Bonjour

Mon serveur a subit en 4 heures 5 tentatives d'intrusion qui ont été bloquées.

Mais je souhaite ajouter une couche de sécurité.

J'ai vue que les IP bloqués sont hors France

Est ce que je peux dans le pare feux cocher tous les pays de la liste et leur interdire de se connecter?

Que dois je cocher comme option supplémentaire dans le pare feux pour ne pas m'auto bloquer?

merci

Vous trouverez les réponses à vos questions dans le tuto sur la sécurisation de nos NAS.

Bonjour

Merci pour la réponse

Ben comme je suis néophyte j'avais suivi le tuto mais....

j'ai du louper quelques chose car je me suis auto-bloqué.

Désolé mais si c'est en faisant des erreurs que l'on apprend cette fois j'ai préféré poser la question.

Donc si je comprends bien le tuto , il ne faut pas bloquer ce que l'on ne veut pas mais autoriser ce que l'on veut? (c'est contraire à ma logique d'ou surement mon erreur)

Bref selon le tuto je dois:

- saisir mon numéro Ip local 192.... le cocher et l'autoriser

- sélectionner la France et l'autoriser

ne rien cocher pour les autres pays .

Je dois utiliser pour ce fairel equel des trois profils

Dans customs j'ai

Dans File station:

et dans default

Bref pour un utilisateur averti , il va surement s'étouffer en voyant le boxon que j'ai réalisé et que je ne sais même pas comment.

Conclusion avant de poursuivre ma prim question pour bloquer autoriser les pays dans le pare feux, quelqu'un pourrait déjà m'aider à faire le ménage et me dire si je dois rassembler les 3 profils en 1?

En supprimer?

dans quel ordre?

fusionner?

Merci

PS informations pour le réglage du pare feux serveur. En aucun Je ne souhaite me connecter à mon serveur hors domicile. Cependant, le serveur doit autoriser les connexions de téléchargement venant par exemple d'un de vous qui souhaite accéder à un dossier.

Modifié il y a 21 heures21 h par Telemac

Pourquoi tous ces profils ? Je ne comprends pas.

Le principe : on autorise ce que l'on veut et si on veut la France uniquement, on l'autorise explicitement. Et en dernier il faut impérativement une règle qui bloque ce qui n'a pas été autorisé. Sans cela, le parefeu est une passoire.

Donc un seul profil, vous créez les règles d'autorisation, les règles peuvent bien évidemment couvrir plusieurs applications. Et vous rajoutez une dernière règle bloquante.

Les règles sont balayées de la première à la dernière. Si une règle n'est pas applicable, on passe à la suivante. Ainsi de suite. Si une règle autorise, on arrête la lecture du parefeu.

Merci pour ses réponse

Je ne sais pas d'ou viennent tous ces profils.

Comme je suis débutant sur Serveur je suis en train d'apprendre.

J'ai du valider des choses pour les applications installées et listées. Comme cela fonctionnait je ne me suis pas posé d'autres questions.

Ces question sont posées maintenant que je m'intéresse au pare-feux.

Donc suite à ces explications je supprime 2 profils sur les trois.

Je regroupe Mariadb 10 et serveur de fichier FTP en un seul profil.

Dans ce seul profil j'autorise mon numéro ip en première position pour ne pas m'auto-bloquer

par contre la ligne tous est elle nécessaire ou dois-je la supprimer?

même question pour Maria DB 10 supprimer ou nécessaire au système?

Pour mémoire voici le concept d'utilisation de mon serveur

Modifié il y a 9 heures9 h par Telemac
concept d'utilisation serveur et par qui mieux expliqué

Pour commencer, il ne faut pas permettre à DSM d'écrire dans le parefeu. S'il vous le propose lors de l'installation d'une application, vous en prenez note et vous refusez. C'est vous et vous seul qui devez gérer le parefeu. En effet, il arrive que certaines règles automatiques viennent en contradiction d'autres et ça devient rapidement le bazar (ce que vous avez).

Ne mettre que votre ip est bien entendu possible mais bien trop restrictif car les autres usagers de votre réseau privé risquent de se faire bloquer alors que le risque d'attaque venant de ce réseau est faible à nul, à moins que vous n'ayez aucune confiance en votre famille ou vos amis. Et si votre IP change, la règle devient caduque. Vous devez autoriser au moins la plage d'adresse de votre réseau privé (par exemple 192.168.x.0/24) à utiliser tous les ports. Vous pouvez aussi la réduire, selon votre besoin. C'est votre choix. S'il y a d'autres applications utilisant d'autres plages privées (VPN, Docker entre autres), il faut aussi mettre en place des règles pour ces plages. Ceci est clairement expliqué dans le tuto.

