This is the old XigmaNAS forum in read only mode,
it will taken offline by the end of march 2021!



I like to aks Users and Admins to rewrite/take over important post from here into the new fresh main forum!
Its not possible for us to export from here and import it to the main forum!

Pare-feu de nas4free

French community

Moderators: velivole18, ernie, mtiburs

Forum rules
Set-Up GuideFAQsForum Rules
Post Reply
User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Pare-feu de nas4free

Post by ernie »

Bonjour,

Le pare feu de nas4free a des réglages par défaut.
Comment rajouter des règles et lesquelles pour augmenter la sécurité ?

Bien sur sans bloquer les services locaux: bitsync, phpvbox, vm, thebrig, les jails,... Les accès de l extérieur, les switch,...

L idée de ce post est de donner les grandes règles et comment faire, afin de me guider.

Merci
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

sleid
PowerUser
PowerUser
Posts: 774
Joined: 23 Jun 2012 07:36
Location: FRANCE LIMOUSIN CORREZE
Status: Offline

Re: Pare-feu de nas4free

Post by sleid »

Bonjour.

Dans tout ce qui suit on supposera que l'ip du NAS est en DMZ.
sinon il faut tenir compte de l'ouverture des ports du routeur.

Le parefeu lit les règles dans l'ordre jusqu'à en trouver une satisfaisante.

Il est possible d'indiquer plusieurs ip numériques ou plage d'ip dans une règle, le séparateur est la virgule.

Une règle "autorise,interdit, rejette" un protocole, entre un couple IP/Port et un couple IP/Port(le nas) soit en entrée soit en sortie ou les deux "Tous"

Le mot "ALL" signifie tout: valide pour protocole,IP,Port

Exemple je veux autoriser l'accès FTP uniquement en local

1000

Autorise ; TCP ; Mon réseau local(x.X.X.X/24) ; ALL ; IP de mon Nas ; 21 ; IN

1100

interdit ; ALL ; ALL ; ALL ; IP de mon Nas ; 21 ; IN

Il suffit d'empiler les règles en changeant de port.

Cas particulier mal ou pas documenté: Le filtrage de l'accès extérieur.

Si l'on souhaite donner l'accès à son Nas depuis des ip extérieures fixes aucun souci.

Pour les ip dynamiques on peut contourner le problème avec les dyndns ou autres

Dans ce cas:

- il faut indiquer comme ip une adresse en dyndns ou autre.

- redémarrer le parefeu régulièrement pour qu'il fasse une résolution d'adresse
( dans un cron mettre un /etc/rc.d/ipfw restart toutes les heures)

Ce sont des généralités mais qui permettent de se lancer dans la configuration du parefeu.

Pensez à sauvegarder la configuration générale entre les ajouts de règles

Attention de ne pas se bloquer l'accès au nas en jouant avec les 3 ports 80 ou 443 ou SSH.

Après reste la console....
12.1.0.4 - Ingva (revision 7852)
FreeBSD 12.1-RELEASE-p12 #0 r368465M: Tue Dec 8 23:25:11 CET 2020
X64-embedded sur Intel(R) Atom(TM) CPU C2750 @ 2.40GHz Boot UEFI
ASRock C2750D4I 2 X 8GB DDR3 ECC
Pool of 2 vdev Raidz1: 3 WDC WD40EFRX + 3 WDC WD40EFRX

kaos
Starter
Starter
Posts: 72
Joined: 07 Jun 2015 12:49
Location: Jupiter
Contact:
Status: Offline

Re: Pare-feu de nas4free

Post by kaos »

