Paramétrage du Pare-Feu.

[Flo2]

Bonjour,

Je souhaiterai paramétrer le parefeu de la sorte (sachant qu'il n'est pas relié à Internet pour le moment), je souhaite simplement pouvoir accéder à DSM via les navigateurs de nos PC.

Tous les appareils chez nous ont des IP fixe de 18 à 22 (18 étant le NAS et les autres les 2 PC et 2 smartphone)  et passent par un routeur (192.168.3.XX relié à la box qui est 192.168.1.1).

Le NAS est relié au routeur via Ethernet, mais les appareils sont en WIFI.

Je souhaite donc qu'uniquement les IP 192.168.3.18 à 22 soit accepté par le serveur, et de pouvoir me connecter avec nos PC, or je n'y arrive pas 😞

J'ai autorisé les ports qui ont remlacés les 5000 et 5001.

J'ai autorisé ma place d' adresses IP, et pourtant si volontairement je passe mon PC en adresse IP 3 j'accède quand même au serveur.

Pourriez-vous m'indiquer ce qui cloche SVP ? (par rapport à la copie d'écran j'ai essayé de regrouper les deux premières lignes mais ça ne marche pas non plus).

Pour moi avec la règle ci-dessous je pensais qu'il vérifiait que la connexion venait bien des bonnes adresses IP, qu'ensuite elle passait bien par les ports HTTP/HTTPS (ceux remplaçant les 5000 et 50001), si OK, alors OK, sinon, on passe à la condition 3 qui refuse tout le reste.

En mettant mon PC en IP N°3, je ne devrai pas pouvoir me connecter à DSM pour tester le parefeu.....or j'arrive à me connecter quand même.

Merci bien.

Flo.

[maxou56]

Il y a 3 heures, Flo2 a dit :

En mettant mon PC en IP N°3, je ne devrai pas pouvoir me connecter à DSM pour tester le parefeu.....or j'arrive à me connecter quand même.

Bonjour,

C'est normal toutes les IP de la planète sont autorisées pour "Interface de gestion, File Station"

 

Ton Pare feu traduit:

Tous les ports du NAS pour les IP 192.168.3.18 à 22

Puis le Port 5001 ?... (interface de gestion, File Station...) pour toutes la planète (donc toutes les IP local aussi)

Puis si ça ne correspond pas aux 2 règles précédentes c'est bloqué.

Il y a 3 heures, Flo2 a dit :

je souhaite donc qu'uniquement les IP 192.168.3.18 à 22 soit accepté par le serveur, et de pouvoir me connecter avec nos PC, or je n'y arrive pas 😞

Pour ça il faut retirer la ligne 2. Mais c'est très, "trop" restrictif peut-être mettre les IP local à la place de tous (192.168.0.0-255.255.0.0, 10.0.0.0-255.0.0.0...)

Modifié le 11 juillet 2021 par maxou56

[.Shad.]

@Flo2 Tu interprètes mal le fonctionnement du (et de n'importe quel) pare-feu en générale. Un pare-feu résout séquentiellement les règles, et chaque règle indépendamment. Dès qu'une règle correspond à une requête, la résolution s'arrête, tout ce qui suit n'est plus pris en compte.

Donc quand tu te connectes avec un périphérique dont l'IP est comprise entre 18 et 22, l'accès est autorisé, quelque soit le service demandé.
Si hors de cette plage, il passe à la règle suivante, et là tu autorises le monde entier à accéder aux applications reprises dans la liste.

Puis ensuite si une IP locale hors plage ou une IP publique quelconque vise un service non repris dans la liste des applications de la règle n°2, c'est refuser.

J'espère que ça te permettra de corriger le comportement de pare-feu (que j'imagine ne pas correspondre à ce que tu souhaites 😄). 

[Flo2]

Bonsoir, @.Shad.et @maxou56,

 

Ça vous paraîtra bête mais j ai relu à plusieurs reprises vos réponses dans la journée et lu des exemples pour comprendre, je ne suis pas super sur mais je pense (enfin) avoir compris. (J essaierai plus tard.)

Par contre, si je met les IP données par maxou56 :

192.168.0.0-255.255.0.0, 10.0.0.0-255.0.0.0...

Je ne saisis pas, mon routeur est sur le 192.168.3.1 et là on indique 0.0.

