Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

il y a une heure, warkx a dit :

Ça n'a pas vraiment de sens pour des élément qui ne bouge pas d'aller interroger régulièrement un serveur tiers pour lui demande son IP qui ne changera jamais (ou presque).

ok, j'ai compris maintenant ta position. N'ayant qu'envron 50 réservations d'IP, ce n'est pas un drame que mon DHCP travaille un peu. Je comprend que si on a 500 réservations, il faille commencer à penser à performences.

Lien vers le commentaire
Partager sur d’autres sites

Chacun voit effectivement midi à sa porte, et moi je n'en démord pas : IP fixes pour les éléments qui le nécessitent (chez moi, le routeur), le reste en réservation d'IP dans le routeur.

Ces réservations se font hors de la plage DHCP pour tous mes équipements et les équipements nomades de ma famille qui peuvent accéder à mes ressources (NAS, PC, etc...), avec un plan d'adressage que je tiens bien entendu à jour.

La plage DHCP est utilisée uniquement par les invités. Cette plage n'a pas accès à la zone des IP réservées.

Ainsi, tout est centralisé sur le routeur. Si je change la plage DHCP, je n'ai rien à faire sur les équipements. Je ne me pose pas non plus de question pour les équipements nomades qui ont chacun leur IP réservée lorsqu'ils sont chez moi et qui peuvent prendre n'importe quelle IP à l'extérieur. J'aurais tout de même à changer quelques adresses comme par exemple celles du reverse proxy qui pointent vers des équipements externes, mais ça ne représente pas grand chose.

Toujours pour mon cas personnel (mais je soupçonne qu'il est celui de l'immense majorité des utilisateurs), je ne trouve strictement aucun intérêt en tant que particulier d'aller triturer chaque poste pour lui attribuer une IP fixe (au risque de me tromper) alors que le routeur permet de faire la même chose d'une manière beaucoup plus rationnelle et contrôlée à partir d'un seul point, tout en évitant de se tromper dans les attributions et de risquer des conflits. De même pour les serveurs DNS dont les adresses sont parfaitement gérées par le routeur. Le mode DHCP reste pour moi un moyen beaucoup plus souple en utilisation tout en utilisant pratiquement aucune ressource.

Lien vers le commentaire
Partager sur d’autres sites

@Sam La Chaux Oui, c'est l'idée (sauf qu'il faut choisir entre 0 ou 1 dans la troisième série :razz:). Mon DHCP démarre à 192.168.x.101 jusqu'à 254. Mes IP réservées de 192.168.x.1 à 100.

@Balooforever Mon NAS fait aussi serveur DNS (voir le tuto de Fenrir et mon retour en page 2), et pourtant je suis en DHCP. Je fais entièrement confiance au routeur pour attribuer l'adresse que j'ai assignée au NAS. Pas de problème jusqu'à présent. Et si un jour pour x raisons le routeur ne marche plus, qu'il y ait une IP fixe ou pas sur le NAS ne changerait rien puisqu'il n'y aurait plus de liaison internet :biggrin:.

Lien vers le commentaire
Partager sur d’autres sites

il y a 45 minutes, Mic13710 a dit :

sauf qu'il faut choisir entre 0 ou 1

faute d’inattention

Il y a 3 heures, Mic13710 a dit :

La plage DHCP est utilisée uniquement par les invités. Cette plage n'a pas accès à la zone des IP réservées.

.Je suis désolé, j'essaye de comprendre (j'ai pas le niveau), tu fais quel style de paramétrage pour différencier le local du privé? en dehors de l'attribution des adresses?

Modifié par Sam La Chaux
Lien vers le commentaire
Partager sur d’autres sites

Toutes les box ne sont pas capables de gérer des adresses hors de la plage dhcp. Je ne vais pas parler de mon routeur Ubiquiti mais de  ce que j'avais fait dans ma freebox qui sait gérer les IP hors DHCP

Ma FB en 192.168.x.1, la plage DHCP de 192.168.x.101 à 254. Attribution des IP avec les adresses MAC dans la plage 192.168.x.2 à 100. Et pour limiter les accès aux NAS aux seules IP de la plage réservée, ma règle d'autorisation des adresses 192.168.x.x dans le parefeu est limitée aux seules adresses 192.168.x.1 à 192.168.x.100.

Lien vers le commentaire
Partager sur d’autres sites

merci, je suppose que la livebox play ne le gère pas?

  Il y a 4 heures, Mic13710 a dit :

Et pour limiter les accès aux NAS aux seules IP de la plage réservée, ma règle d'autorisation des adresses 192.168.x.x dans le parefeu est limitée aux seules adresses 192.168.x.1 à 192.168.x.100.

C'est encore du chinois pour moi. Je vais y arriver :)

Modifié par Sam La Chaux
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et merci pour ce tuto.

Je l'ai suivi à la lettre et je rencontre maintenant des problèmes que je n'avais pas auparavant et je pense que c'est dû aux règles mises dans le pare-feu.

Voici les nouveaux problèmes que je rencontre et que j'aimerais résoudre :

- Je ne peux plus recevoir de mails de notifications ;

- VideoStation ne peux plus télécharger les informations de mes vidéos. L'indexation ne fonctionne plus;

- La recherche de mise à jour ne fonctionne plus.

En fait j'ai l'impression que mon NAS ne peut plus accéder à Internet ce qui est bien d'un point de vue sécurité mais ces quelques service sont plutôt utiles que j'aimerais réactiver. Comment faire ? Merci !

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour tes explications

Je reviens sur la partie firewall, j'ai appliqué les règles dans le firewall comme tu l'as mentionné (avec les 4 règles)

Par contre, impossible d'atteindre le NAS depuis l'extérieur, est-ce que dans les pré-requis, tu considères que l'on accède au NAS uniquement via un VPN ?

Lien vers le commentaire
Partager sur d’autres sites

Je vais répondre pour lui.

Les 4 règles sont quasi obligatoires. On peut affiner les 3 premières en fonction de ses besoins, mais la dernière est le seul vrai rempart contre les attaques.

Pour le reste, c'est à vous de mettre les règles nécessaires en fonction de votre utilisation. Par exemple, si vous voulez utiliser le serveur VPN, il est bien évidemment nécessaire d'ouvrir les ports adéquates dans le parefeu. Cette règle sera à positionner AVANT la dernière règle.

De même, si vous utilisez le port standard https (443), il faudra l'autoriser dans le parefeu. Idem pour CloudStation (6690).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.