Je me joins a cette discution autour du Firewall de Nas4free pour savoir si on pouvait installer "Psense" dont j'ai entendu parler sur le site de Korben (http://korben.info/edito-du-07072015.html#disqus_thread)

https://pfsense.org/

Pure curiosité :roll:
  • 9.3.0.2 - Nayla (revision 1556)
    Pc from [Trash-picked]
    MB atx- Matsonic 8137 C+
    AMD 1700 XP 1.4Ghtz (32bits)
    2 X 512Go DDR 400 Mhz
    IDE Maxtor Diamond 40Go "N4F" + Western Digital Caviar 300Go + Seagate Barracuda 500Go
    CSL Controleur Pci 2 x sata + 1 IDE
    SATA WD blue 250Go

sleid
PowerUser
PowerUser
Posts: 774
Joined: 23 Jun 2012 07:36
Location: FRANCE LIMOUSIN CORREZE
Status: Offline

Re: Pare-feu de nas4free

Post by sleid »

Celui de Nas4Free fonctionne très bien, avant j'utilisais IPcop mais derrière mon cisco qui a également un parefeu et l'inspection de paquets, je me contente de celui de Nas4Free.
12.1.0.4 - Ingva (revision 7852)
FreeBSD 12.1-RELEASE-p12 #0 r368465M: Tue Dec 8 23:25:11 CET 2020
X64-embedded sur Intel(R) Atom(TM) CPU C2750 @ 2.40GHz Boot UEFI
ASRock C2750D4I 2 X 8GB DDR3 ECC
Pool of 2 vdev Raidz1: 3 WDC WD40EFRX + 3 WDC WD40EFRX

User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Re: Pare-feu de nas4free

Post by ernie »

Hello,

Si on a des services sur le nas, comme une jail avec owncloud, btsync, plex,... que faut il faire pour ne pas les bloquer avec le pare feu ?
comment identifier les ports qu'ils utilisent ? et comment identifier quel protocole (UDP, TCP,...) ?

Merci par avance
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

sleid
PowerUser
PowerUser
Posts: 774
Joined: 23 Jun 2012 07:36
Location: FRANCE LIMOUSIN CORREZE
Status: Offline

Re: Pare-feu de nas4free

Post by sleid »

Le filtrage c'est sur les ports stratégiques (si vous les avez laissés standard) qu'il faut le faire
7(wake on lan),21(ftp),22(sftp),443(https),3260(iscsi),49152(fuppes)
Après c'est au cas par cas, si vous accèdez à owncloud vous avez bien dû spécifier un port pour du ftp ou du sftp de l'http ou de l'https
12.1.0.4 - Ingva (revision 7852)
FreeBSD 12.1-RELEASE-p12 #0 r368465M: Tue Dec 8 23:25:11 CET 2020
X64-embedded sur Intel(R) Atom(TM) CPU C2750 @ 2.40GHz Boot UEFI
ASRock C2750D4I 2 X 8GB DDR3 ECC
Pool of 2 vdev Raidz1: 3 WDC WD40EFRX + 3 WDC WD40EFRX

User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Re: Pare-feu de nas4free

Post by ernie »

C est un peu plus clair et merci Sleid.
Cependant etant non expert , j'installe des services et je ne sais pas quel port ils utilisent.
Exemple:
- phpvbox
- dans phpvbox une VM avec rtorrent+rutorrent +openvpn + couchpotato

Pour couchpotato je sais quel port. Pour rutorrent je sais peut être (le Tuto que j ai utilisé les listes). Mais rtorrent et openvpn ??
Et comme c est dans une vm de phpvbox par quel port de nas4free cela passe ?
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

laster13
PowerUser
PowerUser
Posts: 995
Joined: 01 Jun 2013 19:15
Location: France-Marseille
Status: Offline

Re: Pare-feu de nas4free

Post by laster13 »

Phpvbox utilise le port 18083, rtorrent par défaut 5001+ le port utilisateur (tu choisis le port que tu veux, ds le tuto j ai pris 50001), couchpotato 5050 et openvpn c est le port du prestataire avec 1194 en udp mullvad, 443 vptunnel.