Il y a 7 heures, Telemac a dit :

par contre la ligne tous est elle nécessaire ou dois-je la supprimer?

Je ne vois pas de ligne tous dans vos captures.

Ce qu'il faut c'est une règle en toute dernière ligne du profil pour tous les protocoles, tous les ports et toutes les IP qui refuse le trafic. C'est obligatoire pour ne pas avoir un parefeu qui ne sert...à rien.

Il y a 7 heures, Telemac a dit :

même question pour Maria DB 10 supprimer ou nécessaire au système?

Le parefeu n'a rien à voir avec le système, DSM en l’occurrence. Il ne gère que le trafic rentrant. Donc, si vos requêtes externes ont besoin de maria db, alors oui, il faut l'autoriser. C'est vous qui devez définir quelle application ou quel service doit être joignable de l'extérieur étant bien entendu que le trafic local n'est lui pas limité grâce aux règles du réseau privé énoncées ci-dessus.

Bonjour

Merci pour les réponses

Je suis le seul en privé qui se connecte au serveur en local.

Aucun autres appareils de ma femme ne s'y connecte si ce n'est le iPad pour valider la double authentification.

Par contre peut être que si l'IP de mon mac est bloqué il serait prudent que je rentre aussi le numéro Local IP du mac de ma femme pour débloquer mon blocage Oui/NOn ?

Pas de VPN . Peut être que pour protéger mon serveur il faudrait le mettre en place.

Mais je ne sais pas si dans ce cas le concept sur mon image ci-dessus comment faire.

J'ai mieux expliqué avec une nouvelle image du post précédent le contexte d'utilisation du serveur.

Sur un forum en privé par mail vous me demandez un nom d'utilisateur et un mot de passe

Vous allez ensuite sur mon site Web chez un hébergeur

Une nouvelle page s'ouvre , vous rentrer le nom d'utilisateur et le mot de passe

Le site vous propose une nouvelle page.

Sur cette page vous sélectionner le dossier à télécharger

Un lien de téléchargement sur le site renvoi sur mon serveur dans le dossier téléchargement et vous télécharger le dossier

la ligne tous

Modifié il y a 8 heures8 h par Telemac

Il ne sert à rien de masquer des ip privées. Ni moi ni personne ne peut en faire quelque chose, exceptés ceux qui sont connectés à votre réseau.

Pour MariaDB, c'est vous que ça regarde en fonction de ce que je vous ai dit plus haut. Je ne sais pas si votre application le nécessite ou pas. Mais si vous voulez bloquer les ip hors de France, il faut aussi le choisir dans les IP sources. Là, toutes les IP y ont accès.

Si vous envoyez des liens de téléchargement, il faut que ces liens puissent s'ouvrir à distance. Il faut donc autoriser le protocole de connexion qui est utilisé.

Pour le moment votre parefeu est une passoire et donc qu'il soit activé ou pas ne change rien : tout fonctionne sans blocage. Je ne vais pas le répéter à chaque post et ce sera la dernière fois : il faut impérativement une règle de blocage telle que décrite plus haut. Ne pas le faire inhibe toutes les règles de votre parefeu. Encore une fois, c'est expliqué dans le tuto et il serait judicieux de l'appliquer.

Bonjour merci pour vos réponses.

Le problème est que j'applique le tuto mais à chaque modification que je réalise il m'est répondu que ce n'est pas comme ceci qu'il faut faire.

Ceux qui me disent ceci sur les forums ont raison car ils savent de quoi ils parlent.

Dans la vie il faut savoir, faire savoir, et savoir faire.

Or je ne suis pas un sachant et ne je ne sais même pas ce que je dois savoir.

Donc en lisant le tuto, il y a des termes génériques que je ne connais pas et surtout si dans mon cas j'en ai besoin.

Or ce que l'on a pas besoin on n'y touche pas ce qui évite de faire encore plus de bètises.

Si je réagis comme cela il y a une raisons que j'explique.

Comme formateur en entreprise dans mon domaine professionnel, je partais toujours d'un cas concret par élève et le concernant pour répondre à son attente et lui porter la formation adaptée à son cas.

