MilesTEG1

Probablement pour que les IP sources soient correctement vues, sinon ça risque d'être l'IP du réseau bridge... (j'ai pas le terme exact en tête pour parler de ça. Mais une IP comme ça : 172.26.0.1

Bonsoir, @.Shad. petit retour, la variable SSMTP_TLS=NO fonctionnait pour gmail c’est étrange… je l’ai passée à YES et ça fonctionne encore. pour ovh , j’ai laissé le port 587 et les deux variables à YES et c’est passé, ça fonctionne 😁 Merci 🙏🏻

Je suis avec iOS 😅 donc je crois que gotify c’est pas pour moi 😅 Ok merci pour les infos, je re testerais avec. J’ai jamais dis que c’était illisible mais que c’était pas pratique du tout…

Bonsoir à tous, Alors j’ai fait je ne sais pas combien de tests avec le fail2ban de crasymax et celui intégré à swag. Le fail2ban de crazy-max : Je peux envoyer des e-mails nativement (il y a ssmtp dans le conteneur et on lui passe des variables d’environnant pour le configurer) Il va bien chercher les différents fichiers dans jail.d. MAIS : tout ce que je mets dans la section DEFAULT de mon jail.local n’est absolument pas pris pour valeur par défaut pour les fichiers .local du jail.d ! Je suis donc obligé de faire du copier coller des paramètres pour l’e-mail, les durées de ban etc… Toutes les prisons que je définie dans le jail.local ne sont pas prises en compte… Pfff… Le fail2ban intégré à SWAG : Je ne peux pas envoyer de mail directement sans modifier la commande de send mail dans un fichier sendmail-common.local (copie du .conf). Tout ça parce que ce conteneur (swag) n’inclue pas ssmtp… Impossible de faire prendre en compte les fichiers .local dans le dossier jail.d… c’est comme s’ils n’existaient pas … MAIS : la section DEFAULT semble garder les valeurs pour toutes les prisons qui suivent… les prisons définies dans ce jail.local sont bien prise en compte. Purée que c’est lourd… Bref, verdict, le fail2ban inclus dans SWAG me semble pas du tout identique (pour ne pas dire moisi) à celui fourni par l'image de Crazy-Max... sans parler de l'absence de ssmtp pour envoyer les emails via quelques variables d'environnement... Quoiqu'il en soit, je suis preneur de configuration pour l’envoi d’émail via sendmail sur un serveur smtp ovh (le mail inclus avec le nom de domaine que j’ai acheté), et aussi de celle pour le smtp d’infomaniak. Car aucun des réglages que j’ai tenté n’a fonctionné, tout du moins avec le f2b de crazy-max. Les possibilités sont limitées à ces variables-là : services: fail2ban: image: ghcr.io/crazy-max/fail2ban:latest # https://github.com/fail2ban/fail2ban ... environment: ... - SSMTP_HOST=smtp.gmail.com - SSMTP_PORT=587 # Pour gmail : 587 - SSMTP_HOSTNAME=Docker-Fail2ban # Ce sera le nom qui sera affiché dans les emails - SSMTP_USER=mon-mail@gmail.com - SSMTP_PASSWORD=MDP-application # Pensez à générer un mot de passe application si la 2FA est activée - SSMTP_TLS=NO # Pour gmail : YES ou NO ?? Ça fonctionne avec NO ?! - SSMTP_STARTTLS=YES # Pour gmail : YES ... Les paramètres que j'ai eu de OVH pour le serveur SMTP sont : le serveur : ssl0.ovh.net le port de connexion 465 Ne cochez pas la case « Exiger l'authentification par mot de passe sécurisé (SPA) lors de la connexion ». Rien de plus... J'utilise ces infos avec succès avec Tautulli pour envoyer des mails de newsletter. J'utilise aussi mes clients mails (Spark) pour récupérer les mails avec succès. Mais je n'arrive pas à déterminer quelle combinaison de SSMTP_TLS et de SSMTP_STARTTLS utiliser... Je ne sais même pas si le serveur répondrait sur le port 587... Sur ce, ++

Pour le DNS Server, c'est bien ce que je t'avais dis dans un autre fil, avec Adguard Home, il n'est plus nécessaire si tu n'en faisais que la résilution locale. Mais Threat Prevention / Safe acces, ce sont deux applications dédiées sécurité et contrôle parental. C'est pas vraiment la même utilisation que le serveur DNS anti-pub qu'est AdGH.

