Tri des règles de pare feu

[Tsar63]

Bonjour à tous !

J'ai installé récemment le paquet VPN Server, et du coup je me suis re-penché sur la sécurisation de mon nas sur le pare feu. 

Depuis près de 5 ans, suite à l'installation de l'accès extérieur sur mon NAS avec un domaine OVH, je n'ai plus rien touché aux règles de pare feu que l'on m'avait conseillés. Toutefois, depuis moins de 6 mois, j'ai installé portainer, vpn et quelques autres interfaces.

Pour l'ordre de l'ouverture des ports, du coup j'aimerai soumettre ma configuration à vos avis car j'ai maintenant un doute sur l'utilité, en priorité l'ordre du VPN...!

Je vous transmet ci dessous ma configuration, cela sera plus parlant

Les 2 premières règles sont celles sur le tuto (que je n'avais pas avant il y a quelques jours)

Le VPN est en avant dernière position, je n'ose pas la déplacer de peur de perdre la connexion car vous avez compris je ne saisi toujours pas les priorités.

Et la dernière photo c'est le message lorsque je met la dernière règle en refuser. Ce qui est conseillé vivement, toutefois je garde tout mes accès application et autre, sauf lorsque je me met en 4G avec le tel, je perd l'accès au tunnel VPN. 

1 - Ma première demande sera sur vos avis pour la meilleure configuration pour avoir accès aux nombreux clients que j'utilise (drive, file, photo, emby...) via VPN à l'extérieur via domaine OVH. 

2 - Ma seconde question porte sur mon utilisation. En effet, parfois je sors de la france et rarement de l'union européenne. Pouvez vous m'indiquer une règle que j'active lors de mes déplacements ? Afin d'avoir accès à mes contenus et non bloqués bien entendu ! que je désactive à mon retour. 

Merci !

Modifié le 9 septembre par Tsar63

[firlin]

Bonjour @Tsar63, 
1) pourquoi as tu mis le règle de pare feux au niveau de toutes les interfaces et pas au niveau du lan concerné.
2) sur la photo 1er si tu n'utilise pas 10.0.0.0/255.0.0.0 et  le 172.16.0.0/255.240.0.0 supprime les.

Ensuite il faut savoir que les lignes ont un ordre si tu mets tous / tous  /tous / autoriser en 1er cela prend le pas sur tous les autres.

3) pourquoi tu exposes ton port 22 ( service Terminal chiffré) au vu  et au su de tous le monde  ?  (ligne n° 5 de la 1er photo ) si je me trompe pas.
4) enfin sur la 2eme capture tu as  Tous /Tous/Tous autorisé la c'est open bar sur ton nas.
 

5) les port 9000/9443 correspond a quel service ? 

 

[Tsar63]

Merci pour ta réponse rapide !

1) je l'ai installé depuis le début ainsi, mais si tu me confirme alors je vais tout refaire sur le Lan 1, le seul que j'utilise

2) j'utilise le VPN server, cela n'est pas utile de l'extérieur pour le 10.0.0.0 ? J'ai suivi la règle dans un tuto de ce forum pour la sécurité, mais sans chercher l'utilisation de ces ip. Je ne crois pas avoir vu d'explications. 

3) Je vais corriger sur la photo de suite, et désactiver la règle, mais je décoche à chaque fin d'utilisation le terminal SSH dans les paramètres. Ca n'est pas suffisant ? 

4) le open bar j'ai fais refuser (on l'entrevois sur la dernière photo avec le message d'erreur), j'ai validé et j'explique après sans trop comprendre pk le message alors que tout fonctionne (sauf open vpn en 4g donc extérieur). 

5) il s'agit du port pour portainer (c'était pour installer et utiliser le logiciel gramps, pour la généalogie, avec accès sur le NAS, mais il est beaucoup trop lent et utilise trop de ressources). Je vais le désactiver d'ailleurs aussi.

Et pour la. règle VPN je la met à quel endroit pour qu'elle soit efficace ? 

Modifié le 9 septembre par Tsar63

[Mic13710]

Il y a 2 heures, firlin a dit :

sur la photo 1er si tu n'utilise pas 10.0.0.0/255.0.0.0 et  le 172.16.0.0/255.240.0.0 supprime les.

