Configuration du pare-feu

[Anarchti]

Bonjour à tous, et merci d'avance à ceux qui me répondront,

j'ai deux NAS, un 1815+ et un 1817+. J'ai configuré le pare-feu sur les deux NAS pour accepter les connections sur tous les services que j'utilise depuis la France et les refuser depuis tous les autres pays. J'avais compris que cela autorisait toutes les adresses IP identifiées comme françaises, et bloquait toutes celles identifiées comme attribuées dans d'autres pays. J'avais lu quelque part que cela limitait les risque de tentatives de connections frauduleuse depuis des pays "exotiques" et à risques..

Mon souci c'est que lorsque je configure mon VPN sur mon ordinateur pour se connecter depuis un serveur VPN à l'étranger (USA ou autres) j'arrive malgré tout à me connecter aux NAS. Or si j'ai bien compris cela devrait être refusé, puisque mon adresse IP à ce moment là n'est plus une adresse IP française, mais américaine, ou autre..

Quelqu'un peut-il me dire ce que je n'ai pas compris dans le système ou ce que j'ai mal configuré?

[Mic13710]

Pour pouvoir vous répondre, il faut fournir un capture d'écran de votre parefeu.

[Anarchti]

Bonjour,

 

En fait j'ai une partie de la réponse..mais pas tout 😅

A la base, j'avais donc autorisé les connexions pour tous les protocoles mais uniquement pour les adresses IP "françaises", et refusé les connections pour tous les protocoles pour las adresses IP de tous les autres pays.

Le pare-feu a semble t'il ajouté (et j'ai du valider lorsqu'il me l'a proposé je suppose..) une règle avec l'autorisation de connexion pour le protocole TCP pour les services:

Interface de gestion, file station, audio station, surveillance station, download station, CMS.

Lorsque je supprime cette règle, elle est systématiquement recrée.

N'y a t'il pas possibilité de limiter les connexions aux adresses IP "françaises", quelque soit le service? Le NAS a t'il besoin de ces connexions TCP autorisées depuis toutes les adresses IP pour fonctionner correctement?  Je me connecte toujours depuis des adresses IP "francaises" et même lorsque je voyage je me connecte à mon NAS  depuis l'étranger via un VPN en choisissant un serveur en France. Je n'ai donc absolument pas besoin que mon NAS accepte des connexions venant d'adresses IP exotiques..

[PiwiLAbruti]

Peux-tu fournir une capture d'écran des autres interfaces (même si vide) accessibles depuis la liste déroulante Toutes les interfaces en haut à droite ?

Au passage, il faut configurer les règles de pare-feu sur l'interface reliée au réseau, et non dans Toutes les interfaces.

[Anarchti]

Le 27/06/2024 à 4:41 PM, PiwiLAbruti a dit :

Peux-tu fournir une capture d'écran des autres interfaces (même si vide) accessibles depuis la liste déroulante Toutes les interfaces en haut à droite ?

Au passage, il faut configurer les règles de pare-feu sur l'interface reliée au réseau, et non dans Toutes les interfaces.

Bonjour,

Merci de ta réponse, je pense que mon erreur vient de là, je n'ai configuré des règles de blocage des adresses IP autres que France que sur l'onglet Toutes les interfaces et pas sur celle qui est reliée à Internet, à savoir Bond 1 dans mon cas.. (voir copie d'écran jointe). je vais reprendre toutes les règles pour les mettre sur cette interface et essayer ensuite de me connecter via une adresse IP étrangère via mon VPN et je vais voir ce que ça donne.

PS C'est quand même pas très intuitif de mettre un onglet Toutes les interfaces qui ne prend pas en compte l'interface qui est connectée au Net..Je dis ca je ne dis rien..😷

[Mic13710]

Le 27/06/2024 à 4:41 PM, PiwiLAbruti a dit :

il faut configurer les règles de pare-feu sur l'interface reliée au réseau, et non dans Toutes les interfaces.

Je ne suis pas tout à fait d'accord. Toutes les interfaces comme sa dénomination l'indique, applique les règles pour toutes les interfaces, LAN, VPN, bond, etc... Après, on peut affiner pour chaque interface si on le souhaite plutôt que de le faire dans la globalité. Perso, je suis sur toutes les interfaces car je n'ai pas trouvé d'intérêt de séparer les règles.

@Anarchti vos règles sont pour le moins étranges. On ne sait pas trop bien ce que couvrent les ports sélectionnés, mais on peut en tirer certaines remarques.

Tout d'abord une explication. Les règles se lisent en partant du haut. Tant qu'une règle ne correspond pas, la lecture continue sur les règles suivantes. Si une règle correspond, la lecture s'arrête.

La première règle :

• Vos IP privées sont limitées aux services de cette règle ce qui doit probablement limiter l'usage local du NAS.
• Elle autorise l'accès au monde entier à DSM et aux autres ports autorisés dans la règle. On peut supposer même que le port 5000 (http) de DSM est lui aussi ouvert aux quatre vents. Déjà que l'ouverture du port 5001, même limité à une zone géographique définie n'est pas recommandée, le 5000 est à proscrire de ce schéma, comme du reste tous les ports http, sauf à le faire en connaissance de cause.

La deuxième règle :

• Là vous autorisez DSM uniquement à la France, mais c'est trop tard puisque vous l'avez précédemment autorisé sur le monde entier.
• Pourquoi ouvrir le service NTP sur la France ?
• rsync pour quoi faire ?

Que de complications pour les règles suivantes !  Vous pouvez toutes les supprimer pour les remplacer par une règle unique refusant tous les ports pour toutes les IPs.

Il est clair que vous n'avez pas bien compris le fonctionnement du parefeu et il est encore plus évident que vous n'avez pas préparé correctement votre NAS avant d'envisager de le connecter sur le web.

La toute première chose à faire avant de vous pencher sur les régles externes de votre parefeu serait de mettre en oeuvre les recommandations du tuto de @.Shad. sur la sécurisation de nos NAS. Vous y trouverez entre autre comment paramétrer le parefeu pour qu'il fonctionne avec les plages d'IP locales, ce qui n'est pas le cas chez vous ou du moins de manière limitée.

Ce n'est qu'après cela que vous pourrez faire en connaissance de cause les ouvertures de ports pour les services externes.

[PiwiLAbruti]

Le 09/07/2024 à 2:01 PM, Mic13710 a dit :

Je ne suis pas tout à fait d'accord. Toutes les interfaces comme sa dénomination l'indique, applique les règles pour toutes les interfaces, LAN, VPN, bond, etc... Après, on peut affiner pour chaque interface si on le souhaite plutôt que de le faire dans la globalité. Perso, je suis sur toutes les interfaces car je n'ai pas trouvé d'intérêt de séparer les règles.

C'est donc complètement subjectif.

De mon point de vue, les règles d'accès LAN (ou Bond) et VPN n'ont rien en commun car les effets de bord d'un VPN sont assez critiques. Il vaut donc mieux définir les règles directement sur les interfaces. Dans la section Toutes les interfaces, je n'ai que des règles de blocage spécifiques à certaines sources et aucune règle d'autorisation.