User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Re: Pare-feu de nas4free

Post by ernie »

Merci.
Comment as tu trouvé cela ? Y a t il une commande 'quel est ton port' ?
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

laster13
PowerUser
PowerUser
Posts: 995
Joined: 01 Jun 2013 19:15
Location: France-Marseille
Status: Offline

Re: Pare-feu de nas4free

Post by laster13 »

Il n'y a pas de commande, ce sont simplement les ports par défaut.

User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Re: Pare-feu de nas4free

Post by ernie »

Ok.
Mais en fait comment as tu trouvé que phpvbox c est 18083. C est écrit ou ? Dans l installation nulle part il y a une indication.
Donc j ai comme port identifié qui sont mis par défaut:
- ssh = 22
- 80 et/ou 443 pour l acces a nas4free
- phpvbox = 18083
- owncloud = 81
- Plex = 32400
- btsync = 8888
-rtorrent = 5001 et les différents utilisateurs créés
- couchpotato = 5050
- l acces Vpn = voir le fournisseur
- wol = 7
Et
- nfs = ????

Merci par avance
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

laster13
PowerUser
PowerUser
Posts: 995
Joined: 01 Jun 2013 19:15
Location: France-Marseille
Status: Offline

Re: Pare-feu de nas4free

Post by laster13 »

Bonjour,

La commande suivante te permet effectivement de lister tous les ports utilisés par le systeme

Code: Select all

sockstat -4 -l
Ce qui me permet pour phpvirtualbox de lire :
vboxuser VBoxHeadle 2232 17 tcp4 *:3389 *:*
vboxuser vboxwebsrv 2194 9 tcp4 127.0.0.1:18083 *:*
Le port 3389 est celui utilisé par defaut pour "le port bureau à distance"

Concernant NFS, je ne m'en sers simplement que pour déplacer mes fichiers sur une autre machine en local donc pas de ports utilisés à ma connaissance.

Edit: Quoique que :roll: je viens de lire ca
root nfsd 1576 5 tcp4 *:2049

User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Re: Pare-feu de nas4free

Post by ernie »

Merci

La commande marche bien.

Par contre Plex média donne une liste de port très longue. Laster13, est ce le cas aussi pour toi ?
Dois autoriser tous ces ports où seulement celui par défaut ?

J ai aussi pour les 4 premières colonnes de la commande sockstat des ? (User, pid,...)
Je ne sais ce que c est. Que faire ?

Et que signifie * qui est présent parfois ? Est ce tout ?

Et qu'elle est la différence entre interdire et rejeter au niveau des paramètres du pare-feu ?

Merci par avance
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

User avatar
ernie
Forum Moderator
Forum Moderator
Posts: 1458
Joined: 26 Aug 2012 19:09
Location: France - Val d'Oise
Status: Offline

Re: Pare-feu de nas4free

Post by ernie »

Une reponse de la part de Sleid (le sujet était cadenasé)

Je vous répond de cette façon, car le thread sur le forum est cadenassé.

* signifie tout pour le parefeu (ip,port,protocole etc)

Interdire : interdit l'accès et ne montre rien au visiteur qui ne peut savoir si le port existe

Rejeter : interdit l'accès et renvoi un code d'erreur au visiteur qui de fait sait que le port existe.

Merci à Sleid
NAS 1&2:
System: GA-6LXGH(BIOS: R01 04/30/2014) / 16 Go ECC
XigmaNAS 12.1.0.4 - Ingva (revision 7743) embedded
NAS1: Xeon E3 1241@3.5GHz, 2HDD@8To/mirror, 1SSD cache, Zlog on mirror, 1 UFS 300 Go
NAS2: G3220@3GHz, 2x3HDD@2To/strip+raidz1, 1SSD cache, Zlog on mirror
UPS: APC Back-UPS RS 900G
Case : Fractal Design XL R2

Extensions & services:
NAS1: OBI (Plex, BTSync, zrep, rclone, themes), nfs, smb, UPS,
NAS2: OBI (zrep (backup mode), themes)

Post Reply

Return to “Français”