Bonjour

Mon serveur a subit en 4 heures 5 tentatives d'intrusion qui ont été bloquées.

Mais je souhaite ajouter une couche de sécurité.

J'ai vue que les IP bloqués sont hors France

Est ce que je peux dans le pare feux cocher tous les pays de la liste et leur interdire de se connecter?

Que dois je cocher comme option supplémentaire dans le pare feux pour ne pas m'auto bloquer?

merci

Vous trouverez les réponses à vos questions dans le tuto sur la sécurisation de nos NAS.

Bonjour

Merci pour la réponse

Ben comme je suis néophyte j'avais suivi le tuto mais....

j'ai du louper quelques chose car je me suis auto-bloqué.

Désolé mais si c'est en faisant des erreurs que l'on apprend cette fois j'ai préféré poser la question.

Donc si je comprends bien le tuto , il ne faut pas bloquer ce que l'on ne veut pas mais autoriser ce que l'on veut? (c'est contraire à ma logique d'ou surement mon erreur)

Bref selon le tuto je dois:

- saisir mon numéro Ip local 192.... le cocher et l'autoriser

- sélectionner la France et l'autoriser

ne rien cocher pour les autres pays .

Je dois utiliser pour ce fairel equel des trois profils

Dans customs j'ai

Dans File station:

et dans default

Bref pour un utilisateur averti , il va surement s'étouffer en voyant le boxon que j'ai réalisé et que je ne sais même pas comment.

Conclusion avant de poursuivre ma prim question pour bloquer autoriser les pays dans le pare feux, quelqu'un pourrait déjà m'aider à faire le ménage et me dire si je dois rassembler les 3 profils en 1?

En supprimer?

dans quel ordre?

fusionner?

Merci

PS informations pour le réglage du pare feux serveur. En aucun Je ne souhaite me connecter à mon serveur hors domicile. Cependant, le serveur doit autoriser les connexions de téléchargement venant par exemple d'un de vous qui souhaite accéder à un dossier.

Modifié il y a 13 heures13 h par Telemac

Pourquoi tous ces profils ? Je ne comprends pas.

Le principe : on autorise ce que l'on veut et si on veut la France uniquement, on l'autorise explicitement. Et en dernier il faut impérativement une règle qui bloque ce qui n'a pas été autorisé. Sans cela, le parefeu est une passoire.

Donc un seul profil, vous créez les règles d'autorisation, les règles peuvent bien évidemment couvrir plusieurs applications. Et vous rajoutez une dernière règle bloquante.

Les règles sont balayées de la première à la dernière. Si une règle n'est pas applicable, on passe à la suivante. Ainsi de suite. Si une règle autorise, on arrête la lecture du parefeu.

Merci pour ses réponse

Je ne sais pas d'ou viennent tous ces profils.

Comme je suis débutant sur Serveur je suis en train d'apprendre.

J'ai du valider des choses pour les applications installées et listées. Comme cela fonctionnait je ne me suis pas posé d'autres questions.

Ces question sont posées maintenant que je m'intéresse au pare-feux.

Donc suite à ces explications je supprime 2 profils sur les trois.

Je regroupe Mariadb 10 et serveur de fichier FTP en un seul profil.

Dans ce seul profil j'autorise mon numéro ip en première position pour ne pas m'auto-bloquer

par contre la ligne tous est elle nécessaire ou dois-je la supprimer?

même question pour Maria DB 10 supprimer ou nécessaire au système?

Pour mémoire voici le concept d'utilisation de mon serveur

Modifié il y a 1 heure1 h par Telemac
concept d'utilisation serveur et par qui mieux expliqué

Pour commencer, il ne faut pas permettre à DSM d'écrire dans le parefeu. S'il vous le propose lors de l'installation d'une application, vous en prenez note et vous refusez. C'est vous et vous seul qui devez gérer le parefeu. En effet, il arrive que certaines règles automatiques viennent en contradiction d'autres et ça devient rapidement le bazar (ce que vous avez).

