PiwiLAbruti

Ce n'est pas le sujet de ce topic qui traite de la sécurité réseau, il vaut mieux traiter cette question dans un autre/nouveau sujet. Tu peux bloquer le trafic indésirable dans le pare-feu du NAS. La question n'est pas de savoir quelles sources il faut bloquer mais celles qu'il faut autoriser et bloquer tout le reste par défaut. Si j'ai bien compris, il n'y a besoin que d'un accès à DSM et à Hyper Backup pour recevoir les sauvegardes d'un autre NAS ? Les services qui ne sont pas utilisées doivent être désactivés. Mais ce n'est pas suffisant au niveau sécurité, il faut impérativement configurer un pare-feu en amont et/ou directement sur le NAS. Ces services répondront aux sollicitations des sources autorisées dans le pare-feu.

Beh non, reste donc, j'ai du gâteau ! 🥳

C'est tout de même étrange. Si on résume : WAN1 et WAN2 connectés (WAN1 par défaut) : Envoi de mail H.S. WAN1 connecté et WAN2 déconnecté : Envoi de mail Ok. WAN1 déconnecté et WAN2 connecté : ? (si ça ne fonctionne, pas essaye avec une configuration SMTP Orange) Es-tu certain que WAN1 est bien utilisé par défaut lorsque les deux ports WAN sont connectés ? (ça peut se vérifier directement sur le RT2600ac avec un traceroute pour vérifier la passerelle utilisée)

Oui, tu peux, même si ce n'est pas le schéma idéal.

Oui, en passant par la connexion de la Freebox.

La 4G box ne fournirait pas d'adresse IP à ses clients connectés en filaire ou Wi-Fi ? Ça m'étonnerait. Il faudra configurer les deux box sur le même réseau, désactiver le serveur DHCP de la Freebox, et définir la passerelle manuellement sur le NAS pour qu'il accède à internet par la Freebox.

Chez Free c'est smtp.free.fr, port 587, TLS/SSL activé, et un compte Free valide (utilisateur et mot de passe).

Et pour finir, peu importe que le groupe de stockage du NAS tombe en panne et perde toutes les données. La seule chose qui importe est d'avoir une (ou plusieurs) sauvegarde(s) à jour des données importantes. Tout le reste n'a aucune importance.

Certainement pas, surtout qu'il fonctionne bien en USB3 sur un port arrière. Le support N1 est magique, et c'est pareil en environnement pro à quelques rares exceptions près.

Est-ce que les deux box font office de serveur DHCP ? Quels est l'adressage privé de la Freebox et de la 4G Box ? (adresse, masque, passerelle, DNS, ...)

Tu as dû créer un SHR sur 3 disques (RAID5), à confirmer. Un disque hot spare ne peut pas appartenir à un groupe. Si tu veux retirer un disque de ce groupe pour le configurer en hot spare, il va falloir supprimer le groupe pour le remonter en SHR sur deux disques (RAID1). /!\ Attention, cette action va supprimer toutes les données du volume.

Étrange l'arborescence des ports USB, je n'ai pas du tout la même chose sur un DS718+ qui dispose de 3 ports USB (1 en façade, 2 à l'arrière) : |__usb1 1d6b:0002:0404 09 2.00 480MBit/s 0mA 1IF (Linux 4.4.59+ xhci-hcd xHCI Host Controller 0000:00:15.0) hub |__1-4 f400:f400:0100 00 2.00 480MBit/s 200mA 1IF (Synology DiskStation 6500773067E41671) |__usb2 1d6b:0003:0404 09 3.00 5000MBit/s 0mA 1IF (Linux 4.4.59+ xhci-hcd xHCI Host Controller 0000:00:15.0) hub |__usb3 1d6b:0002:0404 09 2.00 480MBit/s 0mA 1IF (Linux 4.4.59+ etxhci_hcd-170202 Etron xHCI Host Controller 0000:02:00.0) hub |__3-2 0463:ffff:0100 00 2.00 1.5MBit/s 20mA 1IF (EATON Ellipse ECO 000000000) |__usb4 1d6b:0003:0404 09 3.00 5000MBit/s 0mA 1IF (Linux 4.4.59+ etxhci_hcd-170202 Etron xHCI Host Controller 0000:02:00.0) hub Le port usb1 doit être un port interne au NAS, directement câblé au contrôleur. Les ports usb[2-4] représentent bien les 3 ports physiques. Le port où est connecté l'onduleur est négocié en USB 2.0 (normal), et les ports non-utilisés sont en USB 3.0 par défaut. @niklos0 : Quel est le résultat de la commande lsusb lorsque le port en façade n'est pas utilisé ? (il n'apparaît pas sur la deuxième capture (en 1-3).