Même question probablement "bête " pour les 10.0.0.0

Est ce que en fait en indiquant ces IP ça veut dire tout ce qui est sur le local c est à dire 192.168 ......

par contre je ne peux rentrerreu'une plage, ou alors ça veut dire qu il faut que je fasse deux lignes d autorisation dans le pare-feu avec une indiquant 

192.168.0.0-255.255.0.0, et l autre :10.0.0.0-255.0.0.0... c'est ça ?

si je met ça j'aurai quand même accès à toutes les applications qui passent par n importe quel port, du moment que c est fait avec du matériel présent sur le réseau local c est bien ça ?

 

J avais une question aussi, si je met quelque chose aussi restrictif est-ce qu'à l avenir le nas sera toujours capable d aller chercher les méta-données et images pour les afficher dans ds video ? 

Par où passe le nas pour récupérer ces données ? (je voudrai qu'il puisse continuer à les récupérer)

Merci bien.

Flo.

[Flo2]

Bonjour,

Je suis tombé sur ce post qui résume très bien et répond à mes questions suite à vos informations :

https://www.forum-nas.fr/viewtopic.php?t=13389

Merci bien.

Flo.

 

[oracle7]

@Flo2

Bonjour,

Tu avais exactement la même chose (et peut-être bien plus !) dans ce TUTO sur le présent forum.

Cordialement

oracle7😉

[Flo2]

Bonsoir@oracle7

En effet je l ai lu et relu ce tutoriel et appliqué ;-)

La seule chose que je n avais pas c est l explication précise du 10.0.0, du 172..... et du 168 ....... pour comprendre ce que l on fait.

Merci bien.

Flo.



Envoyé de mon SM-N975F en utilisant Tapatalk

[PiwiLAbruti]

Qu'est-ce que tu ne comprends pas avec ces réseaux ?

[Flo2]

Bonjour,

 

Je ne savais pas ce qu'était les 10..... et 172..... maintenant c'est clair, bien que le 172 je ne suis pas certain d'en avoir l'utilité d'ouvrir ces ports. (mon NAS sers pour les vidéos, photos, sauvegarde des téléphones et PC et fichiers de travail.

Merci.

Flo.

[.Shad.]

Habituellement, sur le NAS les serveurs VPN sont en 10.x.x.x, et 172.16.0.0/12 c'est pour Docker.
Si tu n'utilises aucun des deux, tu n'as pas spécialement besoin d'autoriser ces plages d'IP.

[niklos0]

il y a 39 minutes, .Shad. a dit :

Habituellement, sur le NAS les serveurs VPN sont en 10.x.x.x, et 172.16.0.0/12 c'est pour Docker.
Si tu n'utilises aucun des deux, tu n'as pas spécialement besoin d'autoriser ces plages d'IP.

Je ne sais pas d'où tu sors ça mais l'intérêt des différentes plages d'ip privées est de limiter le nombre d'IP et donc de périphérique sur un réseau privé et/ou de gérer des sites :

En 10.*.*.*, ip privé de classe A, tu as 16777214 ip disponibles.

En 172.16, ip privé de classe B, tu as 65534 ip disponibles.

En 192.168, ip privé de classe C, tu as 254 ip disponibles.

A l'inverse l'ip de classe C te donne bien plus de sous réseau possible que la B qui elle même te donne bien plus de sous réseau possible que la classe A.

 

Après, peut-être qu'on utilise par habitude la classe A pour les ip des NAS et la classe B pour les ip de docker, mais ça reste une habitude sans fondement réseau.

Ce qui importe c'est le nombre d'ip que l'on souhaite. Ainsi que le réseau sur lequel j'implémente mon NAS. Si on le met sur un réseau qui est déjà classe B, tu ne vas pas mettre une ip en 10.*.*.* à ton NAS, ça n'aurait pas de sens.

 

nb : La classe A permet aussi de "gérer" plus facilement des sites géographiques.

Exemple, je suis une grosse entreprise avec 1 site à Lille, un site à Paris, un site à Marseille, je décrète que toutes les machines à Lille seront en 10.1.*.*, toutes les ip de Paris seront en 10.2.*.* et à Marseille en 10.3.*.*. Comme ça, on sait tout de suite où se trouve la machine.

[.Shad.]

Je ne sais pas ce que tu as compris à mon message, mais rien à voir avec ce que je dis. 😅

il y a 4 minutes, niklos0 a dit :

sur le NAS les serveurs VPN sont en 10.x.x.x

Là je dis que dans DSM les sous-réseaux proposés par défaut par VPN Server sont en 10.x.x.x (10.8 pour OpenVPN je crois, et 10.2 pour L2TP ? je ne m'en sers pas mais c'est quelque chose du genre).

il y a 8 minutes, niklos0 a dit :

Après, peut-être qu'on utilise par habitude la classe A pour les ip des NAS et la classe B pour les ip de docker, mais ça reste une habitude sans fondement réseau.

