Comment activer et configurer le Firewall du Synology

Vous possédez un NAS Synology accessible depuis Internet. Alors, il est fortement recommander d’activer et de configurer le Firewall du Synology. Voici comment faire sur DSM 6.x. Le principe reste le même sur les versions antérieures. Seule l’interface change.

Introduction

Qu’est que le Firewall du Synology

Le Firewall (pare-feu en français) du Synology est un logiciel qui permet de définir des règles de sécurité autorisant ou non différents les connexions entrantes vers le NAS.

Par défaut, sur un NAS Synology, il n’est pas actif. Aussi, si ce dernier n’est pas accessible depuis Internet :

  • connecté à un réseau sans d’accès à internet
  • ou sur une box ou un routeur n’ayant aucun port ouvert manuellement ou par UPnP vers le NAS

ce n’est pas important. Par contre, s’il l’est, l’activer et le configurer devient absolument nécessaire pour augmenter la sécurité de votre serveur.

Qu’est qu’une règle de sécurité dans le Firewall du Synology

Une règle de sécurité dans le Firewall du Synology se définit par trois éléments :

  • le port (1). Il permet d’identifier un flux de donnée ou une application
  • l’IP source (2). D’où provient le flux ou l’application. Cette information pour plus de commodité peut être aussi sous forme de plage d’adresses.
  • et l’action (3). Dans le Firewall du Synology deux sont possibles : Refuser ou Accepter la connexion entrante

Règle Firewall Synology

warning Aussi, l’ordre des règles a son importance. En effet, pour une connexion entrante, le Firewall cherche une correspondance dans la liste des règles en commençant par le haut. Et dès qu’il trouve une correspondance, il traite la règle et ne passera pas aux suivantes. Donc les plus restrictives et prioritaires doivent se retrouver en premier. Heureusement, vous pourrez réorganiser vos règles facilement une fois déclarée.

Activer le Firewall du Synology

Pour activer le Firewall, connectez vous depuis votre navigateur web à l’interface d’administration (DSM) de votre NAS. Puis dans DSM, allez dans le panneau de configuration.

Accès panneau de configuration du Synology

Si ça n’est pas encore le cas, passez en Mode avancé pour voir toutes les options.

Synology - panneau de configuration mode avancé - Sécurité

Puis allez dans sécurité, onglet Pare-feu.

Firewall Synology - accès

Cochez la case Activer le pare-feu (1). Choisissez ou créez un profil ou restez sur celui par défaut (2) et faites Appliquer (3) pour rendre le Firewall actif.

Alors, une indication (profil actif) apparaît à coté du profil sélectionné et indique, ainsi, que le Firewall est bien en fonction.

Profil actif dans le Firewall

Configurer le Firewall du Synology

Maintenant que le Firewall est actif, il faut le configurer en lui ajoutant des règles de sécurité. Nous allons le faire dans le profil par défaut. Mais vous pouvez créer un autre profil qu’il faudra sélectionner et faire Appliquer pour qu’il le rendre actif.

Gestion profil de règle pour le Firewall

Donc pour ajouter des règles, cliquez sur le bouton Modifier les règles.

Modifier les règles d'un profil du Firewall

Règle n°1 : Refuser les connexions entrantes si …

La première règle à créer est l’interdiction de toutes connexions entrantes sur les différentes interfaces réseau de votre Synology si elles ne respectent aucune des règles établies.

Pour cela, choisissez une interface réseau de la liste déroulante (1) et cochez pour Refuser accès (2).

Refuser connexion sur les interfaces réseau du Synology

Puis, répétez l’opération pour chaque interface réseau disponible.

warning Par contre, à cette règle doit obligatoirement s’en suivre une suivante autorisant au moins une connexion entrante (par exemple depuis votre réseau local), sinon vous n’aurez plus accès à votre NAS…

Règle n°2 : Autoriser les connexions entrantes de votre réseau local

Accéder sans restriction depuis son votre réseau local (en principe sûr, sauf si vous avez laissé votre Wifi ouvert…) à son NAS peut être bien pratique pour plus de facilité d’utilisation. Par exemple : pour pouvoir voir le serveur dans le voisinage réseau de votre ordinateur sans créer une règle spécifique ou autre…

Pour que la règle soit valable peu importe l’interface raccordée et pour une gestion plus simple, revenez sur Toutes les interfaces. Mais vous pourriez aussi faire le choix de la créer que pour une interface spécifique. Puis cliquez sur le bouton Créer.