Et bien si, elles sont utilisées : VPN et Docker !

il y a 23 minutes, Tsar63 a dit :

mais je décoche à chaque fin d'utilisation le terminal SSH dans les paramètres.

Parce que vous utilisez votre terminal de l'extérieur ?

il y a 27 minutes, Tsar63 a dit :

le open bar j'ai fais refuser (on l'entrevois sur la dernière photo avec le message d'erreur),

Il faut bien comprendre que les règles sont lues de la première à la dernière. Tant qu'une règle n'est pas remplie, on passe à la suivante. Si une règle est remplie, la lecture s'arrête. Si vous mettez une règle qui autorise tout partout, quelle que soit sa position avant le blocage, votre parefeu est une passoire. Il faut bien évidemment supprimer cette règle qui laisse tout passer.

il y a 32 minutes, Tsar63 a dit :

Et pour la. règle VPN je la met à quel endroit pour qu'elle soit efficace ? 

Peu importe la position de l'autorisation pour le serveur VPN. Il faut seulement qu'elle soit placée avant le blocage.

[Tsar63]

Bonjour mic !

il y a une heure, Mic13710 a dit :

Parce que vous utilisez votre terminal de l'extérieur ?

De l'exterieur non, mais il m'arrive d'y accéder. Mais j'ai assez lu de mises en garde pour couper ce port (sauf dans le parefeu) à chaque fin d'utilisation

il y a une heure, Mic13710 a dit :

Peu importe la position de l'autorisation pour le serveur VPN. Il faut seulement qu'elle soit placée avant le blocage.

 bien reçu !

Du coup avec la règle des ports et ip sources sélectionnés sur tous, j'ai toujours le même problème,  voir nouveau :

- si je refuse, il y a le message de mon post précédent (blocage de l'ordinateur blabla)

- si je désactive, il y a le même message que le point ci-dessus

- si j'active avec tous ouvert, et que je coche "refuser accès" si aucune règle n'est remplie, alors cela fonctionne. mais est ce sécurisé ?

- si je coche"autoriser accès" si aucune règle n'est remplie, alors je. n'ai plus accès de l'exterieur.

Bref j'apprend à pas de fourmi dans ce monde informatique

 

[Tsar63]

Pour information, dans l'onglet des règles, j'ai mis :

1 - dans l'onglet toutes les interfaces : VPN et tous les ports et ip sources en autoriser

2 - dans l'onglet LAN 1 : Les 3 règles 10.0.0.0/255.0.0.0 et 172.16.0.0/255.240.0.0 et 192.168.1.0/255.255.255.0 et refuser l'accès si aucune règle n'est remplie

Le choix des LAN 1 ou 2 doit permettre de filtrer les adresses.  Mais il doit falloir utiliser le VPN dans toutes les interfaces. 

du coup le vpn ne fonctionne pas si je suis en refus de tous ports et ip sources 

Modifié le 9 septembre par Tsar63

[firlin]

Il y a 15 heures, Mic13710 a dit :

Et bien si, elles sont utilisées : VPN et Docker !

Ok , j'avais pas fait attention au VPN 🙂
 

Il y a 14 heures, Tsar63 a dit :

Le choix des LAN 1 ou 2 doit permettre de filtrer les adresses

Pourquoi parle tu de LAN 1 et 2 dans le pare feux alors que d'après ta présentation tu as un DS214, il y a un truc qui cloche.

Ensuite si tu commences la configuration du pare feux dans toutes les interface tu la finis dans celle-ci, tu n'en mets pas dans toutes les interface puis dans LAN. sinon tu vas te perdre.

[Tsar63]

Il y a 2 heures, firlin a dit :

Pourquoi parle tu de LAN 1 et 2 dans le pare feux alors que d'après ta présentation tu as un DS214, il y a un truc qui cloche.

 

Oui en effet tu as raison ! j'ai maintenant un DS423. Le DS214 sert au backup et simplement connecté en local (je rechercherai plus tard comment mettre une signature pour le préciser ;) )

 

Il y a 3 heures, firlin a dit :

Ensuite si tu commences la configuration du pare feux dans toutes les interface tu la finis dans celle-ci, tu n'en mets pas dans toutes les interface puis dans LAN. sinon tu vas te perdre.

J'ai bien remis l'ensemble des règles sur toutes les interfaces, car Emby ne fonctionne pas sur LAN 1.