Ma Configuration Pare-Feu

[RubxQbe]

Bonjour,

Pour planter le d

[MS_Totor]

salut

pour le nat sur le routeur c'est ok, mais comme répété partout, pour garder la main à distance au cas ou, exemple un reboot nécessaire du syno, , plantage d'un service à redémarrer etc... ssh est primordial !! si possible à éviter pour ssh le port 22, car très connus et scanné régulièrement

donc regarde ta doc routeur, comment rediriger un port exemple 50627 externe vers l'ip et le port 22 du syno, de l'extérieur tu te connectera en 50627, et la redirection interne sera transparente vers le port 22 du syno via le nat.

ou encore une autre méthode, tu modifie le port d'écoute de ssh directement sur le syno, en 50267 au lieu de 22, ou tout autre numéro de port au dessus de 1024 ex: 50221 ou 50624, et sur le routeur tu redirige toute connexion externe en 50627 directement vers l'ip du syno port 50627 et hop accès ssh de l'extérieur.

Au niveau du pare-feu du Synology, j'ai utilisé "Type : Port de destination" avec l'adresse IP "192.168.XX.XX" interne pour la source avec les ports suivants : TCP 443,5001,22,7001 et en UDP 9997,9998,9999

une ip en 192.168.xx.xx n'est pas du tout explicite pour moi, et je ne peux être sur que tu ne te trompe pas entre ip du syno et une autre IP, réglage pour un flux entrant ou sortant vu du pare-feu syno .

une ip interne du reseau local, n'est en rien un secret, tu peux mettre ton adressage interne sans problème.

PS: relis le tuto que j'ai fais au dessus, car je crois que, ou tu t'es mal exprimé ou qu'il y a confusion port source port de destination.

bref décris ce que tu souhaite faire exactement pour un coup de main, ca sera bien plus facile

[RubxQbe]

salut

pour le nat sur le routeur c'est ok, mais comme répété partout, pour garder la main à distance au cas ou, exemple un reboot nécessaire du syno, , plantage d'un service à redémarrer etc... ssh est primordial !! si possible à éviter pour ssh le port 22, car très connus et scanné régulièrement

donc regarde ta doc routeur, comment rediriger un port exemple 50627 externe vers l'ip et le port 22 du syno, de l'extérieur tu te connectera en 50627, et la redirection interne sera transparente vers le port 22 du syno via le nat.

ou encore une autre méthode, tu modifie le port d'écoute de ssh directement sur le syno, en 50267 au lieu de 22, ou tout autre numéro de port au dessus de 1024 ex: 50221 ou 50624, et sur le routeur tu redirige toute connexion externe en 50627 directement vers l'ip du syno port 50627 et hop accès ssh de l'extérieur.

une ip en 192.168.xx.xx n'est pas du tout explicite pour moi, et je ne peux être sur que tu ne te trompe pas entre ip du syno et une autre IP, réglage pour un flux entrant ou sortant vu du pare-feu syno .

une ip interne du reseau local, n'est en rien un secret, tu peux mettre ton adressage interne sans problème.

PS: relis le tuto que j'ai fais au dessus, car je crois que, ou tu t'es mal exprimé ou qu'il y a confusion port source port de destination.

bref décris ce que tu souhaite faire exactement pour un coup de main, ca sera bien plus facile

Bonjour,

Merci pour votre réponse, pour commencer, j'ai donc relu votre tuto et aussi étudié vos recommandations.

Mon modem/routeur est assez limité alors j'étais déjà en train de regarder pour en acheter un autre, épisode à suivre. Ensuite j'utiliserais l'une de vos méthode.

Concernant l'autre partie je vous informe donc des IP utilisées.

MODEM/ROUTEUR=192.168.1.1

PC=192.168.1.34

SYNO=192.168.1.10

Ce que je ne comprend pas, c'est que mon Synology assistant n'arrive plus à se connecter au Synology (je le vois, mais le statut système m'indique toujours "La connexion a échoué"), pourtant j'ai ouvert au niveau de celui-ci (sur le pare-feu du Synology) les ports 1234,9997,9998,9999 en UDP type=Port destination. sur l'adresse 192.168.1.1

Une petite idée ?

