Comment activer et configurer le Firewall du Synology

Votre NAS Synology est accessible depuis Internet… Pour plus de sécurité, voici comment activer et configurer le Firewall du Synology.

Le tutoriel est fait sur DSM 6.x, mais le principe reste le même pour les versions antérieures. Seule l’interface change.

Introduction

Qu’est que le Firewall du Synology

Le Firewall (pare-feu en français) du Synology est un logiciel qui permet de définir des règles de sécurité autorisant ou non différents les connexions entrantes vers le NAS.

Par défaut, sur un NAS Synology, il n’est pas actif. Aussi, si ce dernier n’est pas accessible depuis Internet :

  • connecté à un réseau sans d’accès à internet
  • ou sur une box ou un routeur n’ayant aucun port ouvert manuellement ou par UPnP vers le NAS

ce n’est pas important. Par contre, s’il l’est, l’activer et le configurer devient absolument nécessaire pour augmenter la sécurité de votre serveur.

Qu’est qu’une règle de sécurité dans le Firewall du Synology

Une règle de sécurité dans le Firewall du Synology se définit par trois éléments :

  • le port (1). Il permet d’identifier un flux de donnée ou une application
  • l’IP source (2). D’où provient le flux ou l’application. Cette information pour plus de commodité peut être aussi sous forme de plage d’adresses.
  • et l’action (3). Dans le Firewall du Synology deux sont possibles : Refuser ou Accepter la connexion entrante

Règle Firewall Synology

warning Aussi, l’ordre des règles a son importance. En effet, pour une connexion entrante, le Firewall cherche une correspondance dans la liste des règles en commençant par le haut. Et dès qu’il trouve une correspondance, il traite la règle et ne passera pas aux suivantes. Donc les plus restrictives (par exemple, refuser la connexion pour une IP spécifique) et prioritaires doivent se retrouver en premier. Heureusement, vous pourrez réorganiser vos règles facilement une fois déclarée.

Activer le Firewall du Synology

Pour activer le Firewall, connectez vous depuis votre navigateur web à l’interface d’administration (DSM) de votre NAS. Puis dans DSM, allez dans le panneau de configuration.

Accès panneau de configuration du Synology

Si ça n’est pas encore le cas, passez en Mode avancé pour voir toutes les options.

Synology - panneau de configuration mode avancé - Sécurité

Puis allez dans sécurité, onglet Pare-feu.

Firewall Synology - accès

Cochez la case Activer le pare-feu (1). Choisissez ou créez un profil ou restez sur celui par défaut (2) et faites Appliquer (3) pour rendre le Firewall actif.

Alors, une indication (profil actif) apparaît à coté du profil sélectionné et indique, ainsi, que le Firewall est bien en fonction.

Profil actif dans le Firewall

Configurer le Firewall du Synology

Maintenant que le Firewall est actif, il faut le configurer en lui ajoutant des règles de sécurité. Nous allons le faire dans le profil par défaut. Mais vous pouvez créer un autre profil qu’il faudra sélectionner et faire Appliquer pour qu’il le rendre actif.

Gestion profil de règle pour le Firewall

Donc pour ajouter des règles, cliquez sur le bouton Modifier les règles.

Modifier les règles d'un profil du Firewall

Règle n°1 : Refuser les connexions entrantes si elles ne respectent pas les autres règles

Si je parle de cette règle en premiers c’est pour être sûr qu’elle ne sera pas oubliée, bien qu’en faite, elle pourrait être déclarée en dernier.

warning Aussi, si vous la déclarez en premier, il ne faut surtout pas sauvegarder tant que vous n’avez pas créer une autre règle autorisant au moins un connexion entrante vers DSM.

Cette règle est un peu particulière. En effet, contrairement aux autres règles que nous allons voir par la suite :

  • elle ne s’ajoute pas avec le bouton Créer,
  • elle doit se faire au niveau de chaque interface réseau
  • et elle n’apparaitra pas dans la liste des règles.

Cette règle consiste à interdire de toutes connexions entrantes sur les différentes interfaces réseau de votre Synology si elles ne respectent aucune des autres règles établies. Vous comprenez maintenant pourquoi elle doit s’accompagner obligatoirement d’au moins une règle autorisant une connexion entrante vers DSM (par exemple depuis votre réseau local), sinon vous n’aurez plus accès à votre NAS… Enfin, sachez qu’elle sera traitée après toutes les autres règles déclarées, comme si elle était la dernière de la liste.

Donc pour créer cette règle, choisissez une interface réseau de la liste déroulante (1) et cochez pour Refuser accès (2).

Refuser connexion sur les interfaces réseau du Synology

Puis, répétez l’opération pour chaque interface réseau disponible.