Je m'étais rendu compte que le support de stage( tuto) venait ensuite en soutien pour la révision quand l'élève était à nouveau à son travail et qu'il souhaitait appliquer le stage.

Donc désolé pour mes questions. Oui je ne connais pas les besoins que je dois activer ou pas ou comment.

Aussi je peux lire le tuto mais ne sachant pas dce que je dois savoir, je peux l'avoir devant les yeux et ne rien y comprendre.

Je vous demande d'accepter mes excuses de poser des questions dont j'ignore les réponses malgré le tuto.

pour revenir au sujet

le tuto n'en parle pas je trouve ceci ou?

Mais si vous voulez bloquer les ip hors de France, il faut aussi le choisir dans les IP sources. Là, toutes les IP y ont accès.

Les dossiers accessibles sur le serveur en téléchargement sont en dossiers partagés. Sur mon site j'y colle le lien public généré par lke serveur qui est différent pas dossier à télécharger.

Aussi quel protocole dois-je appliquer dans le pare feux et ou.

Si vous envoyez des liens de téléchargement, il faut que ces liens puissent s'ouvrir à distance. Il faut donc autoriser le protocole de connexion qui est utilisé.

C'est bien pour fermer les trous de ma passoire que je sollicite de l'aide

Désolé encore mais je découvre ce monde. Si j'avais les connaissances je ne serais pas ici à solliciter de l'aide.

Modifié il y a 7 heures7 h par Telemac

Le fonctionnement du parefeu est comme je l'ai décrit dans mes messages à savoir : tout ce qui arrive sur le NAS est autorisé. Ensuite, le parefeu analyse l'interface de réception de la requête, le protocole, le port invoqué, la provenance de l'ip et balaye les règles une à une en commençant par la première. Si une règle n'est pas remplie, on passe à la suivante. Le balayage s'arrête si une règle est remplie, et si elle est autorisée, la requête est transmise au service concerné. Si elle est bloquante, la requête est rejetée. Sinon, on continue jusqu'à la dernière règle. A ce stade, rien n'est bloqué et tout est autorisé puisqu'il n'y a aucune règle bloquante. C'est donc la dernière règle dont je parle qui assure le blocage de toute requête qui n'a pas été couverte par une des règles. D'où l'importance de l'ordre des règles, la dernière étant toujours une règle de blocage.

Si vos liens sont en https, ce que je suppose car ce sont en principe les liens générés par DSM (il faut voir l'en-tête du lien pour confirmer), alors il faut autoriser https pour les ip de France si c'est de que vous souhaitez. Ca peut être le 443 (port https par défaut) ou le 5001 (port de DSM qui peut aussi atteindre des services) mais ce n 'est pas forcément valable pour vous car il se peut que le lien utilise file station (port 7001) selon comment et dans quelle application il a été généré, auquel cas c'est ce port qu'il faudra autoriser. Vous seul pouvez le déterminer en analysant un de vos liens.

Le blocage géographique c'est là :

Vous sélectionnez France pour la règle pour laquelle vous voulez qu'elle s'applique.

L'établissement des règles de parefeu sont intimement liées aux différentes applications et à la manière de vous y connecter : quickconnect, IP publique, nom de domaine dédié, reverse proxy, portail de connexion, changement des ports par défaut, etc.. tout ceci a une influence sur le parefeu. Aussi, ne connaissant pas vos paramètres je ne peux que vous donner des généralités.

A mon avis, vous n'avez pas besoin de mariaDB s'il s'agit de seulement télécharger des liens, d'autant que vous n'hébergez pas de site web sur le NAS.

merci pour ces réponses.

Je vais dans le pare-feu désactiver mariaDB .

Si lors de mon usage il n'y a pas de problème je désinstalle cette Application.

Ma connexion personnelle avec le serveur ce fait :

• Pour les réglages et configuration avec Safari sur le numéro IP local.

• Pour générer le lien de partage de dossier à télécharger j'utilise File Station( le lien commence par HTTPS :synology.Me :1234... du coup faudrait aussi l'intégere dnas le pare-feu et ou mais chaque lien change de numéro et il y en a une cen taine)

• pour placer mes dossiers à télécharger sur le serveur je passe en direct par le finder par glisser/déposer

• les développeurs qui contribuent passent par le FTPS

comme le préconise plusieurs tuto sur ces forums j'ai bien entendu

• activer HTTPS (désactiver HTTP)

• activer FTPS (désactiver FTP)

• modifier les ports 5000

• modifier les ports FTPS

• bloquer le nombre de tentative de connexion et limiter le temps

et maintenant je termine avec le parte-feu.

