PiwiLAbruti

Il faudra très probablement investir dans un switch PoE lors du déménagement.

Le câble est bon, le problème peut aussi venir du câblage sur les prises murales. Chez moi c’etait du Cat6 câblé en téléphone uniquement, j’ai dû câbler le tout sur des noyaux RJ45.

Et pour le suivi des failles traitées par Synology : https://www.synology.com/en-global/support/security

Je ne vois pas exactement de quoi tu parles, mais je suppose qu'il s'agit de l'unité d'allocation ? Le choix de cette valeur dépend de l'utilisation qui sera faite de la LUN. Plus généralement je ne peux que te conseiller de consulter l'aide de Synology, il y a souvent les réponses aux questions générales : Source : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/StorageManager/iscsilun

Tu as déjà entendu parler de zone master et de zone slave ? https://www.synology.com/fr-fr/knowledgebase/DSM/help/DNSServer/dns_server_zone_mng Sinon ça risque de devenir compliqué...

Le DNS primaire pourrait fonctionner sur le routeur et le secondaire sur le NAS, ça augmenterait la disponibilité du service DNS sur ton réseau.

Sur le routeur, tu n'as pas besoin de le bloquer explicitement le port udp/1701 puisque la règle par défaut s'en chargera. Pourquoi utiliser le serveur VPN du NAS alors que le routeur peut s'en charger ? (c'est d'ailleurs plus son rôle)

Dans le cas de l'utilisation du serveur VPN du routeur Synology (VPN Plus Server), il me semble qu'il faille autoriser les adresses locales (au moins le range IP VPN client) à accéder au port udp/1701 ?

DLNA sert à mettre à disposition du contenu multimédia en lecture uniquement. Le périmètre de diffusion est limité au réseau local.

Faut pas s’offusquer avec le changement de titre, regarde mon pseudo Dès qu’on aborde le sujet de la confidentialité des données, le chiffrement devient vite incontournable. Synology propose les outils qu’il faut pour l’assurer.

Et ça suffit à ce que la faille soit inexploitable ? (jusqu'à ce que Synology sorte un correctif)

Ça m’inspire que tu devrais en dire plus sur l’exploitation de cette faille. Quel est le service/protocole attaqué ?

Autre détail, le Synology relié en USB à l’onduleur peut faire office de serveur UPS pour signaler l’état de l’alimentation aux autres NAS. Ainsi, tous les NAS peuvent éteins proprement en cas de coupure électrique prolongée.

Pour vérifier que le paquet WoL est bien envoyé par le NAS, vous pouvez utiliser la commande tcpdump via SSH : user@DiskStation:~# tcpdump udp port 7 or udp port 9 -Anq Cette commande affichera tous les paquets réseau envoyés ou reçus sur les ports udp/7 ou udp/9.

La règle de blocage peut être facultative, par contre il faut impérativement bloquer le trafic par défaut pour chaque interface.

Il y a 3 réseaux distincts : - La Freebox, - La 4G Box, - Le routeur. À quoi sert le routeur ?

Ta règle dit simplement qu'elle autorise tout ce qui vient de France, et rien d'autre. As-tu remarqué la liste déroulante en haut à droite ?

Le port 5000 est également à proscrire car : C'est le port par défaut (facile à identifier par les scanners), Le traffic échangé sur ce port n'est pas chiffré (données en clair dont les mots de passe), En te connectant au préalable en VPN. Pour la configuration, tu peux suivre ce tutoriel :

Donc ce n'est pas un NAS qu'il te faut... ... et ça se confirme. Pour ce type d'utilisation il te faut un DAS (interne ou externe) avec un/des SSD capable(s) d'atteindre ce débit. Oublie les disques durs, les IOPS ne suivront pas. Il faut dimensionner cet espace de stockage en fonction de la taille des projets sur lesquels tu travailles, et prévoir un autre espace de stockage moins performant pour l'archivage (un NAS avec des disques pourrait faire l'affaire).

Déjà, il vaut mieux utiliser le port tcp/443 pour chiffrer les communications. Pour le reste de la sécurité, le pare-feu suffit à restreindre la surface d’exposition.

Oui mais c’est plus général que ça (ça ne se limite pas au navigateur que je n’utilise d’ailleurs pas pour les mails). Par exemple imap.domain.tld se résout en l’adresse IP publique en externe (via les erreurs DNS de mon registrar), et en l’adresse IP privée du NAS en interne (via DNS Server). Il me semblait pourtant que c’etait un point que @Fenrir a déjà éclaircit plusieurs fois. Crée un alias de ta boîte pour les rapports DMARC. Comme ça tu peux le supprimer par la suite si tu ne veux plus recevoir ces rapports.

D’où l’interet de planifier les mises à avec des délais conséquents. Les seules mises à jour que je laisse en automatique sont celles de sécurité. Tout le reste est mis à jour avec un décalage suffisant afin d’eviter les désagréments. Par exemple, j’attends la sortie de DSM 6.2 pour migrer la production sous 6.1. Aucun paquet en version bêta n’est utilisé en production.

L’intérêt du serveur DNS en local est de pouvoir utiliser les mêmes noms qu’en externe mais avec des adresses IP locales. Je l’utilise notamment pour mes clients mail et c’est totalement transparent que j’utilise mon serveur en local ou à distance.

Avec un seul gros volume, tous les disques vont travailler à la moindre lecture ou écriture et auront la même usure mécanique. Dans ce cas, et vu la taille et le nombre de disques, un RAID6/SHR2 est fortement recommandé. Par expérience, si un disque lâche sur une grappe de ce type, il y a de fortes chances pour qu'un deuxième fasse de même pendant la longue reconstruction. Sinon, il est possible de séparer les activités les plus gourmandes en IOPS en créant des groupes de disques (en supposant que la partie perso est beaucoup moins discovore que le reste) : Un groupe n°1 RAID1/SHR sur 2 disques pour les données perso (du coup les disques de 4To sont sur-dimensionnés pour 250Go de données à +50Go/an, à moins de garder la bestiole en service pendant plus de 70 ans). Un groupe n°2 avec les 6 disques restants en RAID5/SHR1 pour les données peu importantes non-sauvegardées. Si tes sauvegardes sont suffisamment solides (2 sauvegardes distinctes minimum) et que la disponibilités des données perso n'est pas une priorité absolue, tu peux même n'utiliser qu'un seul disque dans le groupe n°1 et intégrer le 2ème disque au groupe n°2. Au delà, c'est une histoire de goûts et de couleurs. J'espère que tu as également investi dans un onduleur.

On va partir de tes besoins : Selon le volume que représente ces données, leur vitesse de croissance, et le besoin en disponibilité, tout est envisageable (volume simple, RAID1, RAID5, SHR, ...). Même remarque qu'au dessus. Aucun souci normalement. À voir avec ceux qui utilisent déjà des VM Windows. Une adresse IP fixe est obligatoire pour l'hébergement d'un serveur mail, sinon les mails arriveront systématiquement en spam (ou pas du tout) chez les destinataires.