Je pense que tu peux désinstaller le dns server du routeur , car adguard home peut réécrire les url (voir section filtre , réécriture url) et donc faire office de serveur dans local en plus de serveur dns tout court 😊

Je te conseille de regarde ce site : https://diskprices.com/?locale=fr&condition=new&disk_types=external_hdd,internal_hdd (Bon c’est pour les différents Amazon, mais ça peut aider à choisir ☺️) perso j’ai pris un Seagate expansion 14To dans lequel le disque s’est avéré être un EXOs 14 To. Pour le moment rien a redire ☺️

D'ailleurs, tu penses être protégé de quoi ? Je rappelle que le SHR (peut importe la tolérance) ce n'est pas une sauvegarde !

Oué, mais ces NAS là n'ont pas d'iGPU pour le transcode de Plex...

Il faut préciser que macvlan est le nom du réseau macvlan 🙂 Dans mon docker-compose; c'est macvlan-network : --- version: "2.4" services: adguardhome_macvlan: image: adguard/adguardhome:latest # https://github.com/AdguardTeam/AdGuardHome # https://github.com/AdguardTeam/AdGuardHome/wiki/Docker container_name: adguardhome_macvlan hostname: AdGuard-Home--DS920Plus # Permet d'avoir un nom pour le conteneur dans AdGuard lui même (sinon c'est une chaine aléatoire) environment: - PUID=1999 - PGID=100 - TZ=Europe/Paris - LANG=fr_FR.UTF8 - LANGUAGE=fr_FR.UTF8 # --------------------------------------------------------------------------------- # Le label ci-dessous permet à Watchtower de faire les mises à jour automatiquement # Cela peut-être supprimé si Watchtower n'est pas utilisé. labels: - "com.centurylinklabs.watchtower.enable=true" # --------------------------------------------------------------------------------- # Le label ci-dessous sert à AutoHeal pour redémarrer le conteneur s'il devient Unhealthy... # - "AUTOHEAL_CONTAINER_LABEL=autoheal" # --------------------------------------------------------------------------------- volumes: - "/volume1/docker/adguardhome_macvlan/work:/opt/adguardhome/work" - "/volume1/docker/adguardhome_macvlan/conf:/opt/adguardhome/conf" # ports: # - "953:53" # - "967:67/udp" # - "968:68" # - "8080:80/tcp" # - "9443:443/tcp" # - "9853:853/tcp" # - "3030:3000/tcp" networks: macvlan-network: ipv4_address: 192.168.2.210 # Mettre ici l'IP macvlan définie dans les scripts restart: unless-stopped healthcheck: test: "/bin/netstat -pant | /bin/grep 53" interval: 45s timeout: 30s retries: 3 networks: macvlan-network: # Ce réseau devra bien entendu être créé avant avec le script external: true Je t'avais dis de faire attention à ce que te donne les calculateurs. Ta plage n'est pas correcte, c'est une histoire d'octet je pense... https://www.cidr.eu/en/calculator/+/192.168.64.245/28 La plage que tu dois utiliser n'est pas 192.168.64.245/28 mais 192.168.64.240/28, j'avais eu un soucis similaire et j'avais du revoir le début de la plage et donc aussi la fin.

