🛡️ Configuration d'un firewall sur un NAS Synology
Les modems de nos opérateurs n'ayant pas de firewall complet permettant de protéger de manière matériel et logiciel notre réseau local, la configuration d'un pare-feu est l'une des tâches de sécurité les plus importantes qu'on peut effectuer sur un NAS. Il ne s'agit pas simplement de "cocher des cases", mais d'appliquer le principe du Moindre Privilège.
I. Comprendre les Fondamentaux (Le Pourquoi)
Avant de toucher aux réglages, il faut comprendre ce qu'est un firewall (pare-feu) et comment il fonctionne dans le contexte réseau.
💡 Qu'est-ce qu'un firewall ?
C'est une barrière logique qui filtre tout le trafic entrant ou sortant de votre NAS. Il agit comme un portier ultra-sécurisé, décidant pour chaque paquet de données (chaque connexion) s'il a le droit d'entrer ou s'il doit être bloqué.
🌐 Le Principe du Moindre Privilège
La règle d'or : Ne jamais autoriser un service ou un port si vous n'en avez absolument pas besoin. Si un utilisateur a a juste besoin de transférer des photos, ne lui donnez pas le droit d'accéder à la console SSH.
🛑 Le point de départ (La règle par défaut)
Le pare-feu Synology doit être configuré pour bloquer tout trafic entrant par défaut. Vous devez ensuite créer uniquement les règles nécessaires pour que le NAS fonctionne correctement.
II. Guide Étape par Étape sur Synology
⚙️ Où trouver le réglage ?
- Ouvrez Panneau de configuration (Control Panel).
- Allez dans Sécurité ou cherchez directement Pare-feu (Firewall).
- Cliquez sur l'onglet/section Pare-feu.
🎯 Les Étapes Cruciales de la Configuration :
🛠️ Guide Pratique : Remplir la Matrice du firewall
Le secret pour utiliser ce pare-feu est de comprendre que l'ordre des règles est crucial et que le système lit les règles de haut en bas. La première règle qui correspond au trafic entrant décide si celui-ci est autorisé ou non.
📐 Préparation Initiale (La Règle Fondamentale)
Avant d'ajouter quoi que ce soit, vous devez toujours considérer l'état par défaut. Le meilleur pare-feu doit avoir une logique de "refuser tout" à la fin. Si Synology ne le fait pas automatiquement, il faut créer explicitement :
- Règle Finale (Doit être en bas) :
- Actif : Oui
- Ports : Tous
- Protocole : TCP/UDP (Tous)
- IP Source :
0.0.0.0/0(Tout le monde, ou "Any") - Action : Refuser / Reject
🌐 Scénario A : Accès Externe Sécurisé (WAN - Internet)
Ceci est la manière dont vous accédez à votre NAS depuis un café, votre téléphone en déplacement, etc. Le VPN est la seule réponse de niveau expert.
Règle A1 : Le Tunnel VPN (Priorité)
Vous devez d'abord autoriser le protocole que vous utilisez pour sécuriser l'intégralité de votre connexion (OpenVPN, WireGuard, etc.). C’est cette règle qui doit être la plus haute.
- Objectif : Permettre à ma machine accédée depuis Internet d'entrer dans mon réseau local en toute sécurité.
- Actif : Oui
- Ports : Si possible le port spécifique du VPN (Ex: UDP 1194)
- Protocole : UDP (ou TCP, selon votre configuration)
- IP Source :
10.0.0.0/255.0.0.0(les IP provenant de VPN sont généralement de cet ordre). - Action : Autoriser / Allow
Règle A2 : Accès Web Externe (Seulement si nécessaire et mal sécurisé)
Si, pour une raison de compatibilité ou de simplicité, vous devez accéder à l'interface DSM sans VPN. Ceci est un risque de sécurité !
- Objectif : Autoriser le navigateur web depuis Internet.