Créer une règle de Firewall

Ports

Choisissez Tous pour ne pas avoir de restriction. Sinon faites sélectionner des applications ou personnalisé pour entrez les numéros de port à ouvrir.

Firewall Synology - règle ports - tous

IP source

Choisissez IP spécifique puis cliquez sur Sélectionner.

Firewall Synology - règle autoriser IP source spécifique

Dans la nouvelle fenêtre, sélectionner Sous-réseau. Puis compléter les informations Adresse IP et Masque de sous réseau. Et faites OK.

Réseau local

Si vous ne connaissez pas ces informations, vous pouvez les avoir dans Panneau de configuration > Réseau > Interface réseau et en développant l’interface connectée à votre réseau local puis en recopiant l’adresse IP et le masque.

Information réseau Synology

Action

Sélectionnez autoriser.

Règle action Autoriser

Faites OK pour ajouter la règle.

 

Les plus parano pourront faire un choix différent pour Ports et IP source pour restreindre aussi les accès depuis ce réseau.

Règles pour autoriser les autres connexions entrantes

Ces règles auront pour but d’autoriser l’accès à votre Synology depuis Internet. Vous pouvez en avoir plusieurs qui se complètent. Mais attention à leur ordre.

Ports

Cette fois, il ne faut surtout pas sélectionner Tous. Choisissez plutôt Sélectionner dans une liste d’applications intégrées ou encore Personnalisé.

Règle Firewall ports Applications sélectionnées

Puis dans la liste proposée choisissez les applications qui seront accessibles depuis le net. Par exemple : DSM, Photo Station, CloudStation,…

Sélection applications

IP source

Pour la partie IP, vous avez le choix :

  • Rester sur Tous. Toutes les adresse IP pourront alors se connecter aux applications précédemment sélectionnées.
  • Choisir IP spécifique. Mais ce choix me semble peu pertinent. En effet, il peut être compliquer de connaître toutes les adresse IP du net pouvant avoir accès à votre NAS. Et certaines peuvent changer.
  • Ou choisir Emplacement. Cela vous permettra de choisir un ou plusieurs pays depuis le(s)quel(s) la connexion vers le NAS sera possible. Ainsi, si un ordinateur n’a pas une IP d’un des pays sélectionnés, il ne pourra pas accéder à votre serveur. Ce choix peut être intéressant pour plus de sécurité si vous avez un usage privé de votre Synology…

Règle IP source emplacement

Vous pouvez faire une recherche pour trouvez plus facilement les pays à ajouter :

Action

Enfin, pour l’action, choisissez Autoriser.

Règle action Autoriser

 

Et terminez en faisant OK.

Règles pour refuser des connexions entrantes

Les règles décrites précédemment peuvent suffire à gérer les connexions entrantes vers votre Synology. Mais vous pouvez faire aussi le choix de bloquer certains types de connexions entrantes plutôt que de lister celle autorisées. Par exemple plutôt que de lister les pays autorisés à se connecter, vous pouvez faire le choix inverse en bloquant certains pays. Voici comment faire :

Ports

Sélectionnez Tous pour refuser complètement l’accès.

IP source

Choisissez Emplacement. Et ajoutez les pays à bloquer.

Action

Cette fois, pour l’action, choisissez Refuser.

Firewall Synology - Règle action refuser

 

Et terminez en faisant OK.

Réorganiser les règles

Pour réorganiser les règles, il suffit de les sélectionner en cliquant sur  et de les déplacer vers le haut ou le bas par glisser-déposer.

Firewall Synology - Déplacement règle

Supprimer une règle

Pour supprimer une règle, sélectionner là et cliquer sur le bouton Supprimer.

Firewall Synology - supprimer règle

Sauvegarder les règles

Pour enregistrer les règles définies, faites OK dans la fenêtre de modification du profil. Un message vous confirme alors l’enregistrement :

Firewall Synology - Enregistrement paramètres

Pour aller plus loin

Articles en relation

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.