Heu j'ai dit ça ?
Les LAN sont plus souvent en 192.168.x.x simplement parce que c'est le paramétrage utilisé par l'immense majorité des box et routeur d'ISP et constructeurs commerciaux. Rien ne l'oblige effectivement.
Pour le sous-réseau Docker c'est le réglage par défaut dans le démon Docker pour le réseau bridge, que ce soit sur DSM ou autre installation Linux. J'imagine que si ton réseau LAN est en 172.16.x.x alors le démon choisit un autre masque dans la RFC1918.
C'est tout à fait modifiable en personnalisant la configuration du démon.

il y a 12 minutes, niklos0 a dit :

Ce qui importe c'est le nombre d'ip que l'on souhaite. Ainsi que le réseau sur lequel j'implémente mon NAS. Si on le met sur un réseau qui est déjà classe B, tu ne vas pas mettre une ip en 10.*.*.* à ton NAS, ça n'aurait pas de sens.

Je ne comprends pas ta remarque par rapport à ce que j'ai écrit.

il y a 13 minutes, niklos0 a dit :

Exemple, je suis une grosse entreprise avec 1 site à Lille, un site à Paris, un site à Marseille, je décrète que toutes les machines à Lille seront en 10.1.*.*, toutes les ip de Paris seront en 10.2.*.* et à Marseille en 10.3.*.*. Comme ça, on sait tout de suite où se trouve la machine.

Je répondais à @Flo2, pas à Thalès ou Dassault Systems.
Je lui dis juste que s'il ne se sert pas de Docker ni de VPN Server sur son NAS, et que son réseau est en 192.168, il n'est pas obligé d'ajouter une règle dans son pare-feu pour autoriser ces plages d'IP privées.

[PiwiLAbruti]

il y a 23 minutes, niklos0 a dit :

A l'inverse l'ip de classe C te donne bien plus de sous réseau possible que la B qui elle même te donne bien plus de sous réseau possible que la classe A.

C'est exactement le contraire. Le 10/8 permet de créer 65536 réseaux en /24, là où un 192.168/16 ne t'en laisse que 256, et 4096 dans un 172.16/12.

@.Shad. donnait les cas d'utilisation des autres réseaux utilisés par défaut par certains services du NAS. Je ne vois pas ce qu'il y a d'étrange à cela.

[niklos0]

@.Shad. OK, on ne s'est pas bien compris en effet

il y a 5 minutes, PiwiLAbruti a dit :

il y a 44 minutes, niklos0 a dit :

A l'inverse l'ip de classe C te donne bien plus de sous réseau possible que la B qui elle même te donne bien plus de sous réseau possible que la classe A.

C'est exactement le contraire. Le 10/8 permet de créer 65536 réseaux en /24, là où un 192.168/16 ne t'en laisse que 256, et 4096 dans un 172.16/12.

 

Exact, au temps pour moi ! Il ne faut pas que je fasse du réseau en ayant le vendre vide... Quand je relis ma propre ineptie, j'en rigolerais presque...

[Mic13710]

il y a 14 minutes, niklos0 a dit :

Quand je relis ma propre ineptie, j'en rigolerais presque...

Je suivais de près cette discussion pour éventuellement devoir juguler tout dérapage incontrôlé 🤫

Merci pour cette attitude responsable.

Je ne voyais aucune raison en effet de s'emporter sur un commentaire de @.Shad. qui ne faisait que refléter la réalité de nos NAS. On est tous d'accord que les plages privées sont là pour permettre à chacun, particulier ou entreprise, de créer son propre réseau lui aussi privé. A chacun de les utiliser comme bon lui semble. Après il y a des règles d'usage courant qui font que certaines plages sont utilisées de préférence pour certains services, ce qui en aucun cas constitue une norme.

[Flo2]

Bonsoir,

Merci beaucoup pour vos échanges très constructif et interressant.

Je rajoute une question.

J'ai rajouté une machine (professionnelle uniquement), je ne veux pas qu'elle ait accès au NAS, elle passe par une connexion sécurisée avec un VPN et justement des adresses en 10. ..... en identification, mais à mon domicile j'ai fixé l adresse IP à 192.168.3.7

J ai rajouté une ligne dans le pare feu qui refuse cette adresse IP ai-je bon d'un point de vue sécurité/ serveur ?

Merci.

Flo.

Envoyé de mon SM-N975F en utilisant Tapatalk