Aller au contenu

Plage IP pour pare-feu : pourquoi l'ordinateur ayant une adresse IP valide est bloqué?


Messages recommandés

Bonjour,

Depuis quelques temps (je ne sais pas dire exactement, peut-être DSM7 ?), j'ai remarqué que je devais changer les paramètres de mon pare-feu pour pouvoir utiliser mon NAS syno. Auparavant, je mettais la plage 192.168.0.1/13 (EDIT : 192.168.0.1 -> 192.168.0.13) car tous mes appareils domestiques ont des baux statiques allant jusqu'à 192.168.0.13. Mais maintenant, je suis passé à 192.168.0/255 (EDIT : 192.168.0.1 -> 192.168.0.255) sinon j'obtiens le message suivant "L'ordinateur de l'administrateur a été bloqué par une nouvelle règle du pare-feu. Les règles de pare-feu précédentes ont été restaurées..."

Je ne comprends pas car mon ordi est en 192.168.0.2, qui est bien compris entre 192.168.0.1 et 192.168.0.13.

Quelqu'un aurait-il une explication svp?

Merci par avance,

creal.

Modifié par creal
Lien vers le commentaire
Partager sur d’autres sites

il y a 39 minutes, creal a dit :

Auparavant, je mettais la plage 192.168.0.1/13 car tous mes appareils domestiques ont des baux statiques allant jusqu'à 192.168.0.13

Bonsoir,
Attention 192.168.0.1/13 c’est de 192.168.0.0 à 192.175.255.255

(/13 = masque 255.248.0.0)

il y a 39 minutes, creal a dit :

je suis passé à 192.168.0/255

Ce n'est pas possible (on ne peut pas dépasser /32 soit un masque 255.255.255.255)

C'est 192.168.0.0/24 (= masque 255.255.255.0) pour 192.168.0.0 à 192.168.0.255 

il y a 39 minutes, creal a dit :

compris entre 192.168.0.1 et 192.168.0.13.

Il faudrait mettre par exemple 192.168.0.0/28 (masque 255.255.255.240) cela donnerait de 192.168.0.0 à 192.168.0.15

 

Mais je ne comprend pas trop ton message car sur le NAS "DSM", soit on doit mettre un "plage d'IP" par exemple de 192.168.0.0 à 192.168.0.255 soit on choisit le "sous réseau" on met un masque par exemple 192.168.0.0 et masque 255.255.255.0.

On n'utilise pas les préfixes (/0, /24, /13 ...)

h195.png

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Le 15/01/2022 à 21:45, creal a dit :

 car tous mes appareils domestiques ont des baux statiques allant jusqu'à 192.168.0.13

Bonjour,

Personnellement je mets toujours les IP fixes en dehors de la plage DHCP pour éviter les conflits d'IP.

ça fonctionne très bien de prendre tous les IP fixes en dehors de la plage IP réservée au DHCP et ça peut éviter des problèmes.

Edit : là je voulais parler du DHCP. Mais tu parles du pare-feu. Ce dernier il faut le paramétrer comme dans le tuto de Fenrir (voir post de Maxou 56):

Entre autre :accepte 192.168.1.0/255.255.255.0      ce qui fait que toutes les connexions locales sont acceptées

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Salut Jeff, c'est déjà ce que je fais. Le DHCP est sur 192.168.0.15 -> .35

Si j'accepte toutes les connexions locales, effectivement ça marche (ce que je fais actuellement), mais ce que je voudrais comprendre c'est pourquoi, lorsque je restreins la plage d'IP autorisées depuis le pare-feu mon ordinateur est bloqué alors qu'il possède une IP autorisée.

Lien vers le commentaire
Partager sur d’autres sites

il y a 41 minutes, Jeff777 a dit :

Oui et il faut aussi que l'IP du nas soit dans la plage et peut-être aussi les IP des switchs, routeur ou autre qui peuvent empêcher la connexion antre PC et NAS

Ah mais ce doit être ça! L'IP du routeur (en .254) doit être dans la plage autorisée, ce qui explique pourquoi lorsque je restreins jusqu'à .254 ça fonctionne encore, mais quand je vais jusqu'à .253 ça ne fonctionne plus.

Merci d'avoir éclairé cette zone d'ombre.

Il reste toujours à comprendre pourquoi, à l'époque, ça ne posait pas de problème d'avoir l'IP du routeur freebox en dehors de la plage autorisée. Peut-être qu'il y a eu une maj de la part de Free ou Synology sur le sujet.

Autre chose : ça sert à quelque chose (en termes de sécurité) si je change l'IP du routeur sur 192.168.0.14 afin de restreindre uniquement l'accès au NAS à mes machines domestiques ayant des baux statiques?

Modifié par creal
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, creal a dit :

ça sert à quelque chose si je change l'IP du routeur sur 192.168.0.14 afin de restreindre uniquement l'accès au NAS à mes machines domestiques ayant des baux statiques?

ça devrait marcher mais j'éviterais ! L'IP est peut-être notifiée ailleurs ou par défaut et ça peut mettre le bazar.

Et franchement je pense que tu t'embêtes à restreindre la plage du LAN autorisée dans le pare-feu. 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

d'accord, je vais éviter alors

à l'époque j'avais lu un guide pour protéger son nas, où ils préconisaient de restreindre même l'accès en local avec une plage d'IP

tu conseillerais de supprimer cette ligne du pare-feu pour ne garder que celle en régional (France)?

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, creal a dit :

Il reste toujours à comprendre pourquoi, à l'époque, ça ne posait pas de problème d'avoir l'IP du routeur freebox en dehors de la plage autorisée. Peut-être qu'il y a eu une maj de la part de Free ou Synology sur le sujet.

Peut-être que maintenant tu fais du loopback et qu'avant tu te connectais directe sur le nas . 

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, Jeff777 a dit :

Peut-être que maintenant tu fais du loopback et qu'avant tu te connectais directe sur le nas . 

Mais oui, c'est exactement ça! J'utilise maintenant le DDNS en local pour me connecter, ce que je ne faisais pas avant. Et inversement, cela explique aussi pourquoi à l'époque je n'arrivais pas à me connecter avec le DDNS depuis chez moi si je laissais le pare-feu sur .0.1 -> .0.13 (mais ça fonctionnait quand je bypassais cette règle). Du coup, j'ai tout compris. Merci.

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, creal a dit :

tu conseillerais de supprimer cette ligne du pare-feu pour ne garder que celle en régional (France)

là aussi tu t'exposes peut-être à des problèmes quand tu navigues sur le web. Tu te supprimes la possibilité de faire intervenir un serveur étranger. Si tu veux procéder à des tests sur des sites reconnus ceux-ci ne marcherons pas. 

Si tu suis le tuto sur la sécurité tu restreindras les ports ouverts sur ton nas et avec le reverse proxy tu vas pratiquement n'utiliser que le port 443. 

Edit Personnellement je ne ferme que le port 1194 à quelques pays qui génèrent beaucoup de tentatives d'attaque (asiatiques principalement). Le port 1194 est celui de openvpn qui te permet de te connecter à ton nas de l'extérieur en toute sécurité.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.