Synology [Tuto] Régler son pare-feu pour un usage local

  • Auteur du sujet Auteur du sujet EVO
  • Date de début Date de début
Avec cette règle, tu expose ton NAS ( interface de gestion ) directement sur internet. Je n'utilise pas quickconnect, mais pour moi il na pas besoin de cette règle, car cela enlève donc tous l’intérêt de quickconnect qui est de ne pas avoir a ouvrir de port.
 
oui étrange, à creuser, je l'enleve, mais jusque là mon fw n'était pas activé.... donc je ne suis pas en situation pire...
 
  • J'aime
Réactions: EVO
littérature sur quickconnect ici
il y a plusieurs niveaux :
- ça passe sans rien faire sur le routeur et c'est bon
- sinon activation du relay server chez synology mais perte de perf
- si upnp ouvert sur le routeur, les forward sont activés mais on expose le nas
bref.... ça reste un peu moyen tout ça, sauf l'option 2 mais avec perte de perf...

1631658383555.png
 
Salut par ici ?
Normalement il ne devrait pas y avoir besoin de spécifier une règle spécifique pour le serveur DHCP si les règles du parfeu sont bien faites.
@bemo47 Dans ta dernière capture, les règles ne vont pas. Tu autorises toutes les IP à accéder à DSM et d'autres services... Ce n'est franchement pas une bonne idée.
Par exemple sur mon NAS, j'ai mis ça comme règles :
1631689871219.png
Les règles du haut vers le bas :
  • Règle n°1 : elle autorise les IP des réseaux Docker (conteneurs) ;
  • Règle n°2 : elle autorise les IP LAN (probablement trop large) de type 192.168.xxx.yyy ;
  • Règle n°3 : pour les connexions venant d'internet (IP française uniquement) sur le port 443 qui est mon reverse proxy (c'est lui qui redirige vers les bons ports à partir d'un nom de domaine du type service1.mon-nas.tld) ;
  • Règle n°4 : pour les connexions venant d'internet (IP française uniquement) sur le port 80 (je pense que je pourrais supprimer cette règle, car rien n'accède en HTTP sur le port 80...)
  • et ainsi de suite.
  • Les règles non cochées, sont pour autoriser les IP de Synology, quand j'ai besoin d'un support technique avec accès à mon NAS à distance.
  • La dernière règle interdit tout traffic qui n'a pas été bloqué ou autorisé avant.
Voilà.
Après, j'ai un parefeu encore plus restrictif sur mon routeur synology.
Grossomodo, il ne laisse passer que le traffic sur le port 443 et le port 6690 (port pour le client Drive)
 
  • J'aime
Réactions: Loranger
merci de vos retours et ça m'intéresse car dans mon LAN j'ai la box 4G d'entrée dont le FW n'a pas de règles modifiables semble t il, un routeur ASUS AC88U qui ne fait plus que du wifi, le NAS Syno qui héberge maintenant aussi ce DHCP et sur lequel j'ai tenté d'activer le FW.
D'ou peut être le besoin de règles DHCP car il est derrière le FW ?
Mais ce qui m'intéresserait c'est de mieux organiser tout ça au niveau sécurité, peut être remettre le ASUS en position de FW derrière la box, mais un des soucis c'est que ça faisait 2 routeurs entre mon LAN et Internet et pour certains accès entre LAN et Internet ça semblait poser pb sauf à en mettre un en bridge... bref un peu trop compliqué pour moi.
mais peut être devrais je en faire un post dédié ?
 
EVOTk a dit:
Un périphérique sur le réseau n'a pas d'ip avant que le DHCP lui en procure une non ? Donc à part autoriser Tous comment faire ?
Cliquez pour agrandir...
Oué c’est pas faux… mais du coup s’il n’a pas d’ip le pare-feu ne peux pas le bloquer non ?
Pour moi ce n’est pas cohérent de faire une règle pour ça. Après je ne connais pas assez le fonctionnement du serveur dhcp qui est chez moi sur le routeur.
D’ailleurs je n’ai pas de règle pour ça dans le routeur et ce dernier affecter bien les ip aux périphériques.
 
