Plage IP pour pare-feu : pourquoi l'ordinateur ayant une adresse IP valide est bloqué?

[creal]

Bonjour,

Depuis quelques temps (je ne sais pas dire exactement, peut-être DSM7 ?), j'ai remarqué que je devais changer les paramètres de mon pare-feu pour pouvoir utiliser mon NAS syno. Auparavant, je mettais la plage 192.168.0.1/13 (EDIT : 192.168.0.1 -> 192.168.0.13) car tous mes appareils domestiques ont des baux statiques allant jusqu'à 192.168.0.13. Mais maintenant, je suis passé à 192.168.0/255 (EDIT : 192.168.0.1 -> 192.168.0.255) sinon j'obtiens le message suivant : "L'ordinateur de l'administrateur a été bloqué par une nouvelle règle du pare-feu. Les règles de pare-feu précédentes ont été restaurées..."

Je ne comprends pas car mon ordi est en 192.168.0.2, qui est bien compris entre 192.168.0.1 et 192.168.0.13.

Quelqu'un aurait-il une explication svp?

Merci par avance,

creal.

Modifié le 15 janvier 2022 par creal

[maxou56]

il y a 39 minutes, creal a dit :

Auparavant, je mettais la plage 192.168.0.1/13 car tous mes appareils domestiques ont des baux statiques allant jusqu'à 192.168.0.13

Bonsoir,
Attention 192.168.0.1/13 c’est de 192.168.0.0 à 192.175.255.255

(/13 = masque 255.248.0.0)

il y a 39 minutes, creal a dit :

je suis passé à 192.168.0/255

Ce n'est pas possible (on ne peut pas dépasser /32 soit un masque 255.255.255.255)

C'est 192.168.0.0/24 (= masque 255.255.255.0) pour 192.168.0.0 à 192.168.0.255 

il y a 39 minutes, creal a dit :

compris entre 192.168.0.1 et 192.168.0.13.

Il faudrait mettre par exemple 192.168.0.0/28 (masque 255.255.255.240) cela donnerait de 192.168.0.0 à 192.168.0.15

 

Mais je ne comprend pas trop ton message car sur le NAS "DSM", soit on doit mettre un "plage d'IP" par exemple de 192.168.0.0 à 192.168.0.255 soit on choisit le "sous réseau" on met un masque par exemple 192.168.0.0 et masque 255.255.255.0.

On n'utilise pas les préfixes (/0, /24, /13 ...)

 

Modifié le 15 janvier 2022 par maxou56

[creal]

Salut Maxou,

C'est une erreur de ma part, j'aurais dû écrire 192.168.1-13, pour dire que je vais de .1 à .13 (j'avais oublié que l'écriture en slash impliquait en effet ces histoires de masques de sous-réseau).

Modifié le 15 janvier 2022 par creal

[creal]

Hello,

Toujours pas d'idée à ce sujet?

Bonne journée.

[Jeff777]

Le 15/01/2022 à 21:45, creal a dit :

 car tous mes appareils domestiques ont des baux statiques allant jusqu'à 192.168.0.13

Bonjour,

Personnellement je mets toujours les IP fixes en dehors de la plage DHCP pour éviter les conflits d'IP.

ça fonctionne très bien de prendre tous les IP fixes en dehors de la plage IP réservée au DHCP et ça peut éviter des problèmes.

Edit : là je voulais parler du DHCP. Mais tu parles du pare-feu. Ce dernier il faut le paramétrer comme dans le tuto de Fenrir (voir post de Maxou 56):

Entre autre :accepte 192.168.1.0/255.255.255.0      ce qui fait que toutes les connexions locales sont acceptées

Modifié le 19 janvier 2022 par Jeff777

[creal]

Salut Jeff, c'est déjà ce que je fais. Le DHCP est sur 192.168.0.15 -> .35

Si j'accepte toutes les connexions locales, effectivement ça marche (ce que je fais actuellement), mais ce que je voudrais comprendre c'est pourquoi, lorsque je restreins la plage d'IP autorisées depuis le pare-feu mon ordinateur est bloqué alors qu'il possède une IP autorisée.

[Mic13710]

Si çà fonctionne lorsque la plage est élargie et pas avec une plage restreinte, c'est que l'IP du PC n'est pas dans la plage.

Ce serait plus facile pour nous de comprendre le problème si vous postiez une vue de votre parefeu.