Une manière équivalente de faire est de créer, à la fin de la liste, une règle de refus de toutes connexions entrantes :

Règle refuser toutes les connexions sur tous les ports

Règle n°2 : Autoriser les connexions entrantes de votre réseau local

Précédemment, je vous disais qu’il fallait autoriser au moins une connexion entrante vers DSM. Voici une manière de faire qui par la même occasion permettra d’accèder sans restriction depuis son votre réseau local (en principe sûr, sauf si vous avez laissé votre Wifi ouvert…) à votre NAS. Cela peut être bien pratique pour plus de facilité d’utilisation dans un environnement domestique. Par exemple : pour voir le serveur dans le voisinage réseau de votre ordinateur sans créer une règle spécifique… De plus elle inclut l’autorisation de connexion enrante vers DSM et vous pourrez ainsi administrer votre NAS au moins depuis chez vous…

Pour que la règle soit valable peu importe l’interface raccordée et pour une gestion plus simple, revenez sur Toutes les interfaces. Mais vous pourriez aussi faire le choix de la créer que pour une interface spécifique. Puis cliquez sur le bouton Créer.

Créer une règle de Firewall

Ports

Choisissez Tous pour ne pas avoir de restriction. Sinon faites Sélectionner des applications ou Personnalisé pour entrez les numéros de port à ouvrir.

Firewall Synology - règle ports - tous

IP source

Choisissez IP spécifique puis cliquez sur Sélectionnez.

Firewall Synology - règle autoriser IP source spécifique

Dans la nouvelle fenêtre, sélectionner Sous-réseau. Puis compléter les informations Adresse IP et Masque de sous réseau. Et faites OK.

Réseau local

Si vous ne connaissez pas ces informations, vous pouvez les avoir dans Panneau de configuration > Réseau > Interface réseau et en développant l’interface connectée à votre réseau local puis en recopiant l’adresse IP et le masque.

Information réseau SynologyAussi, à la place de Sous-réseau, vous auriez pu choisir :

  • Hôte unique en spécifiant une adresse IP (par exemple celle de votre ordinateur)
  • ou une Plage d’IP

Action

Sélectionnez autoriser.

Règle action Autoriser

Faites OK pour ajouter la règle.

 

Les plus parano pourront faire un choix différent pour Ports et IP source pour restreindre aussi les accès depuis ce réseau.

Règles pour autoriser les autres connexions entrantes

Ces règles auront pour but d’autoriser l’accès à votre Synology depuis Internet. Vous pouvez en avoir plusieurs qui se complètent. Mais attention à leur ordre.

Ports

Cette fois, il ne faut surtout pas sélectionner Tous. Choisissez plutôt Sélectionner dans une liste d’applications intégrées ou encore Personnalisé.

Règle Firewall ports Applications sélectionnées

Puis dans la liste proposée choisissez les applications qui seront accessibles depuis le net. Par exemple : DSM, Photo Station, CloudStation,…

Sélection applications

IP source

Pour la partie IP, vous avez le choix :

  • Rester sur Tous. Toutes les adresse IP pourront alors se connecter aux applications précédemment sélectionnées.
  • Choisir IP spécifique. Mais ce choix me semble peu pertinent. En effet, il peut être compliquer de connaître toutes les adresse IP du net pouvant avoir accès à votre NAS. Et certaines peuvent changer.
  • Ou choisir Emplacement. Cela vous permettra de choisir un ou plusieurs pays depuis le(s)quel(s) la connexion vers le NAS sera possible. Ainsi, si un ordinateur n’a pas une IP d’un des pays sélectionnés, il ne pourra pas accéder à votre serveur. Ce choix peut être intéressant pour plus de sécurité si vous avez un usage privé de votre Synology…

Règle IP source emplacement

Vous pouvez faire une recherche pour trouvez plus facilement les pays à ajouter :

Action

Enfin, pour l’action, choisissez Autoriser.

Règle action Autoriser

 

Et terminez en faisant OK.

Règles pour refuser des connexions entrantes

Les règles décrites précédemment peuvent suffire à gérer les connexions entrantes vers votre Synology. Mais vous pouvez faire aussi le choix de bloquer certains types de connexions entrantes plutôt que de lister celle autorisées. Par exemple plutôt que de lister les pays autorisés à se connecter, vous pouvez faire le choix inverse en bloquant certains pays. Voici comment faire :

Ports

Sélectionnez Tous pour refuser complètement l’accès.

IP source

Choisissez Emplacement. Et ajoutez les pays à bloquer.

Action

Cette fois, pour l’action, choisissez Refuser.

Firewall Synology - Règle action refuser

 

Et terminez en faisant OK.

Réorganiser les règles

Pour réorganiser les règles, il suffit de les sélectionner en cliquant sur  et de les déplacer vers le haut ou le bas par glisser-déposer.

Firewall Synology - Déplacement règle

Supprimer une règle

Pour supprimer une règle, sélectionner là et cliquer sur le bouton Supprimer.

Firewall Synology - supprimer règle

Sauvegarder les règles

Pour enregistrer les règles définies, faites OK dans la fenêtre de modification du profil. Un message vous confirme alors l’enregistrement :

Firewall Synology - Enregistrement paramètres

Pour aller plus loin

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.