Castel'Lab le Fablab MJC de Château-Renault

Outils pour utilisateurs

Outils du site

Piste : firewall
start:raspberry:nas:firewall

Ceci est une ancienne révision du document !

Table des matières

Parefeux sous OMV

Configuration du pare-feu sur OMV:

La configuration du pare-feu se fait dans Système / Réseau / Pare-feu.

Rappel(exemple) : Réseau local 192.168.1.0/24 - IP du Nas 192.168.1.18.

Ci-dessous, vous trouverez un réglage de base du pare-feu. Nous étendrons les règles par la suite. Vérifiez bien vos règles (lignes) avant de les valider. Une erreur peut provoquer le verrouillage de la machine

Règle 1 : On autorise le loopback en entrée Règle 2 : On autorise le loopback en sortie Règle 3 : On conserve les connexions établies en entrée Règle 4 : On donne tous les accès au PC utilisé par la configuration d'OMV (IP de mon poste : 192.168.1.2). On pourra supprimer cette ligne quand on sera certain d'avoir bien vérifié toutes les règles du firewall. Règle 5 : On autorise le PING (protocole ICMP) à partir de toute machine du réseau local. Règle 6 : On autorise l'accès à OMV à partir de toute machine du réseau local (port 80 remplacé par 5000 Règle 7 : On autorise l'accès en SSH à partir de toute machine du réseau local dans Système / Administration Web) Règle 8 et 9 : On autorise les requêtes HTTP et HTTPS si on a conservé l'accès sur les ports 80 et 443 pour un serveur web Règle 10 à 13 : Ontorise le partage de fichier SAMBA Règle 14 et 15 : On autorise les requêtes DNS (port 53 en TCP et UDP) Règle 16 : On interdit tout le reste (ce qui n'est pas autorisé)

La règle 1 est prioritaire sur la règle 2, la 2 sur la 3 et ainsi de suite.

ACCEPT permet d'accepter un paquet si la règle est vérifiée DROP rejette un paquet sans message d'erreur si la règle est vérifiée REJECT rejette avec un retour d'un message d'erreur à l'expéditeur si la règle est vérifiée

ATTENTION : Pour les deux premières règles (Ne pas casser les connexions établies), une ancienne configuration avec l'état “–state RELATED” est toujours sur internet, or cette option peut permettre l'ouverture de port non désirée sur votre machine par un attaquant. L'option “RELATED” est à utiliser avec prudence (source https://doc.ubuntu-fr.org/iptables).

MISE À JOUR

La mise à jour permanente des paquets (logiciels) du Nas est la condition sine qua none d'une bonne sécurité. Elle est à faire régulièrement (une fois par semaine, voire quotidiennement dans le cas d'une vague de cyberattaques).

Cette mise à jour du système se fait dans Système/Update Management/Mises à jour. Il faut cocher l'ensemble des paquets et faire une Mise à niveau.

CONCLUSION

À ce stade, le NAS est accessible de façon sécurisée.

Il faudra ajouter des règles au pare-feu pour chaque nouveau service installé. Par exemple lors de l'installation de SAMBA pour le partage des fichiers (principale fonction d'un Nas).

On pourra renforcer la sécurité par la suite en :

  • privilégiant l'accès au portail en HTTPS
  • installant un antivirus
  • désactivant le compte admin pour donner l'administration à un utilisateur dont l'identifiant sera plus neutre
  • bloquant les tentatives infructueuses de connexion après un certain nombre d'échecs (via le pare-feu)
/home/chanteri/www/fablab37110/data/attic/start/raspberry/nas/firewall.1736576033.txt.gz · Dernière modification : 2025/01/11 07:13 de gerardadmin