Règles pare-feu - HELP

[koblar]

Bonjour,
Désolé par avance pour tous ceux qui trouvent le paramétrage d'un NAS simple 😊 mais ce n'est pas mon cas.

En effet, je galère pour finaliser certains réglages avant mise en production de mon DS723+. Plus précisement je pensais mes règles de pare-feu optimum et je constate que le comportement n'est pas celui que j'attendais. Mon objectif est simple: Interdire l'acces à DSM depuis l'extérieur et ne permettre qu'en local, activer au besoin (lors du renouvellement du certificat Let's Encrypt) le port 80 et envoyer tout le traffic entrant sur le port 443 pour gérer les accès avec un reverse proxy. 

Le hic est que lorsque je tape https:xxxx.ovh depuis l'extérieur du LAN je tombe sur la page de connexion DSM !! Alors que j'ai une règle qui est là pour refuser les communication depuis l'extérieur sur le port 5001.

Il y a un truc qui m'échappe 😒

Merci par avance, toute aide sera la bienvenue 

 

[Mic13710]

il y a 33 minutes, koblar a dit :

https:xxxx.ovh

Qui fait appel au port 443 et donc, ça passe avec la première règle.

Le reverse proxy transfère ensuite votre requête externe vers le port 5001 du NAS.

Votre troisième règle ne peut fonctionner qu'avec une url du type https:\\ndd:5001

Si vous ne voulez pas que le 5001 soit accessible de l'extérieur, c'est au niveau du routeur qu'il ne faut en interdire l'accès en ne l'ouvrant pas tout simplement.

Vu comment est réglé votre parefeu, je vous conseille vivement de lire et surtout de mettre en oeuvre le tuto sur la sécurisation de nos NAS car il manque quelques lignes pour que votre parefeu puisse être utilisable localement.

[koblar]

@Mic13710 Merci pour le retour. Bon inutile de préciser que je suis un tantinjet perdu, je crois que ça se voit.

Je viens d'appliquer à la lettre la proposition de réglages du tuto (cf. screenshot ci-dessous). Toutefois, je ne comprends pas ce qu'il faut faire préalablement à la mise en place d'un reverse proxy??

[Mic13710]

il y a 2 minutes, koblar a dit :

je ne comprends pas ce qu'il faut faire préalablement à la mise en place d'un reverse proxy??

Commencer par mettre en place un nom de domaine peut-être ... A minima, un nom de domaine Synology comme expliqué dans le tuto que vous venez de suivre.

[koblar]

@Mic13710: Désolé j'aurais dû être plus précis. Je voulais dire que je comprenais pas ce qu'il faut faire au niveau des régles du pare-feu et éventuellement du routeur. Tout le reste c'est ok (nom de domaine, DDNS, ...)

Modifié vendredi à 16:17 par koblar

[Mic13710]

Le reverse proxy utilise le port 443. Il faut donc ouvrir ce port dans le routeur et le diriger vers l'IP du NAS. Il faut aussi rediriger le port 80 pour le renouvellement du certificat mais vous ne l'activez dans le NAS que lors du renouvellement. Pas de redirection pour les autres ports que vous n'utilisez pas explicitement. Pas de 5001 et encore moins de 5000. Ouvrir le 6690 seulement si vous utilisez Synology Drive.

Au niveau du parefeu, il faut autoriser le port https (443) et limiter son ouverture aux seuls pays que vous fréquentez ou, plus restrictif (trop), seulement aux IP que vous utilisez si elles sont fixes.

La 4eme règle ne sert à rien si vous n'utilisez pas IPV6.

[PiwiLAbruti]

Il y a 17 heures, Mic13710 a dit :

[...] ou, plus restrictif (trop), seulement aux IP que vous utilisez si elles sont fixes.

... ou aux plages d'adresses IP d'un opérateur, ce que j'utilise notamment pour les réseaux mobiles.

[StéphanH]

il y a 11 minutes, PiwiLAbruti a dit :

... ou aux plages d'adresses IP d'un opérateur, ce que j'utilise notamment pour les réseaux mobiles.

Y compris en IPv6 ?

[Mic13710]

il y a 16 minutes, PiwiLAbruti a dit :

ou aux plages d'adresses IP d'un opérateur, ce que j'utilise notamment pour les réseaux mobiles.

Ce que j'utilise aussi pour le réseau Free mobile.

[koblar]

Merci pour les précisions, je sens que ça se décante 😊
 

Pour l'instant la régle du pare feu que j'ai ajouté autorise les communications sur le port 443 mais pour des IP provenant de France seulement. Comment connaitre la plage d'adresses utilisée par chaque opérateur de téléphonie? 

Qu'est-ce qui est le plus éfficace? (filtrage IP j'imagine mais le jour je veux partager un document avec quelqu'un de nouveau il faut que je le rajoute à la liste non? 🤔) 

[StéphanH]

Il y a 3 heures, koblar a dit :

Comment connaitre la plage d'adresses utilisée par chaque opérateur de téléphonie? 

Par exemple ici (y compris pour les IPv6 - je suis peut être têtu, mais il me semble préférable d’autoriser des IPv6 plutôt que des v4 : jusqu’à maintenant, je n’ai jamais vu une seule attaque ou seule adresse bloquée en IPv6)

Modifié il y a 9 heures par StéphanH

[koblar]

@StéphanH: Merci pour l'info, même si c'est du charabia pour moi (j'ai jeté un coup d'oeil en utilisant ton lien et j'ai pris 2 aspirines dans la foulée 😄)
Concernant l'IPv6 tu as probablement raison mais j'ai déjà du mal à faire fonctionner mon NAS comme je le souhaite (là je galère avec le setup du reverse proxy) alors j'essaie de me concentrer sur un sujet à la fois. Mais je me note dans ma to-do list qu'il faudrait envisager un passage en IPv6 👍

[StéphanH]

Sincèrement, le blocage des pays indésirables t’évitera déjà 80% des tentatives non souhaitées. 
et je pense que ce blocage par pays est mixte v4 v6. 

Modifié il y a 9 heures par StéphanH