Ou la désactiver, comme ça elle n'apparaît même pas dans les requêtes HTTP.

Non. Historiquement, cet en-tête sert à indiquer le nom et la version du serveur HTTP. Cette valeur n'a rien de fonctionnel. Il s'avère que donner de telles informations permet à des vilains hackers de cibler directement les attaques possibles sur le serveur et de le compromettre en peu de temps. Donc n'importe quelle valeur farfelue est la bienvenue (ou aucune). Plus d'information : https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Server

Une broutille au §IV Hypothèses : Et une autre au §V Installation : Tel qu'on le lit, [Ctrl]+[O] servirait à fermer l'éditeur de texte. Ça risque de perturber les novices.

Mail-Tester donne uniquement l'adresse IP qu'il trouve dans l'en-tête Received du mail. Comme il existe un enregistrement SPF chez Free (contrairement à Orange), il suffit de l'ajouter à ton SPF : include:_spf.free.fr Pour trouver cet enregistrement, il suffit de résoudre les enregistrement TXT du domaine ciblé : > nslookup -type=TXT free.fr free.fr text = "v=spf1 include:_spf.free.fr ?all" Pour voir les adresse IP utilisées, il faut résoudre l'enregistrement inclus : > nslookup -type=TXT _spf.free.fr _spf.free.fr text = "v=spf1 ip4:212.27.42.1 ip6:2a01:e0c:1:1599::10 ip4:212.27.42.2 ip6:2a01:e0c:1:1599::11 ip4:212.27.42.3 ip6:2a01:e0c:1:1599::12 ip4:212.27.42.4 ip6:2a01:e0c:1:1599::13 ip4:212.27.42.5 ip6:2a01:e0c:1:1599::14 ip4:212.27.42.6 ip6:2a01:e0c:1:1599::15 ip4:212.27.42.9 ip6:2a01:e0c:1:1599::18 ip4:212.27.42.10 ip6:2a01:e0c:1:1599::19 -all" On y retrouve d'ailleurs les adresses indiquées par Mail-Tester.

C'est surprenant qu'ils conseillent d'entrer des adresses IP plutôt qu'un enregistrement A (ou AAAA) qui regroupe toutes ces adresses. D'un autre côté tu ne devrais avoir qu'à ajouter un include:_spf.orange.fr mais cet enregistrement n'existe pas. Donc le principal problème reste Orange. C'est simple, il n'y a pas de notation CIDR équivalente. Chaque adresse doit être définie individuellement. J'aurais tendance à créer un enregistrement dédié pour les adresses IP Oranges : spf-orange.domain.tld text="v=spf1 ip4:80.12.242.123 ip4:80.12.242.124 ... ip4:80.12.242.133 ip4:80.12.242.134" et à l'inclure au SPF existant : v=spf1 mx include:spf-orange.domain.tld include:mx.ovh.com -all

