avec la dernière ligne du pare-feu.

En effet la dernière ligne ne prend en charge une entrée que si elle n'a respecté aucune des règles précédentes.
Par exemple une tentative de connexion depuis la Russie sur ton VPN (UDP sur le 1194) ou à DSM (5001) ne sera pas refusée par le pare-feu ... mais je probablement par le contrôle IP suite à plusieurs tentatives de connections ratées si tu as bien sécurisé ton NAS.

Si tu veux que toutes les entrées venant de Russie soient systématiquement refusées par le pare-feu il faut mettre une règle de refus correspondante en premier ou juste derrière celles du réseau local

Modifié le 16 septembre 2020 par Thierry94

[Geoff1330]

Il y a 14 heures, Thierry94 a dit :

Mettre une règle qui refuse tout un pays n'est pas forcément redondante avec la dernière ligne du pare-feu.

En effet la dernière ligne ne prend en charge une entrée que si elle n'a respecté aucune des règles précédentes.
Par exemple une tentative de connexion depuis la Russie sur ton VPN (UDP sur le 1194) ou à DSM (5001) ne sera pas refusée par le pare-feu ... mais je probablement par le contrôle IP suite à plusieurs tentatives de connections ratées si tu as bien sécurisé ton NAS.

Si tu veux que toutes les entrées venant de Russie soient systématiquement refusées par le pare-feu il faut mettre une règle de refus correspondante en premier ou juste derrière celles du réseau local

Donc si je comprend bien le truc,

Je peux mettre Tous/Russie/Refuser en première ligne et je serais sur que tout est bloqué de la Russie?

J'avais mis cette ligne parce que justement, j'avais beaucoup de tentatives de connections ratées venant de Russie. (et du coup le 5001 n'est pas ouvert sur mon routeur)

 

[PiwiLAbruti]

Le pare-feu vérifie la correspondance des règles dans l'ordre où ces dernières sont définies, et il va uniquement appliquer la première règle qui correspond au paquet reçu. Dès lors qu'une règle correspond, les règles suivantes sont ignorées.

Dans la capture d'écran des règles que tu as mises en place, la première accessible depuis une adresse IP Russe est celle d'OpenVPN (udp/1194) puisque la règle indique "Tous" comme origine et que la règle de blocage se situe bien après (idem pour DSM en tcp/5001 et File Station en tcp/[7000,7001]).

Si tu veux bloquer totalement certaines origines, il faut donc placer les règles correspondantes en premier.