On te conseille donc d’opter pour du shr et pas pour le shr-2 😇

Salut, La plage que tu demandes n’est pas possible je pense. La plus proche que j’obtiens avec le calculateur c’est : .97 à.111 SubnetCIDR notation Network Range 192.168.64.96 – 192.168.64.111= 16 unique addresses Usable Range 192.168.64.97 – 192.168.64.110 https://www.cidr.eu/en/calculator/+/192.168.64.96/28

Bonjour, 1) il est à 716€ sur Amazon ce matin. C’est sur quel site à 800€ ? donc la je dirais un peu cher à 800€. La différence peut te permettre d’acheter de la ram supplémentaire. 2) le bruit c’est très subjectif et propre à la perception de chacun. Mais sache que plus tu mets de disques plus c’est bruyant et plus ça chauffe. j’ai un Seagate (ok pas la même marque donc pas trop comparable) 14To (voir ma signature) et il fait un peu de bruit quand même… 3) lent ?! Il a quand même des ports rj45 GB ! Ça fait en moyenne dans les 100Mo/s quand même… je ne qualifierais pas ça de lent. après si tu as un switch adapté ; tu peux faire de l’agrégation de lien , pour peu que le matos (ordi) aient aussi des cartes très hauts débit…

Bon et bien ça ne fonctionne pas XD Va falloir que je fasse une issue quand même je pense...

Je déconseille fortement de jouer avec les permissions des dossiers et dossiers partagés, c’est le risque que ça déconne fortement un de ces 4…

@.Shad. J'ai constaté un truc assez pénible avec le Fail2ban intégré à SWAG : les fichiers de prisons fail2ban/jail.d/*.local donc tous ceux que j'ai mis dans le dossier fail2ban/jail.d/ne sont pas chargé ! Pour réussir à avoir mes jails de pris en compte, il a fallu que je mette le contenu des fail2ban/jail.d/*.local dans le fichier fail2ban/jail.local après celles concernant nginx … sinon ça charge pas du tout… Savez vous pourquoi ? C’est quand même moins pratique d’aller chercher tout en bas du jail.local les infos à modifier que de prendre le fichier *.local dédié… edit : Ajour du jail.local (avant ajout des jails supplémentaires) ## Version 2020/05/10 - Changelog: https://github.com/linuxserver/docker-swag/commits/master/root/defaults/jail.local # This is the custom version of the jail.conf for fail2ban # Feel free to modify this and add additional filters # Then you can drop the new filter conf files into the fail2ban-filters # folder and restart the container ##============================================================================================== ## ## ## Sources utilisées pour personnaliser ce fichier et ceux dans les sous-dossiers ## ## https://www.linode.com/docs/guides/using-fail2ban-to-secure-your-server-a-tutorial/ ## ## ## ## https://www.linuxtricks.fr/wiki/print.php?id=40 ## ## ## ##============================================================================================== [DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not # ban a host which matches an address in this list. Several addresses can be # defined using space separator. ignoreip = 127.0.0.1/8 ::1 10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 # Changes the default ban action from "iptables-multiport", which causes issues on some platforms, to "iptables-allports". banaction = %(banaction_allports)s # "bantime.increment" allows to use database for searching of previously banned ip's to increase a # default ban time bantime.increment = true # "bantime.maxtime" is the max number of seconds using the ban time can reach (doesn't grow further) bantime.maxtime = 5w # "bantime.factor" is a coefficient to calculate exponent growing of the formula or common multiplier bantime.factor = 24 # "bantime" is the number of seconds that a host is banned. bantime = 1h # A host is banned if it has generated "maxretry" during the last "findtime" # seconds. findtime = 24h # "maxretry" is the number of failures before a host get banned. maxretry = 5 # ######################################## # eMail config destemail = mon-email@gmail.com dest = mon-email@gmail.com sender = mon-email@gmail.com sendername = Fail2Ban (SWAG) # ban & send an e-mail with whois report and relevant log lines # to the destemail. action = %(action_mwl)s # Notes.: command executed on demand at the first ban (or at the start of Fail2Ban if actionstart_on_demand is set to false). actionstart = printf %%b "Subject: [Fail2Ban (SWAG)] <name>: started on <fq-hostname> Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"` From: <sendername> <<sender>> To: <dest>\n Hi,\n The jail <name> has been started successfully.\n Regards,\n Fail2Ban (SWAG)" | <mailcmd> # Notes.: command executed at the stop of jail (or at the end of Fail2Ban) actionstop = printf %%b "Subject: [Fail2Ban (SWAG)] <name>: stopped on <fq-hostname> Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"` From: <sendername> <<sender>> To: <dest>\n Hi,\n The jail <name> has been stopped.\n Regards,\n Fail2Ban (SWAG)" | <mailcmd> # ######################################## backend = auto [ssh] enabled = true port = 99 # Valeur du port si changer, sinon ssh filter = sshd logpath = /log/host_ssh_auth.log [nginx-http-auth] enabled = true filter = nginx-http-auth port = http,https logpath = /config/log/nginx/error.log [nginx-badbots] enabled = true port = http,https filter = nginx-badbots logpath = /config/log/nginx/access.log maxretry = 2 [nginx-botsearch] enabled = true port = http,https filter = nginx-botsearch logpath = /config/log/nginx/access.log [nginx-deny] enabled = false port = http,https filter = nginx-deny logpath = /config/log/nginx/error.log [nginx-unauthorized] enabled = true port = http,https filter = nginx-unauthorized logpath = /config/log/nginx/unauthorized.log Et un fichier dans fail2ban/jail.d : ## /volume1/docker/swag_macvlan/fail2ban/jail.d/vaultwarden-auth.conf ## See : https://github.com/dani-garcia/vaultwarden/wiki/Fail2Ban-Setup#synology-dsm ## Version 2022/08/06 # Fail2Ban jail configuration for vaultwarden # Requires modification to Vaultwarden's settings # https://github.com/dani-garcia/vaultwarden/wiki/Logging#logging-to-a-file [vaultwarden-auth] enabled = true port = 882,443,3012 # Doit correspondre au nom du fichier .conf dans le dossier filter.d filter = vaultwarden-auth banaction = %(banaction_allports)s logpath = /var/log/vaultwarden.log maxretry = 3 bantime = 14400 findtime = 14400

Je pense que c'est la meilleure solution 🙂 Il me semble que tu peux partager à un utilisateur du NAS un sous-dossier (dans mon exemple ce sera un sous-sous-sous-dossier 😄 ) avec un utilisateur du NAS, ce qui nécessitera qu'il se connecte :

Je pensais avoir posté ma réponse : aucun soucis avec ça depuis pas mal de temps avec Portainer. Ok 🙂 Je comprends enfin ce qu'il me manquait ^^ Ce qui continue de me faire comprendre 🙂 ce qu'il me manquait ^^ Merci pour ces infos complémentaires 🙂

Je n’ai jamais eu de soucis avec ça pour les déploiements avec Portainer pour les conteneurs avec de capadd netadmin. C’est bien ce que j’avais compris, d’où mon interrogation concernant le nom de domaine synology… si tu l’attaques avec le port 443 qui passent par swag alors il faut le certificat dans swag 😅 a moins de passer par un autre port. mais peut être que @.Shad.a une redirection de ce ndd vers l’ip de son nas avant de faire la redirection vers swag pour les autres ndd.ovh.

C’est justement dans les paramètres de Plex que tu coches ce qu’il faut pour faire ça. Plus le reverse proxy sur le port 443 et hop que du chiffré de bout en bout. Tout à fait, je n’ai pas dis le contraire, la Shield est carrément mieux adaptée au transcodage que le nas (modèle + avec igpu). Mais si tu n’as pas le budget pour avoir à la fois un nas et une shield, il vaut peut être mieux tablet sur le nas, tu pourras faire bien plus de chose avec.

Il y an aussi moyen d’augmenter le sécurité en n’autorisant que les connexions chiffrées. Voir aussi de limite l’accès au port de ton Plex aux seules IP du pays où tu es (via le pare-feu du routeur). Pour moi le seul avantage d’avoir PMS sur le nas (un nas compatible transcode HW, sinon ça vaut pas le coup, et là Shields est bien mieux là dessu) c’est que le nas peut faire office de pare-feu si tu n’as pas de routeur où le pare-feu est configurable (Livebox, freebox par exemple). L’accès aux médias est plus simple (pas d’accès smb à donner). Je ne pense pas que ce genre de message fasse avancer le débat. C’est pour moi inapproprié ici.

Pourtant je pensais avoir compris 😅 la synchronisation fonctionne sur le port 6690 ça j’en suis sûr vu que ce port est nécessaire à ouvrir sur l’extérieur pour que ça fonctionne. les certificats sur le nas sont liés aux noms de domaines donc si tu utilises les noms de domaines tu utilises les certificats. Mais comme les noms de domaines .ovh pointent sur mon iP internet, depuis l’extérieur, je dois passer par le reverse proxy qui est maintenant swag, le tout passant uniquement par le port 443, port routé et dirigé vers swag. Donc même si j’utilise le nom de domaine synology, dsm.ndd.synology.me, il va arriver sur swag. Et swag n’a pas le certificat synology , donc ça va faire une erreur de sécurité. D’où ma question sur ton utilisation conjointe du ndd synology et ovh le tout passant par swag. A moins qu’il y ait un paramètre à mettre dans Swag pour permettre le transfert au nas du ndd tel quel, je ne comprend. pas. Je n’ai peut être pas des connaissances super développées en réseau mais je pense quand même saisir le minimum pour savoir comment on se sert d’un reverse proxy sur un unique port. Ce que je n’avais pas prévu car oublié, c’est le port de la synchronisation drive qui est 6690. Mais ça ne fonctionne pas en passant par le reverse proxy (ou alors j’ai mal fait mon fichier de configuration 😅). J’ai contourné le soucis pour le moment. Je pourriez essayer de mettre le nom de domaine synology sur drive, ou rentre de mettre drive.ndd.ovh pointant sur le nas directement via adguard (pour le lan). On peut tenter un vocal (discord je suppose 😁) faut que je vois tes dispos 😊 je te réponds là dessus en mp 😉

edit : ha bah truc bizarre, sans rien changer, le client drive de mon pc windows se connecte sans soucis avec drive.ndd.ovh... Mais pas le mac de ma femme... 🤣

Bon, un jour à l'occasion, je te demanderais probablement de l'aide à ce sujet ^^ Mais là ce n'est pas la priorité. Si c'est une entrée de mon proxy inversé, et effectivement je n'avais pas prévu le bug. J'ai créé une nouvelle entrée : drive-sync.ndd.ovh avec ce fichier : ## Version 2021/05/18 # make sure that your dns has a cname set for <container_name> and that your <container_name> container is not using a base url # Note for DSM Applications (Package) # As SWAG is installed in macvlan mode, you have to set the virtual IP for $upstream_app # set $upstream_app 192.168.2.230 server { listen 6690 ssl; listen [::]:6690 ssl; server_name drv-sync.*; include /config/nginx/ssl.conf; client_max_body_size 0; # enable for ldap auth, fill in ldap details in ldap.conf #include /config/nginx/ldap.conf; # enable for Authelia #include /config/nginx/authelia-server.conf; location / { # enable the next two lines for http auth #auth_basic "Restricted"; #auth_basic_user_file /config/nginx/.htpasswd; # enable the next two lines for ldap auth #auth_request /auth; #error_page 401 =200 /ldaplogin; # enable for Authelia #include /config/nginx/authelia-location.conf; include /config/nginx/proxy.conf; include /config/nginx/resolver.conf; set $upstream_app 192.168.2.230; set $upstream_port 6690; set $upstream_proto https; proxy_pass $upstream_proto://$upstream_app:$upstream_port; } } Mais ça ne fonctionne pas en local XD La seule solution que j'ai trouvé c'est de faire une réécriture du drive-sync.ndd.ovh vers l'IP réelle du NAS. Et là ça fonctionne mais que en local ! Si je suis à distance (via la 4G), ça ne fonctionne plus 😮 à priori même à distance en 4G 😉. Ça va mériter davantage de tests... J'ai laissé ACME fonctionner, donc j'ai encore les certificats pour mon ndd.ovh dans DSM 🙂 Mais on est d'accord que ceux-çi ne peuvent plus vraiment fonctionner ? puisque le port 443 sur lequel ils sont accessibles est redirigé sur SWAG. Donc si tu voulais utiliser le ndd synology, il faudrait que je précise un port et que ce dernier soit ouvert dans les parefeu, et routé vers le NAS dans le routeur, tu valides ce schéma ? Mais du coup, utilises-tu ton ndd synology comme ceci : service.synology.me:14443 Avec le port 14443 ouvert et transféré sur ton NAS ? (bon je me dis que ton cas est aussi particulier que le mien vu que tu utilises un VPS pour t'y connecter en 4G... tu n'as toujours pas la fibre chez toi ?) Ok donc c'est pas forcément le MOD à installer en priorité, sauf pour utiliser le dashboard nginx 😄 Oué 😅 c'est un peu la même chose pour moi 🙂 Et puis j'ai déjà un chantier ouvert et tout juste commencé avec Adguard Home XD et le tuto Vaultwarden qu'il faudrait que je réécrive pour le rendre un poil plus lisible (voir signature ^^) Bon en tout cas, merci beaucoup pour l'aide apportée 😇