Pour mémoire j'ai l'habitude de réaliser un pas a pas des différentes étapes de configurations adapté au cas par cas. Je vais poursuivre la configuration du pare-feu.

Maria db est une base de données, je ne vois pas le rapport avec le pare feu...

il y a 57 minutes, Lelolo a dit :

Maria db est une base de données, je ne vois pas le rapport avec le pare feu...

Comme je suis entrain d'autoriser ou d'interdire la question se posait de savoir ce que cette application é"tait autoprisé dans le pare-feu et si j'en avais besoin dans mon contexte d'utilisation de mon serveur expliqué plus haut.

Comme il ne sert que d'hébergement de dossier er de téléchargement sans héberger un site WEB cette application n'avait pas besoin d'être autorisée don je l'ai supprimé.

Comme je suis hyper débutant pour ne pas faire de bétise dans le pare feu j'avais posé la question d'autoriser, supprimer ou d'interdire dans le pare feu cette application et j'ai eu la réponse.

Enfin , début de la fin

Pour la configuration de pare-feu je pense avoir appliqué les bases du tuto et les bons conseils de par ici.

J'ai fais le ménage et je n 'ai plus qu'un seul profil.

Comme le précise le tuto pour le Pare-feu :

• je n'ai plus de règles dans custom "Toutes les interfaces"

• Dans Custom LAN 1 : cliquer sur Refuser accès

• Dans customs LAN 1 j'ai autorisé 192.168.0.0/255.255.255.0

• Dans customs LAN1 autorisé que les ports que j'ai modifié pour le HTTPS, FTPS, FileStation et autoriser dans IP source que la France

LAN 2, PPPOE Et VPN j'ai coché "Refuser accès" et il n'y a aucune règle

J'espère qu'à ce stade j'ai pu mettre en place vos bons conseils et faire que mon pare-feu n'est plus une passoire.

Reste une question pour moi.

Je voulais maintenant créer un règle "interdire dans cocher IP source tous les pays hors France

J'ai essayé mais j'ai une limitation de 15 sélections par règle.

est ce que la manière que j'ai configuré suffit a interdire les autres ip source nbon VFrance ou dois-je créer autant de règle nécessaire pour couvrir tous les pays?

je pense que si j'ai bien appliqué vos conseils nous devrions maintenant arriver au bou. de la configuration du pare feu adapté à ma situation d'utilisation.

assistant conseil et content

Merci

Modifié il y a 1 heure1 h par Telemac

Il y a 1 heure, Telemac a dit :

le lien commence par HTTPS :synology.Me :1234... du coup faudrait aussi l'intégere dnas le pare-feu et ou mais chaque lien change de numéro et il y en a une cen taine

Vous faites fausse route. Le numéro attribué n'est pas un port. Postez un exemple de lien anonymisé (nom de domaine remplacé par toto.synology.me) pour qu'on y voit plus clair.

Il y a 1 heure, Lelolo a dit :

Maria db est une base de données, je ne vois pas le rapport avec le pare feu...

Tout à fait d'accord, et pourtant ....

il y a 18 minutes, Telemac a dit :

Je voulais maintenant créer un règle "interdire dans cocher IP source tous les pays hors France

Vous êtes têtu ou vous ne comprenez toujours pas comment fonctionne le parefeu. Encore une fois, si aucune règle n'est applicable, c'est la dernière qui bloque. Si vous avez sélectionné la France pour les IP de votre règle, toutes les applications autorisées par cette règle seront joignable à partir de la France (à condition bien entendu que les ports correspondants aient été dirigés vers le NAS il va s'en dire). Si vous avez cliqué sur refuser dans l'interface LAN1, alors tous les pays en dehors de la France seront bloqués sur cette interface. Pas besoin d'une règle supplémentaire.

Plutôt que de longs discours, il serait préférable de joindre une copie d'écran de votre parefeu pour qu'on comprenne ce que vous avez fait.

Merci pour les réponses c'est plus clair

Pourquoi j'avais posé la question de valider tous les autres pays?

parce que dans un autre tuto j'avais lu qu'il fallait interdire.

Je vais terminer mon pas a pas étape par étape de la configuration de mon pare-fey et vous le communique en PDF.