Ne mettre que votre ip est bien entendu possible mais bien trop restrictif car les autres usagers de votre réseau privé risquent de se faire bloquer alors que le risque d'attaque venant de ce réseau est faible à nul, à moins que vous n'ayez aucune confiance en votre famille ou vos amis. Et si votre IP change, la règle devient caduque. Vous devez autoriser au moins la plage d'adresse de votre réseau privé (par exemple 192.168.x.0/24) à utiliser tous les ports. Vous pouvez aussi la réduire, selon votre besoin. C'est votre choix. S'il y a d'autres applications utilisant d'autres plages privées (VPN, Docker entre autres), il faut aussi mettre en place des règles pour ces plages. Ceci est clairement expliqué dans le tuto.

Il y a 7 heures, Telemac a dit :

par contre la ligne tous est elle nécessaire ou dois-je la supprimer?

Je ne vois pas de ligne tous dans vos captures.

Ce qu'il faut c'est une règle en toute dernière ligne du profil pour tous les protocoles, tous les ports et toutes les IP qui refuse le trafic. C'est obligatoire pour ne pas avoir un parefeu qui ne sert...à rien.

Il y a 7 heures, Telemac a dit :

même question pour Maria DB 10 supprimer ou nécessaire au système?

Le parefeu n'a rien à voir avec le système, DSM en l’occurrence. Il ne gère que le trafic rentrant. Donc, si vos requêtes externes ont besoin de maria db, alors oui, il faut l'autoriser. C'est vous qui devez définir quelle application ou quel service doit être joignable de l'extérieur étant bien entendu que le trafic local n'est lui pas limité grâce aux règles du réseau privé énoncées ci-dessus.

Bonjour

Merci pour les réponses

Je suis le seul en privé qui se connecte au serveur en local.

Aucun autres appareils de ma femme ne s'y connecte si ce n'est le iPad pour valider la double authentification.

Par contre peut être que si l'IP de mon mac est bloqué il serait prudent que je rentre aussi le numéro Local IP du mac de ma femme pour débloquer mon blocage Oui/NOn ?

Pas de VPN . Peut être que pour protéger mon serveur il faudrait le mettre en place.

Mais je ne sais pas si dans ce cas le concept sur mon image ci-dessus comment faire.

J'ai mieux expliqué avec une nouvelle image du post précédent le contexte d'utilisation du serveur.

Sur un forum en privé par mail vous me demandez un nom d'utilisateur et un mot de passe

Vous allez ensuite sur mon site Web chez un hébergeur

Une nouvelle page s'ouvre , vous rentrer le nom d'utilisateur et le mot de passe

Le site vous propose une nouvelle page.

Sur cette page vous sélectionner le dossier à télécharger

Un lien de téléchargement sur le site renvoi sur mon serveur dans le dossier téléchargement et vous télécharger le dossier

la ligne tous

Modifié il y a 1 heure1 h par Telemac

Il ne sert à rien de masquer des ip privées. Ni moi ni personne ne peut en faire quelque chose, exceptés ceux qui sont connectés à votre réseau.

Pour MariaDB, c'est vous que ça regarde en fonction de ce que je vous ai dit plus haut. Je ne sais pas si votre application le nécessite ou pas. Mais si vous voulez bloquer les ip hors de France, il faut aussi le choisir dans les IP sources. Là, toutes les IP y ont accès.

Si vous envoyez des liens de téléchargement, il faut que ces liens puissent s'ouvrir à distance. Il faut donc autoriser le protocole de connexion qui est utilisé.

Pour le moment votre parefeu est une passoire et donc qu'il soit activé ou pas ne change rien : tout fonctionne sans blocage. Je ne vais pas le répéter à chaque post et ce sera la dernière fois : il faut impérativement une règle de blocage telle que décrite plus haut. Ne pas le faire inhibe toutes les règles de votre parefeu. Encore une fois, c'est expliqué dans le tuto et il serait judicieux de l'appliquer.