Demande d'aide - création de règles de transmission de port et de pare-feu automatiques

[KeizerSauze]

Bonjour,

 

Je ne sais pas trop comment me dépatouiller d’un problème de règles de transmission de port et de pare-feu créées sans que je comprenne pourquoi et comment rectifier, du coup j’ai besoin d’un coup de main, et d’un peu de frais.

 

L’historique des faits :

1. J’ai téléchargé & installé les applications DS Routeur & DS Finder pour accéder respectivement à mon RT2600ac & à mon DS916+
2. J’ai eu deux messages d’erreur, de mémoire en me connectant via Quick Connect, le premier informatif, m'informant que la vérification du certificat ne pouvait pas se faire, le second bloquant
3. En cherchant sur le forum, et d’autres, j’ai compris que les certificats de mon routeur et de mon NAS ne sont pas signés
4. J’ai lu qu’importer ces certificats dans iOS résoudrait le problème, pas chez moi
5. J’ai donc décidé d’utiliser un certificat Let’s Encrypt en commençant par mon NAS en procédant comme suit :
   1. DSM / Accès externe / DDNS : Création un nom de domaine via DDNS et d'un certificat par défaut Let's Encrypt - Résultat : ok
   2. DSM / Accès externe / Configuration du routeur : Test de mon routeur (RT2600ac) et sauvegarde des nouvelle règles - Résultat : aucune règle de créé 
6. J’ai compris que le résultat de l’étape 5.2 avait pour objet la redirection de port de mon routeur vers mon NAS, je suis donc allé voir dans SRM
7. J’ai vu des règles de nouvelles règles de transmission de port et de pare-feu, dont l’ouverture du port 5000...
8. J’ai testé l’accès via mon nom de domaine, j’arrivais sur SRM, même en précisant les ports 5000 ou 5001, avec le routage de l’un vers l’autre
9. J’ai voulu supprimer les règles de transmission de port et de pare-feu mais je n’ai pas trouvé d’option de suppression depuis SRM
10. Par contre, toujours dans SRM / Centre réseau / Transmission de port, j’ai désactivé les paramètres suivants :
    1. Rétablir les règles UPnP au démarrage 
    2. Générer automatiquement les règles de pare-feu (UPnP)
    3. Générer automatiquement les règles de pare-feu (transmission de port)

 

Hier, profitant le la douceur des températures j’ai voulu m’y remettre et j’ai découvert que les règles de transmission de port, à minima, étaient de nouveau présentes :

 

 

Pourtant les trois paramètres cités supra sont bien désactivé. En cochant et décochant le #2, elles ont bien été supprimées mais j'imagine que ma manipulation n'est pas suffisante..

 

Quelqu'un pourrait m'expliquer comment rectifier le tir ? Merci d'avance !

 

KS

Modifié le 25 juillet 2019 par KeizerSauze

[.Shad.]

C'est le NAS qui crée ces règles, c'est le principe de l'uPnP, pour un routeur compatible les clients peuvent demander automatiquement l'ouverture des ports dont ils ont besoin.
Dans le tuto de Fenrir il explique clairement que ce sont des failles de sécurité, un programme malveillant sur ton NAS pourrait exposer tout ton réseau par ce biais.
Pour supprimer ces règles il te suffit de désactiver la configuration du routeur sur ton NAS.

Tu as créé un certificat LE pour un nom de domaine que tu as acheté ? celui fourni par Synology ?

Modifié le 25 juillet 2019 par shadowking

[KeizerSauze]

Merci pour ton retour.

Quand j'ai regardé hier dans SRM / Centre réseau / Transmission de port, toutes les options étaient décochée, donc que l'option 10.2 soit cochée ou pas, j'ai la création de règles de transmission de port, voire de pare-feu.

Du coup, sur mon NAS je ne vois pas quoi faire, sur mon routeur, quand je vois les règles je coche l'option 10.2, ou je la décoche, ça les supprime mais temporairement.

Je n'ai plus de nom de domaines j'en avais un vient Synology mais je l'ai supprimé quand j'ai vu que je n'y accédais pas, je voulais tester ça en vacances.

Modifié le 25 juillet 2019 par KeizerSauze

[KeizerSauze]

Il y a 7 heures, shadowking a dit :

Pour supprimer ces règles il te suffit de désactiver la configuration du routeur sur ton NAS

Voilà ce que j'ai au niveau du NAS :

 

 

Modifié le 25 juillet 2019 par KeizerSauze

[KeizerSauze]

Bon, j'ai demandé au support de Synology, selon eux ces règles de transmission de port sont normales, alors que j'étais persuadé qu'elles étaient la conséquence de la configuration du routeur depuis DSM 🤯

[Mic13710]

Avez-vous une règle qui bloque tout le reste ? Sans elle, votre parefeu est une passoire

[KeizerSauze]

Personne pour me dire si ces règles sont "normales" entre mes RT2600ac & DS916+ ?

[Einsteinium]

Upnp c’est Le mal, zeus a fait un topic que tu devrais appliqué 😉

[KeizerSauze]

Merci, oui, je suis sur le tutoriel de sécurisation du routeur, en désactivant l'UpnP ces règles disparaissent mais j'aimerais comprendre où, dans DSM, désactiver l'en moi de création de règles.

[Einsteinium]

Ahhh 🙂

Alors c’est via accès externe/configuration du routeur dans le panneau de config

Dans quickconnect / avancés aussi (transmission de ports)

[KeizerSauze]

@Einsteinium

Merci, c'est bien ce que j'ai fait puis j'ai désactivé l'UPnP au niveau de SRM, dans les paramètres de transmission de port mais ce n'était pas suffisant, il a fallu désactiver l'UPnP ailleurs dans SRM. Cela signifie que cliquer sur bouton [Configuration du routeur] dans DSM / Accès externe va continuellement créer ces règles 🤨

[Einsteinium]

Ouai mais c’est Logique, car si tu configurés un routeur dans DSM. Tu le fais avec les accès admin et donc le nas a plein pouvoir sur le routeur, il peut donc ce permettre de modifier ou réactivé des options à son bon vouloir.

[KeizerSauze]

Ca se tient mais si tu décide de changer d'avis, comment tu fais ? EN plus, dans mon cas, les règles sont à priori incorrectes.

[Einsteinium]

Bah tu supprimes le routeur dans DSM, cette fonction ne devrait même pas existé... c’est Une faille à elle seule avec cette ouverture de port 

[KeizerSauze]

A quel endroit ? Dans accès externe, même après avoir cliqué sur le fameux bouton, je ne voyais aucune règle.

Modifié le 1 août 2019 par KeizerSauze