Il n'y a toujours pas de SPF sur le domaine orange.fr ?! (ni sur wanadoo.fr d'ailleurs) > nslookup -type=TXT orange.fr orange.fr text = "google-site-verification=wVfmItsRg98bVMcfUEzmeLzPIkoxoD2yHupbXNHa76M" orange.fr text = "facebook-domain-verification=z5whlxjhtfyfgqgchltv10zt2rebiz" orange.fr text = "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y" orange.fr text = "google-site-verification=9xjSUpzPfzPK-jOBA3a4tFB3I_yybuVsWQ4QjMRrKfk" L'enregistrement smtp.smtpout.orange.fr renvoie bien les adresses IP des serveurs sortants : > nslookup smtp.smtpout.orange.fr smtp.smtpout.orange.fr 80.12.242.126 80.12.242.125 80.12.242.124 80.12.242.123 80.12.242.134 80.12.242.133 80.12.242.132 80.12.242.130 80.12.242.129 80.12.242.128 80.12.242.127 Les parties ip4:80.12.242.123/29 et ip4:80.12.242.128/29 de ton SPF sont donc redondantes (en plus d'être trop permissives : [120-135] au lieu de [123-134]) avec a:smtp.smtpout.orange.fr qui contient déjà les adresses strictement nécessaires. Il vaudrait mieux les retirer. Si tu as terminé de configurer ton serveur mail, et que tout fonctionne correctement, il faut passer ~all à -all. -------- Mise à jour du 19/09/2022 : Orange a créé des enregistrements SPF pour ses domaines orange.fr et wanadoo.fr 🍾🥂🥳 > nslookup -type=TXT orange.fr orange.fr text = "v=spf1 include:_spf_gp.orange.fr include:spf.email-control.orange-business.com include:_spf_gpf.orange.fr include:_spf_other.orange.fr ?all" > nslookup -type=TXT wanadoo.fr wanadoo.fr text = "v=spf1 include:_spf_gp.wanadoo.fr include:spf.email-control.orange-business.com include:_spf_gpf.wanadoo.fr include:_spf_other.wanadoo.fr ?all" Par contre, les réseaux autorisés peuvent être (très) larges, et certaines parties de ces enregistrements ne sont pas pertinentes pour l'usage qu'on en a ici (Orange Business, ...). Si vous souhaitez ajouter le SPF Orange dans votre propre enregistrement, ajoutez simplement : include:_spf_gp.orange.fr _spf_gp.orange.fr et _spf_gp.wanadoo.fr sont identiques, donc utilisez celui que vous voulez mais pas les deux. Ces derniers pointent vers les réseaux suivants : 80.12.242.0/25 80.12.242.128/29 193.252.23.210/31 193.252.23.212/30 193.252.23.66 193.252.22.0/25 193.252.22.210/31 193.252.22.212/30 Au passage, l'enregistrement smtp.smtpout.orange.fr a également changé et contient plus d'adresses qu'auparavant ([11-30], [50-53], [123-135]) : > nslookup smtp.smtpout.orange.fr Addresses:80.12.242.11 80.12.242.12 80.12.242.13 80.12.242.14 80.12.242.15 80.12.242.16 80.12.242.17 80.12.242.18 80.12.242.19 80.12.242.20 80.12.242.21 80.12.242.22 80.12.242.23 80.12.242.24 80.12.242.25 80.12.242.26 80.12.242.27 80.12.242.28 80.12.242.29 80.12.242.30 80.12.242.50 80.12.242.51 80.12.242.52 80.12.242.53 80.12.242.123 80.12.242.124 80.12.242.125 80.12.242.126 80.12.242.127 80.12.242.128 80.12.242.129 80.12.242.130 80.12.242.131 80.12.242.132 80.12.242.133 80.12.242.134 80.12.242.135 Je n'utilise pas les serveurs SMTP d'Orange, mais cette solution est plus propre que celle donnée précédemment. Tu peux mettre à jour ton enregistrement SPF @oracle7 😉.

@oracle7 Quelle plage d'adresses IP Orange as-tu renseignées dans ton SPF ?