MilesTEG1 a dit:
Oué c’est pas faux… mais du coup s’il n’a pas d’ip le pare-feu ne peux pas le bloquer non ?
Cliquez pour agrandir...
Quand je dit pas d'ip, je veut dire un truc générique il doit prendre une IP au hasard peut être le dernière qu'il a utilisé ? Ou une ip en dur dans le systeme. Le fonctionnement du DHCP est aussi asser abstrait pour moi.
 
en tous cas si je ne mets pas cette règle, le dhcp ne fonctionne pas, ou du moins le mobile n'arrive pas à se connecter au wifi, en fait j'ai supposé que c'était à cause du dhcp mais ça peut être une autre raison aussi...
et si j'active cette règle la connection se fait.... enfin ça sent le dhcp quand même...

mais sinon, je pourrais aussi mettre le dhcp sur le routeur asus qui ne sert plus à grand chose à part connecter des équipements wifi, mais il est bien dans mon lan comme le nas...

existe t il une possibilité de transférer facilement les règles de dhcp d'une machine à l'autre ? autrement que hard copy d'un coté pour ressaisie de l'autre ?
 
ah ce que je veux dire c'est j'ai pas mal d'ip qui sont fixes, notamment les caméras de surveillance ou autres équipements particuliers et qu'on les définit aussi côté dhcp pour pas que ces ip soient prises par d'autres, non ?
 
Pour définir un DHCP il y a juste 2 règles:
IP de début
IP de fin

Tes réglages d'ip fixe doivent être hors de la plage du DHCP.

Exemple :
Réseau 192 168.1.0/255.255.255.0
Box/routeur 192.168.1.1
Dhcp 192.168.1.200 a 192.168.1.255

Dans cette exemple les IP fixes sont a choisir de 192.168.1.2 ( le .1 étant déjà pris par la box/routeur ) et 192.168.1.199
Le reste est pour le DHCP qui fait sa "sauce".
 
ip fixes ou réservées d'ailleurs je vois que c'est une grande discussion dans les forums....
en fait je n'ai pas vraiment d'appareil qui imposent une fixe, ni de logiciel, mais c'est la façon de les utiliser qui crée un besoin d'ip "fixe"
exemple : les caméras ip, dans le module vidéosurveillance de DSM ont les accède via une IP, si cette IP change, on doit faire une maj dans le logiciel pour y réaccéder de nouveau, idem avec les url pour les gérer, c'est avec l'ip qu'on y accède, d'où le besoin d'avoir toujours la même ip, etc...
et au final je me retrouve avec plein d'équipements pour lesquels il vaut mieux que l'ip ne change pas. donc statiques ou seulement réservées ça suffirait.
ou alors c'est à ça que pourraît servir un dns non ou des noms logiques qui permettraient de toujours retrouver la bonne ip d'un équipement... ça n'existe pas sur un lan ?
 
Bonjour,

J'ai donc effectué les 4 premières règles mentionner dans le premier poste afin de l'imiter l'accès à mon NAS uniquement sur mon réseau local.

Cependant je ne peux plus accéder à mes fichiers via la découverte réseaux de Windows, le NAS est invisible aussi invisible sur la TV Orange.

Quelle règle dois-je crée pour uniquement avoir accès localement à ses deux fonctions ?
 
EVOTk a dit:
Détaillons un peu ces 3 règles
La règle N°1 va autorisé tout le trafic provenant d'une connexion depuis VPN Serveur par exemple ( sous réseau en 10.0.0.0 ).
La règle N°2 va autoriser tout le trafic provenant des sous-réseaux de Docker par exemple.
La règle N°3 va autoriser tout le trafic provenant des appareils de votre réseau local. ( sous réseau en 192.168.0.0 ).
Cliquez pour agrandir...
Bonjour @EVOTk ou toutes autres personnes qui aura la réponse,
Est-ce que tu peux détailler l'usage de la règle N°2 pour le traffic provenant des sous réseaux Docker, quelle est son utilité réel ?
J'ai supprimé cette règle et mes conteneurs (locaux) semble toujours accessible.

Merci d'avance pour la réponse.
 
ADQB-Panda a dit:
Bonjour @EVOTk ou toutes autres personnes qui aura la réponse,
Est-ce que tu peux détailler l'usage de la règle N°2 pour le traffic provenant des sous réseaux Docker, quelle est son utilité réel ?
J'ai supprimé cette règle et mes conteneurs (locaux) semble toujours accessible.

Merci d'avance pour la réponse.
Cliquez pour agrandir...

Moi de mon cotés si je ne met pas cette règle, mes conteneurs n'ont pas accès a internet.
 
Comme dit @Neo974
Cela dépend aussi de ta configuration, cela peut aussi les empecher de communiquer entre eux si tu fait des réseaux séparé pour tes conteneurs ou le NAS avec le conteneur, ...
 
Quelqu'un avec un NAS sous DSM pour reprendre ce tutoriel ? :) Les images sont cassées, aussi avec DSM7 je sais pas s'il y a des changements notable
 
Si j'ai un peu de temps dans les prochaines semaines, je m'en occuperais, à moins que quelqu'un d'autre se manifeste avant ^^
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas