Limiter les adresses IP seulement pour accès au NAS

[Jérémy Be]

Bonjour à tous

 

Suite à des conseils de membres d'ici, j'ai suivis les différents tutoriels :  

[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7 et [Tuto] Reverse Proxy

Globalement tout est OK 

Quick connect est désactivé 

Pare-feu etc...

 

J'ai donc créer mon nom de domaine avec des préfixes tous sur le port 443 ouvert sur la box (Le seul) = Une faille pour accéder au NAS pour le moment

 

Pour le moment tout le monde a accès si je comprend bien à ce port 443 

Je voudrais donc limiter l'accès à des IP bien spécifiques, j'ai donc créer un profil d'aces avec mon IP de mon téléphone par exemple 

1) Dans mon proxy inversé, j'ai ajouter le profil 1 configuré pour chaque application Jellyfin et file-station mais peu importe si je met la bonne adresse IP ou pas, j'ai toujours accès 

Je ne comprend pas d'où vient le soucis.

 

2) J'ai essayé d'ajouter dans mon profil 1, toutes IP refusé en dessous de celle de mon téléphone, cela me dis que "la page recherché n'existe pas" donc il y a bien utilisation de ce profil 1  

Pouvez vous m'expliquer la méthode efficace ?

Merci 

 

 

 

Modifié il y a 10 heures par Jérémy Be

[Mic13710]

Il faut rajouter une règle Refuser après la dernière règle :

[Jérémy Be]

il y a 16 minutes, Mic13710 a dit :

Il faut rajouter une règle Refuser après la dernière règle :

Si vous parlez du profil 1, c'est exactement ce que j'ai fais. 
J'ai essayé d'ajouter dans mon profil 1, toutes IP refusé en dernière ligne en dessous de celle de mon téléphone, je valide.
Retour sur mon téléphone, cela me dis que "la page recherché n'existe pas" donc il y a bien blocage et utilisation de ce profil 1 mais si mon adresse IP est en ligne 1, il devrais laisser passer la connexion ? 

J'ai ça 

[Mic13710]

il y a 11 minutes, Jérémy Be a dit :

cela me dis que "la page recherché n'existe pas" donc il y a bien blocage et utilisation de ce profil 1 mais si mon adresse IP est en ligne 1, il devrais laisser passer la connexion ? 

Oui, à condition que l'IP soit la bonne !

[Jérémy Be]

il y a 39 minutes, Mic13710 a dit :

Oui, à condition que l'IP soit la bonne !

Super, je prend https://www.mon-ip.com/, il me déclare pas d'adresse ipv4 et une v6 que j'ai rentrée, ça marche pas. 

Je vais sur https://nordvpn.com/fr/what-is-my-ip/ 
Il me trouve une IPV4 et là c'est la bonne 
Le premier site est donc bidon 🥸

Merci cela marche maintenant

Edit, cela marchais, l'adresse IP du téléphone à déjà changé. Rrrr 

Je repart sur tailscale 

 

Deuxième question, du coup mon port 443 est ouvert sur ma box.
Je n'ai que deux redirection dans proxy inversé de port 443 (jellyfin et file station), tous géré par le profil 1 
Ya t'il un risque d'accès à mon Nas par un autre chemin ? par une autre IP

Quick connect est désactivé

DSM sur port 2601 non redirigé dans proxy inversé via 443 (Que je pourrais rajouté si le principe des IP dans le profil 1 est sûr 

 

Merci beaucoup pour votre première aide 

Modifié il y a 8 heures par Jérémy Be

[Mic13710]

Il y a 1 heure, Jérémy Be a dit :

l'adresse IP du téléphone à déjà changé. Rrrr 

Les adresses IP des smartphones ne sont pas fixes. Elles varient en fait très souvent.

Deux possibilités : soit vous ouvrez toutes les plages d'IP couvertes par votre opérateur (je vous laisse chercher), soit vous passez par le VPN du NAS (ou celui du routeur s'il en est pourvu) et vous autorisez la seule plage IP de votre VPN.

Il y a 1 heure, Jérémy Be a dit :

Ya t'il un risque d'accès à mon Nas par un autre chemin ? par une autre IP

Le risque 0 n'existe pas. Si vous avez correctement paramétré le parefeu de votre NAS, que les tentatives de connexion en échec sont bloquées comme indiqué dans le tuto et que vous avez limité les accès au reverse proxy aux seules adresses de confiance, les risques sont assez limités.