Je n'avais même pas fait attention que MailPlus Server savait le faire. J'étais persuadé qu'il ne proposait pas de définir un SMTP en fonction des adresses/domaines utilisés. Merci pour la découverte ! Quelles adresses Free as-tu renseignées dans le SPF ? ---- J'ai paramétré une exception pour forcer les domaines Microsoft (outlook.com, hotmail.fr, hotmail.com, ...) à passer par le SMTP de Free (tout le reste étant envoyé directement depuis MailPlus Server), ça fonctionne parfaitement.

Un moyen, oui (enfin je crois). Simple, ça dépend 😅 Il faut passer par SSH pour exécuter une requête SQL afin de remplacer le champ user de la table download_queue de la base de données download de la base de données interne de DSM (PostgreSQL). Pour voir toutes les tâches de téléchargement avec leurs propriétaires respectifs : user@diskstation:~$ sudo -u postgres psql -d download -c "SELECT username,filename FROM download_queue;" Pour changer le propriétaire des tâches dont l'utilisateur admin est propriétaire : 1. Arrêter le paquet Download Station dans le Centre de paquets. 2. Remplacer le propriétaire des tâches dont le propriétaire actuel est admin par user (remplacer user par votre utilisateur) : user@diskstation:~$ sudo -u postgres psql -d download -c "UPDATE download_queue SET username='user' WHERE username='admin';" 3. Démarrer le paquet Download Station dans le Centre de paquets.

Est-ce important ? Oui pour le simple fait d'être autonome 🤓 Est-il malgré tout pertinent d'utiliser un intermédiaire pour éviter les désagréments ? Oui aussi 😅 Ça reste vraiment une question de choix personnel. Je suis également chez Free avec un reverse fonctionnel, mais ça va bientôt changer et je serai confronté à ce choix. Pour l'instant je pense passer chez MailJet car mes volumes d'envoi sont très faibles.

Pour moi non, mais je suis loin d'être une référence (même si le joyeux botnet qui grossit passivement actuellement en France mériterait un peu de considération). C'est suffisant pour le commun des mortels et surtout facile à mettre en place. Il faut regarder du côté des allocations des adresses IP au RIPE NCC (le seul RIR à diffuser des données détaillées en libre accès), mais ce n'est pas à la portée de tout le monde. Par exemple, on peut délimiter le réseau IPv4 de Free Mobile avec un simple 37.160/12, voir moins avec une liste exhaustive des adresses réellement attribuées aux abonnés. Je devrais ouvrir un blog pour regrouper toutes ces informations, mais je peur de rendre des personnes actuellement saines d'esprit encore plus paranoïaques que je ne le suis déjà 😅

Donc attention à ne pas confondre le blocage du port tcp/25 sortant avec les règles NAT/PAT. Ce sont deux choses distinctes qui ont rien à voir. Concernant la sécurité des ports 25, 465, 587, et 993 (tous en tcp uniquement), seul le port 25 nécessite d'être ouvert au monde entier pour recevoir les mails. Tous les autres ports peuvent être restreints à la sécurité appliquée aux clients de messagerie.

Bloqué, oui, mais que dans le sens sortant pour les raisons que j'ai déjà évoquées. Dans ce cas, je rejoins le questionnement de @.Shad.. Comment se passe la réception de mails sur MailServer Plus ? Si un serveur SMTP veut envoyer un mail à ton NAS, il interroge ton domaine pour connaître le serveur MX qu'il doit contacter. À partir de là, le serveur SMTP de l'expéditeur essaye de se connecter au port tcp/25 de l'adresse IP résolue par le nom d'hôte renseigné dans l'enregistrement MX. Donc il faut bien que le port tcp/25 soit redirigé vers ton NAS, sinon il n'y a aucune chance que tu puisses recevoir de messages sur les adresses mail appartenant à ton domaine. C'est d'ailleurs ce que dit PhilDur, en mélangeant l'explication avec le point de vue opérateur ce qui induit les utilisateurs en erreur (je peux détailler ce qu'il a dit si besoin).