Connexion Plex à distance impossible

[Zouille]

Bonjour

 

J'ai un DS218+ avec Plex et tout fonctionne bien en local mais en distance je le vois hors ligne , impossible de se connecter

J'ai regarder les TUTO et sujets sur le forum, j'ai bien activé le connexion à distance sur le port 32400 que j'ai redirigé vers mon NAS sur ma box SFR mais ca ne change rien, ou est le problème, dans le pare feu du NAS ?

 

 

 

[Einsteinium]

Dans les deux premières règles du pare feu du nas, tu as coché Plex dans laquelle ?

[Zouille]

Il y a 18 heures, Einsteinium a dit :

Dans les deux premières règles du pare feu du nas, tu as coché Plex dans laquelle ?

salut

et bien disons aucune 😄 car je ne voie pas de ligne PLEX dans la sélection des applis

j'ai donc creé une règle dans le pare-feu, est elle au bon niveau ?

Modifié le 27 août 2022 par Zouille

[MilesTEG1]

@Zouilletes règles de pare-feu ne sont pas très cohérentes.

va voir le tuto sécurisation du nas sur le forum.

[Einsteinium]

Je plussoie… la règle pour Plex OK,

Mais t’a deuxième règle ouvre le bas au monde contrairement à la 3ieme qui semble un peu plus correcte.

[Zouille]

Bonjour

Merci à vous, j'avais pourtant suivi le TUTO, je viens de voir le problème, la ligne 2 s’était crée toute seule quand j'ai accepté une demande de connexion pour DSM sur les ports 7702 et 7703 sinon  la seule différence est que je n'ai pas activé les 2 règles sur les autres plage d'IP.

Par contre, en toute connaissance de cause, j'ai bien autorisé DSM via Quickconnect,

A votre avis, vu mon choix, est ce que je peux être un peu plus restrictif dans mes règles ?

 

1* Autorisation pour PLEX en TCP pour 3 pays qui me concerne

2* Accès à :  DS audio, DS file, Vidéo station et DSM depuis 2 pays en passant pas Quickconnect

3* Tout autoriser pour mon réseau local

4* Bloquer tout le reste

[Kramlech]

Attention, les règles sont appliquées dans l'ordre indiqué, la première règle positive trouvée arrête le parcours des règles...

Ce qui signifie que tes deux dernières lignes ne seront jamais activées.

Dans la pratique il faut aller du plus restrictif au moins restrictif. Donc commencer par les règles concernant ton réseau local (lignes 3, 5 et 6). Puis les autres restriction (ligne 1 et 2) et finir par refuser tout le reste (ligne 4).

[Zouille]

Il y a 13 heures, Kramlech a dit :

Attention, les règles sont appliquées dans l'ordre indiqué, la première règle positive trouvée arrête le parcours des règles...

Ce qui signifie que tes deux dernières lignes ne seront jamais activées.

Dans la pratique il faut aller du plus restrictif au moins restrictif. Donc commencer par les règles concernant ton réseau local (lignes 3, 5 et 6). Puis les autres restriction (ligne 1 et 2) et finir par refuser tout le reste (ligne 4).

Bonjour. 

Merci pour ta réponse, je comprends. 

Je vais inverser les premières règles mais je ne sais pas si tu as vu mais 5 et 6 ne sont pas activées. 

Je vais donc faire 3/2/1/4 

Sinon est ce que  3/1/2/4 changerai quelque chose ? 

Je laisse 5 et 6 en bas au cas où si j'en ai besoin plus tard , je les placerai comme tu le disais si besoin ou je les supprime pour éviter les problèmes 

[Kramlech]

Il y a 17 heures, Kramlech a dit :

Donc commencer par les règles concernant ton réseau local

Je persiste et signe ... Une petite erreur dans une règle qui précèdent les règles concernant le réseau local, et hop, plus d'accès au NAS en local !!!! Et hop hop, reset de niveau 1 !!!!

[MilesTEG1]

il y a 15 minutes, bliz a dit :

Pourquoi ?, tous simplement, qui pour moi, la première règle, doit être, protocole = tous, ip source = tous, autoriser, c'est à dire les paquets sans restriction, car ça évite une ligne de plus lorsque on installe un nouveau paquet après confirmation d'integrer le paquet dans le parefeu et que les paquet qui sont dans cette ligne ne doivent pas se retrouver dans les autres lignes, ensuite viennent les ip local, puis le reste

Faut surtout pas autoriser tout depuis toutes les IP en première ligne !!

 

Perso, j'ai ces règles là :

 

Et dans le pare-feu de mon routeur c'est encore plus restrictif : seuls les ports 443 et 6690 sont ouverts et routé vers le NAS.

