Pare-feu de nas4free

[ernie]

Bonjour,

Le pare feu de nas4free a des réglages par défaut.
Comment rajouter des règles et lesquelles pour augmenter la sécurité ?

Bien sur sans bloquer les services locaux: bitsync, phpvbox, vm, thebrig, les jails,... Les accès de l extérieur, les switch,...

L idée de ce post est de donner les grandes règles et comment faire, afin de me guider.

Merci

[sleid]

Bonjour.

Dans tout ce qui suit on supposera que l'ip du NAS est en DMZ.
sinon il faut tenir compte de l'ouverture des ports du routeur.

Le parefeu lit les règles dans l'ordre jusqu'à en trouver une satisfaisante.

Il est possible d'indiquer plusieurs ip numériques ou plage d'ip dans une règle, le séparateur est la virgule.

Une règle "autorise,interdit, rejette" un protocole, entre un couple IP/Port et un couple IP/Port(le nas) soit en entrée soit en sortie ou les deux "Tous"

Le mot "ALL" signifie tout: valide pour protocole,IP,Port

Exemple je veux autoriser l'accès FTP uniquement en local

1000

Autorise ; TCP ; Mon réseau local(x.X.X.X/24) ; ALL ; IP de mon Nas ; 21 ; IN

1100

interdit ; ALL ; ALL ; ALL ; IP de mon Nas ; 21 ; IN

Il suffit d'empiler les règles en changeant de port.

Cas particulier mal ou pas documenté: Le filtrage de l'accès extérieur.

Si l'on souhaite donner l'accès à son Nas depuis des ip extérieures fixes aucun souci.

Pour les ip dynamiques on peut contourner le problème avec les dyndns ou autres

Dans ce cas:

- il faut indiquer comme ip une adresse en dyndns ou autre.

- redémarrer le parefeu régulièrement pour qu'il fasse une résolution d'adresse
( dans un cron mettre un /etc/rc.d/ipfw restart toutes les heures)

Ce sont des généralités mais qui permettent de se lancer dans la configuration du parefeu.

Pensez à sauvegarder la configuration générale entre les ajouts de règles

Attention de ne pas se bloquer l'accès au nas en jouant avec les 3 ports 80 ou 443 ou SSH.

Après reste la console....

[kaos]

Je me joins a cette discution autour du Firewall de Nas4free pour savoir si on pouvait installer "Psense" dont j'ai entendu parler sur le site de Korben (http://korben.info/edito-du-07072015.html#disqus_thread)

https://pfsense.org/

Pure curiosité

[sleid]

Celui de Nas4Free fonctionne très bien, avant j'utilisais IPcop mais derrière mon cisco qui a également un parefeu et l'inspection de paquets, je me contente de celui de Nas4Free.

[ernie]

Hello,

Si on a des services sur le nas, comme une jail avec owncloud, btsync, plex,... que faut il faire pour ne pas les bloquer avec le pare feu ?
comment identifier les ports qu'ils utilisent ? et comment identifier quel protocole (UDP, TCP,...) ?

Merci par avance

[sleid]

Le filtrage c'est sur les ports stratégiques (si vous les avez laissés standard) qu'il faut le faire
7(wake on lan),21(ftp),22(sftp),443(https),3260(iscsi),49152(fuppes)
Après c'est au cas par cas, si vous accèdez à owncloud vous avez bien dû spécifier un port pour du ftp ou du sftp de l'http ou de l'https

[ernie]

C est un peu plus clair et merci Sleid.
Cependant etant non expert , j'installe des services et je ne sais pas quel port ils utilisent.
Exemple:
- phpvbox
- dans phpvbox une VM avec rtorrent+rutorrent +openvpn + couchpotato

Pour couchpotato je sais quel port. Pour rutorrent je sais peut être (le Tuto que j ai utilisé les listes). Mais rtorrent et openvpn ??
Et comme c est dans une vm de phpvbox par quel port de nas4free cela passe ?

[laster13]

Phpvbox utilise le port 18083, rtorrent par défaut 5001+ le port utilisateur (tu choisis le port que tu veux, ds le tuto j ai pris 50001), couchpotato 5050 et openvpn c est le port du prestataire avec 1194 en udp mullvad, 443 vptunnel.

[ernie]

Merci.
Comment as tu trouvé cela ? Y a t il une commande 'quel est ton port' ?

[laster13]

Il n'y a pas de commande, ce sont simplement les ports par défaut.

[ernie]

Ok.
Mais en fait comment as tu trouvé que phpvbox c est 18083. C est écrit ou ? Dans l installation nulle part il y a une indication.
Donc j ai comme port identifié qui sont mis par défaut:
- ssh = 22
- 80 et/ou 443 pour l acces a nas4free
- phpvbox = 18083
- owncloud = 81
- Plex = 32400
- btsync = 8888
-rtorrent = 5001 et les différents utilisateurs créés
- couchpotato = 5050
- l acces Vpn = voir le fournisseur
- wol = 7
Et
- nfs = ????

Merci par avance

[laster13]

Bonjour,

La commande suivante te permet effectivement de lister tous les ports utilisés par le systeme

Code: Select all

sockstat -4 -l

Ce qui me permet pour phpvirtualbox de lire :

vboxuser VBoxHeadle 2232 17 tcp4 *:3389 *:*
vboxuser vboxwebsrv 2194 9 tcp4 127.0.0.1:18083 *:*

Le port 3389 est celui utilisé par defaut pour "le port bureau à distance"

Concernant NFS, je ne m'en sers simplement que pour déplacer mes fichiers sur une autre machine en local donc pas de ports utilisés à ma connaissance.

Edit: Quoique que je viens de lire ca

root nfsd 1576 5 tcp4 *:2049

[ernie]

Merci

La commande marche bien.

Par contre Plex média donne une liste de port très longue. Laster13, est ce le cas aussi pour toi ?
Dois autoriser tous ces ports où seulement celui par défaut ?

J ai aussi pour les 4 premières colonnes de la commande sockstat des ? (User, pid,...)
Je ne sais ce que c est. Que faire ?

Et que signifie * qui est présent parfois ? Est ce tout ?

Et qu'elle est la différence entre interdire et rejeter au niveau des paramètres du pare-feu ?

Merci par avance

[ernie]

Une reponse de la part de Sleid (le sujet était cadenasé)

Je vous répond de cette façon, car le thread sur le forum est cadenassé.

* signifie tout pour le parefeu (ip,port,protocole etc)

Interdire : interdit l'accès et ne montre rien au visiteur qui ne peut savoir si le port existe

Rejeter : interdit l'accès et renvoi un code d'erreur au visiteur qui de fait sait que le port existe.

Merci à Sleid