- Actif : Oui
- Ports : 443 (HTTPS)
- Protocole : TCP
- IP Source :
0.0.0.0/0(Tout le monde) ou Emplacement pour restreindre les IP à une localisation particulière (exemple: France) - Action : Autoriser / Allow
🏡 Scénario B : Accès Local (LAN - Dans ma maison/bureau)
Ces règles sont utilisées pour les communications internes qui ne devraient jamais être exposées directement sur internet. Vous avez ici l'avantage de pouvoir limiter l'IP source au sous-réseau de votre réseau domestique (ex: 192.168.1.0/24 ou 192.168.1.0 avec le masque de sous réseau 255.255.255.0).
Règle B1 : Accès Fichiers Local SMB (Exemple pour un service)
- Objectif : Permettre à mon PC local d'accéder aux dossiers partagés.
- Actif : Oui
- Ports : 445 (ou les ports SMB/CIFS utilisés par votre réseau, souvent plusieurs).
- Protocole : TCP
- IP Source : Le sous-réseau local (
192.168.1.0/24) - Action : Autoriser / Allow
Règle B2 : Accès de la Caméra IP (Exemple d'appareil critique)
Si vous avez une caméra qui doit envoyer des données au NAS pour sauvegarde, ne laissez pas le port ouvert à tous les appareils du LAN. Limitez-le à son IP spécifique.
- Objectif : Autoriser uniquement ma caméra IP de sauvegarder des données sur le NAS.
- Actif : Oui
- Ports : Le port utilisé par la caméra (Ex: 554 pour RTSP)
- Protocole : TCP ou UDP
- IP Source : L'adresse IP statique de votre caméra (
192.168.1.70) - Action : Autoriser / Allow
⚠️ Synthèse et Méthodologie à Suivre (Checklist)
Voici l'ordre idéal des règles dans l'interface Synology :
| Ordre | Objectif de la Règle | Ports/Protocole | IP Source Recommandée | Action | Notes d'Expert |
|---|---|---|---|---|---|
| 1 | 🟢 VPN ENTRANT (Le plus important) | Port VPN / Prot. | 0.0.0.0/0 |
Autoriser | Doit être la règle la plus haute. Sécurité maximale. |
| 2 | 🟡 ACCÈS WEB EXTERNE (Si nécessaire) | 443/TCP | 0.0.0.0/0 |
Autoriser | Risque élevé. Utiliser uniquement si absolument indispensable. |
| 3 | 🟢 ACCÈS LOCAL CRITIQUE A (Ex: Sauvegarde Caméra) | Port Spécifique / Prot. | IP Statique de l'appareil (192.168.1.x) |
Autoriser | Limitez toujours la source au minimum nécessaire. |
| 4 | 🟢 ACCÈS LOCAL CRITIQUE B (Ex: Station de Travail) | Port Spécifique / Prot. | Sous-réseau LAN (192.168.1.0/24) |
Autoriser | Limitez au minimum nécessaire pour la fonctionnalité locale. |
| (FIN) | 🛑 BLOCAGE GÉNÉRAL | Tous les ports | 0.0.0.0/0 |
Refuser / Reject | Cette règle garantit que tout trafic non prévu est bloqué par défaut. |
En utilisant ce guide, vous ne faites pas qu'ajouter des règles ; vous construisez un chemin de moindre résistance sécurisé pour votre NAS, en sachant exactement quel champ remplir et pourquoi.
III. Les Règles Clés et Leur Intérêt (Le Savoir-Faire)
Voici une ventilation des services couramment utilisés, de leurs ports standard, et des considérations de sécurité associées.