[MilesTEG1]

@bliz L'ordre de tes règles reste peu cohérent par rapport à comment fonctionne le parefeu...

Il est préférable d'avoir en début tout ce qui autorise sans restriction le LAN, puis dessous, tout ce qui autorise petit à petit les divers services utilisés.

 

Par contre, pour tous ce que tu autorises depuis le NET, c'est quand même risqué de ne pas filtrer les pays...
 

[MilesTEG1]

@bliztu n’as pas compris le fonctionnement du pare-feu…

il bloque ce qui arrive sans avoir été initié depuis le réseau local.

donc ton téléchargement depuis download station fonctionnera très bien même si tout n’est pas ouvert au monde entier.

je peux t’assurer que ça fonctionne. Je peux télécharger sans soucis des fichiers ailleurs dans le monde…

là faut vraiment que tu revois les bases du pare-feu du nas 😇

Il y a 1 heure, bliz a dit :

L'ordre est logique aussi, prenons le cas de ce qui est autorisé pour tous, si tu met une règle qui restreins juste avant une règle qui est pour tous, tu risque d'être bloqué sur la première règle,

Non encore une fois tu ne raisonnes pas comme il faut…

dans ton raisonnement, te règle restrictive ne sera jamais atteinte…

et si tu inverses et que ça bloque et que tu voulais pas que ça bloque c’est que t’es règles sont mal fichues.

je peux t’assurer que ta vison des choses n’est pas la bonne.

as tu bien lu le tuto sécurisation ?

[MilesTEG1]

Je suis d'accord sur le principe, mais pour un pare-feu, ce sont que des règles restrictives qui doivent être utilisées. Après, si tu ne veux pas entendre cela, libre à toi de continuer à faire comme tu fais...

  

Le 01/12/2016 à 19:33, Fenrir a dit :

Les règles de pare-feu ci-dessous seront valable chez pratiquement tout le monde, en toute rigueur, il ne faudrait autoriser que les adresses "fiables" sur des services précis, mais sauf à avoir des espions dans son réseau, ça ne devrait pas poser de problèmes. On va dire que c'est un compromis entre confort et sécurité.

nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8)

Dans un premier temps, je vous recommande vivement de configurer votre pare feu avec les 4 règles ci-dessous, à l'identique !!

nb :

• dans les 3 premières règles, il faut bien choisir "Sous-réseau" et pas "Hôte unique" ni "Plage d'IP"
• ici j'utilise uniquement la table "Toutes les interfaces" car c'est plus simple à gérer et suffisant pour la plupart des besoins, si vous souhaitez utiliser les règles par interfaces, lisez ceci

Une fois ces 4 règles en place, vous pourrez ajouter les autres règles dont vous avez besoin (il faut les ajouter juste avant la dernière règle) si vous souhaitez que certains services de votre NAS soient accessibles depuis Internet.

Les règles ci-dessus n'autorisent que les réseaux locaux et bloquent tout le trafic venant d'Internet.

Voici un exemple plus complet qui n'est pas à reprendre aveuglement, c'est juste pour illustrer :

En plus des réseaux locaux (ou privés), j'autorise les services suivants :

• ports TCP 80 et 443 depuis l'adresse 192.0.2.3 (il s'agit d'une adresse IP public d'exemple, ce n'est pas une adresse privée => https://tools.ietf.org/html/rfc5737)
• port UDP 1194 (OpenVPN) uniquement depuis la France
• ports UDP 500, 1701 et 4500 (L2TP/IPSec) uniquement depuis la France
• et les ports TCP 7000 et 7001 que j'ai associé à une application, autorisés depuis la France la Guyane française

nb : les règles sont évaluées dans l'ordre, de haut en bas

ps : si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière

Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée.

L'idée est donc en premier d'autoriser ton LAN sur tous les services (à moins que tu veuilles restreindre l'accès à certaines machines...).
Puis, tu n'autorises que ce que tu veux.
Et enfin tu refuses tout.

Et dernière chose : le parefeu du nas ne filtre que le traffic qui vient depuis en dehors du NAS... ça ne filtrera pas ce qui sort du NAS...

Ce n'est pas un parefeu comme on peut avoir sur les ordinateurs... ou sur certains routeurs...

 

Et sinon, avec mes règles, regarde un peu :
La version HTTP :

La version torrent : 

 

[Zouille]

Bon, merci a tous, j'ai essayé de prendre en compte vos avis et j'ai mis ca

Je vais enlevé l'interface de gestion de la règle 4 pour un peu plus de sécurité

Merci a tous