[Jeff777]

Oui et il faut aussi que l'IP du nas soit dans la plage et peut-être aussi les IP des switchs, routeur ou autre qui peuvent empêcher la connexion antre PC et NAS

Modifié le 19 janvier 2022 par Jeff777

[creal]

Merci pour vos messages. Voici un snapshot montrant ce la config pare-feu qui bloque mon ordinateur, ainsi qu'un autre montrant que l'ordinateur est bien en 192.168.0.2 Je précise également que mon NAS est en 192.168.0.6

[Jeff777]

Ton parefeu bloque forcément un équipement de ton réseau local. Rajoute déjà 192.168.0.254 dans les IP autorisées

[creal]

il y a 41 minutes, Jeff777 a dit :

Oui et il faut aussi que l'IP du nas soit dans la plage et peut-être aussi les IP des switchs, routeur ou autre qui peuvent empêcher la connexion antre PC et NAS

Ah mais ce doit être ça! L'IP du routeur (en .254) doit être dans la plage autorisée, ce qui explique pourquoi lorsque je restreins jusqu'à .254 ça fonctionne encore, mais quand je vais jusqu'à .253 ça ne fonctionne plus.

Merci d'avoir éclairé cette zone d'ombre.

Il reste toujours à comprendre pourquoi, à l'époque, ça ne posait pas de problème d'avoir l'IP du routeur freebox en dehors de la plage autorisée. Peut-être qu'il y a eu une maj de la part de Free ou Synology sur le sujet.

Autre chose : ça sert à quelque chose (en termes de sécurité) si je change l'IP du routeur sur 192.168.0.14 afin de restreindre uniquement l'accès au NAS à mes machines domestiques ayant des baux statiques?

Modifié le 19 janvier 2022 par creal

[Jeff777]

il y a 6 minutes, creal a dit :

ça sert à quelque chose si je change l'IP du routeur sur 192.168.0.14 afin de restreindre uniquement l'accès au NAS à mes machines domestiques ayant des baux statiques?

ça devrait marcher mais j'éviterais ! L'IP est peut-être notifiée ailleurs ou par défaut et ça peut mettre le bazar.

Et franchement je pense que tu t'embêtes à restreindre la plage du LAN autorisée dans le pare-feu. 

Modifié le 19 janvier 2022 par Jeff777

[creal]

d'accord, je vais éviter alors

à l'époque j'avais lu un guide pour protéger son nas, où ils préconisaient de restreindre même l'accès en local avec une plage d'IP

tu conseillerais de supprimer cette ligne du pare-feu pour ne garder que celle en régional (France)?

[Jeff777]

il y a 8 minutes, creal a dit :

Il reste toujours à comprendre pourquoi, à l'époque, ça ne posait pas de problème d'avoir l'IP du routeur freebox en dehors de la plage autorisée. Peut-être qu'il y a eu une maj de la part de Free ou Synology sur le sujet.

Peut-être que maintenant tu fais du loopback et qu'avant tu te connectais directe sur le nas . 

[creal]

il y a 3 minutes, Jeff777 a dit :

Peut-être que maintenant tu fais du loopback et qu'avant tu te connectais directe sur le nas . 

Mais oui, c'est exactement ça! J'utilise maintenant le DDNS en local pour me connecter, ce que je ne faisais pas avant. Et inversement, cela explique aussi pourquoi à l'époque je n'arrivais pas à me connecter avec le DDNS depuis chez moi si je laissais le pare-feu sur .0.1 -> .0.13 (mais ça fonctionnait quand je bypassais cette règle). Du coup, j'ai tout compris. Merci.

[Jeff777]

il y a 15 minutes, creal a dit :

tu conseillerais de supprimer cette ligne du pare-feu pour ne garder que celle en régional (France)

là aussi tu t'exposes peut-être à des problèmes quand tu navigues sur le web. Tu te supprimes la possibilité de faire intervenir un serveur étranger. Si tu veux procéder à des tests sur des sites reconnus ceux-ci ne marcherons pas. 

Si tu suis le tuto sur la sécurité tu restreindras les ports ouverts sur ton nas et avec le reverse proxy tu vas pratiquement n'utiliser que le port 443. 

Edit : Personnellement je ne ferme que le port 1194 à quelques pays qui génèrent beaucoup de tentatives d'attaque (asiatiques principalement). Le port 1194 est celui de openvpn qui te permet de te connecter à ton nas de l'extérieur en toute sécurité.

Modifié le 19 janvier 2022 par Jeff777

[creal]

Okay, merci pour ton retour ; je vais lire le tuto au calme ce soir et adapter cela à mes petits besoins.