Règles pare-feu - HELP

[koblar]

Bonjour,
Désolé par avance pour tous ceux qui trouvent le paramétrage d'un NAS simple 😊 mais ce n'est pas mon cas.

En effet, je galère pour finaliser certains réglages avant mise en production de mon DS723+. Plus précisement je pensais mes règles de pare-feu optimum et je constate que le comportement n'est pas celui que j'attendais. Mon objectif est simple: Interdire l'acces à DSM depuis l'extérieur et ne permettre qu'en local, activer au besoin (lors du renouvellement du certificat Let's Encrypt) le port 80 et envoyer tout le traffic entrant sur le port 443 pour gérer les accès avec un reverse proxy. 

Le hic est que lorsque je tape https:xxxx.ovh depuis l'extérieur du LAN je tombe sur la page de connexion DSM !! Alors que j'ai une règle qui est là pour refuser les communication depuis l'extérieur sur le port 5001.

Il y a un truc qui m'échappe 😒

Merci par avance, toute aide sera la bienvenue 

 

[Mic13710]

il y a 33 minutes, koblar a dit :

https:xxxx.ovh

Qui fait appel au port 443 et donc, ça passe avec la première règle.

Le reverse proxy transfère ensuite votre requête externe vers le port 5001 du NAS.

Votre troisième règle ne peut fonctionner qu'avec une url du type https:\\ndd:5001

Si vous ne voulez pas que le 5001 soit accessible de l'extérieur, c'est au niveau du routeur qu'il ne faut en interdire l'accès en ne l'ouvrant pas tout simplement.

Vu comment est réglé votre parefeu, je vous conseille vivement de lire et surtout de mettre en oeuvre le tuto sur la sécurisation de nos NAS car il manque quelques lignes pour que votre parefeu puisse être utilisable localement.

[koblar]

@Mic13710 Merci pour le retour. Bon inutile de préciser que je suis un tantinjet perdu, je crois que ça se voit.

Je viens d'appliquer à la lettre la proposition de réglages du tuto (cf. screenshot ci-dessous). Toutefois, je ne comprends pas ce qu'il faut faire préalablement à la mise en place d'un reverse proxy??

[Mic13710]

il y a 2 minutes, koblar a dit :

je ne comprends pas ce qu'il faut faire préalablement à la mise en place d'un reverse proxy??

Commencer par mettre en place un nom de domaine peut-être ... A minima, un nom de domaine Synology comme expliqué dans le tuto que vous venez de suivre.

[koblar]

@Mic13710: Désolé j'aurais dû être plus précis. Je voulais dire que je comprenais pas ce qu'il faut faire au niveau des régles du pare-feu et éventuellement du routeur. Tout le reste c'est ok (nom de domaine, DDNS, ...)

Modifié il y a 14 heures par koblar

[Mic13710]

Le reverse proxy utilise le port 443. Il faut donc ouvrir ce port dans le routeur et le diriger vers l'IP du NAS. Il faut aussi rediriger le port 80 pour le renouvellement du certificat mais vous ne l'activez dans le NAS que lors du renouvellement. Pas de redirection pour les autres ports que vous n'utilisez pas explicitement. Pas de 5001 et encore moins de 5000. Ouvrir le 6690 seulement si vous utilisez Synology Drive.

Au niveau du parefeu, il faut autoriser le port https (443) et limiter son ouverture aux seuls pays que vous fréquentez ou, plus restrictif (trop), seulement aux IP que vous utilisez si elles sont fixes.

La 4eme règle ne sert à rien si vous n'utilisez pas IPV6.