Pare feux liveboxfibre/ OpenVPN / Hebergement site web / securite

[clemys]

Bonjour,

 

Je fais appel aux bons conseils de cette communauté dans le cadre de l'installation d'un serveur web et d un serveur de partage de fichier sur le NAS (DS418play).  Je voudrais en effet héberger un site web tout en configurant le nas de la manière la plus sécurisé possible. Je suis actuellement nomade entre la france l'espagne et le portugal, mon nas est au chaud dans la famille.

Voici les objectifs que je me suis fixé pour atteindre l'objectif d installation :

- 1 . Mesures de sécurités :

                -  1.1 désactivation du quickconnect

                - 1.2 desactivation du compte admin et creation d'un compte administrateur Z.

               - 1.3 activation de la double authentification pour ce compte administrateur Z. 

 

- 2 Accès au partage de fichier SMB, et au DSM (et autres applis potentielles): installation d'OPENVPN   :

                - 2.1 sur le nas : -  2.1.1 ouverture du port 1194 dans le pare-feu du nas avec l'ip source donnée par openvpn

                                           - 2.1.2  changement de port DSM 5000 et 5001 par  zzzzz et xxxy

 

                - 2.2 sur la box : -  2.2.1 ouverture du port 1194 vers le NAS pour faire passer le VPN

                                             - 2.2.2 règle de pare-feu autorisant sur le port 1194 seulement les IP provenant de france d espagne ou du portugal

                                            -  2.2.3 règle de pare-feu refusant toute tentative de connexion sur les ports zzzzz et xxxxz

 

- 3 Hébergement du site internet :

                     - 3.1 achat du nom de domaine, création d'un CNAME pour mon DDNS

                     - 3.2 sur le nas : -  3.2.1 installation de  webstation et création d'un virtual host avec port 443

                                                 - 3.2.2 règle de pare-feu autorisant le port 443 et pas le port 80

                     - 3.2 sur la box :  - ouverture du port 443 et pas du port 80 vers le Nas

                     - 3.4 création d'un certificat Cloudflare pour le site internet. (à la place de letsencrypt)

 

Mes questions sont les suivantes :

Pour le VPN :

Je me situe au 2.2.2. J ai une livebox fibre, et je ne peux ajouter de règle de pare feu qu'en sélectionnant le parametre avancé de pare-feu. Ma navigation internet est perturbée quand j'utilise cette configuration,  de nombreux sites (dont celui-ci) ne passe plus le pare-feu. 

Quelles règles me conseillez vous d'ajouter afin de retrouver une navigation web fluide ?

J ai pensé à paramétrer le pare feu du nas à la place de la box pour ces restrictions, mais il me semble que l'on y perd en sécurité , non ?

D'autant que dans l'interface d'ajout de règle pare-feu de la box, il semble que je n'ai pas la possibilité d'entrer une plage d'adresses IP à accepter (france, espagne, portugal) sur le port 1194, et qu'il faille tout rentrer IP pas IP... QU'en pensez vous ?

Pour l’hébergement :

- Pensez vous qu'il est judicieux de fermer le port 80 et tout rediriger vers le port 443 pour le site ?

- Pensez vous que cela vaille la peine de créer un certificat cloudflare a la place de letsencrypt pour le site internet ?

- Que pensez vous de ces étapes ? voyez vous points à améliorer ?

 

Je vous remercie sincèrement pour votre aide précieuse,

 

Clem