| Service / Fonctionnalité | Port (Protocole) | Direction Recommandée | Quand l'autoriser ? | Niveau de Sécurité & Astuces d'Expert |
|---|---|---|---|---|
| Accès Web (DSM) | 5000/80 ou 443/TCP | Entrant (WAN) | Si vous accédez à votre NAS de l'extérieur via son adresse IP externe. | Meilleure Pratique : N'ouvrir que le port HTTPS (443), et jamais directement sur le WAN. Utilisez un nom de domaine ou des services VPN pour masquer l'IP. |
| Partage Fichiers (SMB/CIFS) | 139 & 445 (TCP) | Entrant/Sortant | Si vous accédez aux dossiers depuis votre réseau domestique/bureau. | Ne jamais ouvrir ces ports sur le WAN. Le trafic de fichiers doit passer par un tunnel sécurisé (VPN). |
| SSH (Accès distant) | 22 (TCP) | Entrant (WAN) | Très rarement ! Uniquement si vous êtes un administrateur expert et que vous le maîtrisez totalement. | ⚠️ DANGER ÉLEVÉ. Bloquez ce port sur le WAN si possible. Si vous devez l'ouvrir, utilisez obligatoirement des clés SSH et limitez l'accès à votre IP publique spécifique (Source IP). |
| VPN Server | Dépend du protocole (ex: 1194/UDP pour OpenVPN) | Entrant (WAN) | Absolument toujours si vous accédez au NAS de l'extérieur. | C'est la seule façon sécurisée d'accéder à tout votre réseau local. Le VPN encapsule vos données et remplace le besoin d'ouvrir des ports directs pour les services internes. Priorité absolue. |
| Bonjour/Synology | Divers (UDP) | Entrant (WAN) | Si vous utilisez Synology QuickConnect ou si vous voulez que votre NAS soit trouvé sur un réseau invité. | Généralement, laisser le pare-feu gérer cela est suffisant. Ne jamais autoriser sans raison valable. |
IV. Les Meilleures Pratiques de Sécurité Avancée (Ce qu'il faut faire)
Pour passer d'une configuration "fonctionnelle" à une configuration "expert", suivez ces recommandations :
1. Utilisation des Adresses IP Source (Le plus important !)
- Erreur courante : Créer une règle qui dit "Autoriser le port 22 pour tout le monde".
- Correction Experte : Ne jamais autoriser ou bloquer un port uniquement par son numéro, mais combiner (Protocole) + (Port) + (Source IP).
Exemple de Règle Sûre : "Autoriser l'accès SMB sur le réseau local (LAN), mais uniquement si la source est mon ordinateur portable (IP 192.168.1.50)." Cela rend votre NAS résistant aux attaques provenant d'autres appareils connectés au même routeur.2. Privilégier le Tunneling Sécurisé
Jamais de service critique sur le WAN sans tunnel. Si vous devez accéder à des fichiers ou à l'interface web depuis chez vous, utilisez toujours un VPN. Le VPN crée un "tunnel chiffré" qui sécurise toutes les communications et réduit drastiquement la surface d'attaque.
3. La Stratégie du Blocage Global
Si votre NAS doit être accessible par de nombreux services ou utilisateurs différents dans le temps, il est plus simple de :
- Bloquer tout (le défaut).
- Créer une règle VPN (la plus prioritaire).
- Ajouter les exceptions uniquement pour les périphériques critiques et bien définis (ex: la caméra IP qui doit accéder au NAS pour sauvegarder des médias, en limitant l'IP source de cette caméra).
4. Mise à Jour du Système d’Exploitation
Le pare-feu n'est qu'une partie de l'équation. Assurez-vous que le DSM et tous les paquets installés sont constamment mis à jour pour combler toutes les vulnérabilités découvertes par des tiers.
📋 Récapitulatif Rapide (Checklist Sécurité)
| ✅ Fait | ❌ À Éviter Absolument |
|---|---|
| ✓ Le pare-feu est activé. | 🚫 Ouvrir les ports SSH ou SMB directement sur le WAN. |
| ✓ J'utilise le VPN pour l'accès extérieur. | 🚫 Laisser des services inutilisés (ex: vieux protocoles de partage). |
✓ Les règles sont basées sur l'IP Source (192.168.x.y) et non seulement le port. |
🚫 Accepter les réglages par défaut sans vérification critique. |
Si vous suivez cette approche méthodique, en privilégiant la sécurité du tunnel VPN et le principe de moindre privilège dans toutes vos règles, votre Synology sera configuré avec un niveau de protection très élevé. N'hésitez pas si vous avez des scénarios d'utilisation spécifiques à me présenter pour affiner les réglages !