RubxQbe.

[MS_Totor]

Concernant l'autre partie je vous informe donc des IP utilis

[RubxQbe]

[quote name='MS_Totor' date='13 f

[Lao-tseu]

je dois etre a peu pr

[Spider02]

Bon pour ne pas ré-ouvrir un topic sur le même sujet, je poste ici....

Voici mon cas, je ne souhaite pas accéder à mon DS410J depuis le net, je veux juste qu'il soit accessible depuis mon réseau local (2 ou 3 PC, PS3, etc....)

Je ne veux pas faire de FTP ou quoique ce soit d'autre.....(Pour le moment en tout cas)

Mon NAS me sert uniquement à centraliser mes données sur mon réseau à la maison....

Pour l'instant ça à l'air de fonctionner...

Ma question est dois-je configuer quelque chose dans le pare-feu du synology pour le protéger des accès internet ???

Et si c'est le cas, quoi ???

Info : Mon Nas est connecté sur une neufbox.

Merci

[Dex]

Bon pour ne pas r

[Spider02]

Le firewall du NAS n'a strictement aucune utilit

[Sp@r0]

Merci de ta r

[MS_Totor]

dex je ne cautionne pas du tout ton propos 99 ou 90 %, désolé mais c'est un peu gros là et pas commenté comme il se doit quand on affirme cela

il y a pleins de cas et effectivement tu ne lis pas tout ce que certains font avec leur matos...vpn and co, open bar je partage avec la planète dmz sur mon routeur etc, j'ai mis un bout de tuto qui décrit justement dans quel cas c'est utile voir obligatoire car perso j'en ai marre de voir des boulets héberger de la cochonnerie à tout vas et polluent à qui mieux mieux le net avec des bot qu'ils ne soupçonnent même pas....

et le contrôle des accès, genre petit contrôle parental via restriction d'accès ip/port en plus d'un accès par user/group ? cela marche pas avec iptables ? bien sur que si....... seulement il faut y penser

même chose que sp@ro pour la passerelle......

fin de mon commentaire et bonne journée

[Dex]

dex je ne cautionne pas du tout ton propos 99 ou 90 %, d

[forp007]

Le gamin qui arrive à cracker l'accès par user n'aura pas de pb pour contourner l'accès par IP si tu veux mon avis....

Mets un sonicwall et tu verras la tête des gamins

En fait une bonne sécurité est le multiplexage de matos: routeur (type cisco ou juniper), firewall hard (type sonicwall par exemple), switch vlan manageable de niveau 2+ voir 3 (type HP procurve minimum 26xx) et tu mets tout ton réseau derrière en filtrant par mac-adresses. Par contre grave erreur de mettre un seul et unique fabricant pour toute sa sécurité.

J'ai un peu galéré sur le syno, mais maintenant firewall de mon DS207+ est bien actif avec ftp et site web actif sur le net (par défaut il manque le port tcp 20 pour les datas ftp dans les rêgles de bases du firewall, le port 21 n'est pas suffisant). Par contre, je suis contre la possibilité de gérer mon matos depuis l'extérieur même en VPN, on ne sait jamais. Par contre accéder à mes ressources via vpn là oui.

[MS_Totor]

Lol

pas besoin de matos pro à ajouter, netfilter est énorme pour cela mais il faut savoir s'en servir, foultitude de tutos existants.

un brute force c'est une façon obsolète de franchir les barrières et trouver des gentils noob , car trop visible, trop facilement traçable, si une gestion minimale est mise en place, ca ne franchit jamais x essais, les paquets sont dropés, sans donner d'information en retour.

alors le fiston sur le réseau local en question peut se gratter la tête encore longtemps pendant que son père se marre. et / ou sanctionne., il peut venir chez moi et faire mumuse, je ferai une sieste pendant qu'il s'esquinte à trouver

le reste et bien, éviter de mettre n'importe quoi sur le syno et de le gérer n'importe comment.