Classement

C'est effectivement le minimum à faire (limiter au pays de résidence). Selon les usages externes on peut réduire drastiquement les accès (ce que je fais). Mais c'est du cas par cas, et les réseaux ne sont pas toujours évidents à identifier (bgpview.io et les logs de connexion de DSM/SRM aident grandement à affiner les réseaux). Ça m'a par exemple permis de définir les réseaux suivants (en gras) pour Free mobile : 37.160/12 (non affiné, un partie est utilisée pour Free mobile en Italie 🇮🇹) 37.164/14 37.168/14 37.172/15 2a0d:e480::/29 (non affiné) 2a0d:e487::/35 Ou pour Orange mobile : 92.128/10 (non affiné) 92.184.96/19 2a01:cb04::/30 (non affiné) Pour voir les authentifications réussies, vous pouvez parcourir les logs de connexion de DSM avec SQLite (en root). La commande suivante va afficher les 10 dernières authentifications réussies : # sudo sqlite3 -header -column /var/log/synolog/.SYNOCONNDB "SELECT strftime('%Y-%m-%d %H:%M:%S',datetime(time,'unixepoch')) AS datetime,msg AS message FROM logs WHERE msg LIKE '% logged in successfully % ' ORDER BY time DESC LIMIT 10;" Tout comme @MilesTEG1, ça fait longtemps que je n'ai pas vu de tentative d'intrusion.

Je fais les tests avec un ping continu vers un NAS en DSM 6. C'est un mauvais test car le ping continu fonctionne même si un blocage a été activé. Il faut stopper le ping continu quelques secondes et le relancer pour constater le blocage. Conclusion : Une règle de blocage dans la section [Global] bloque bien le trafic. Finalement, fausse alerte (cf. ci-dessus). Ça restera malgré tout une bonne pratique.