@Einsteinium Merci pour les fichiers. Je vais tenter avec tes éléments de configuration. À la différence près que j'utilise cette action : action = %(action_mwl)s Va probablement falloir que je fasse plusieurs .local pour les sendmail*.conf ou les mail*.conf ... je sais pas trop lesquels sont utilisés avec sendmail... Ok, je comprends ^^ Parce que 😋 Non, plus franchement, c'est surtout que je n'ai pas envie de mettre en place davantage de chose... et que je ne me servirais pas vraiment d'un serveur discord. Et aussi parce que Discord peut accéder à tout ce qui passe par le serveur, non ? Bref, il y a certes des trucs intéressants faisable avec, mais là je n'ai pas trop le temps de regarder. Tout ce qui est proxiable doit passer de préférence par un unique proxy inversé. Donc port 443 -> SWAG et plus DSM. Pour les autres applis : Hyper Backup, Drive, etc... tu utilises simplement un autre certificat pour ces applis non proxiables. Que ce soit le nom de domaine de Synology, ton OVH ou ce que tu veux. Géré indépendamment de SWAG, par DSM, Acme, ou autre. Moi j'utilise le ndd Synology pour ces applis. Et bien justement, tu fais comment ? Je remarque que je n'utilise jamais le nom de domaine synology mis dans DSM. Donc ce n'est pas trop un soucis, mais j'aimerais comprendre comment tu fais, ou tu ferais dans mon cas particulier : swag en macvlan sur le NAS, derrière un routeur. J'ai bien redirigé le port 443 vers swag. Et je constate un effet de bord lorsque je suis sur le LAN que je ne sais pas encore corriger : pour la synchronisation Drive avec les clients desktop. Aucun soucis lorsque je suis connecté en 4G via mon smartphone, la synchro se fait sans soucis, vu que ça passe par le port 6690 et que ce dernier est redirigé vers le NAS dans le routeur. Mais quand je suis connecté au wifi du RT, la synchro est bloquée : Je précise à nouveau que j'ai des réécriture DNS avec AdGuardHome : mon-ndd.ovh -> IP macvlan de SWAG *.mon-ndd.ovh -> IP macvlan de SWAG @.Shad. Comment puis-je faire pour que la synchronisation fonctionne ? (c'est peut-être la question le plus importante à résoudre pour moi actuellement). Haa ! Je pensais que le pare-feu du NAS s'appliquait aux conteneurs... Mon routeur Synology RT2600AC permet de n'autoriser que les IP française à accéder au port 443 qui est transmis à SWAG. Regarde la capture de mon précédent message, elle est prise sur le routeur : Cela dit, je pense quand même regarder le geoIP que tu me dis ici 🙂 Ça fera toujours une protection supplémentaire 🙂 Oui carrément, je suis en train de paramétrer le F2B intégré en utilisant ce que j'avais fait pour l'instance dédiée et ce qui est dispo sur le dépot de Linuxserver/fail2ban-conf. La prochaine étape, quand la synchronisation Drive fonctionnera, sera Authelia, puis CrowdSec (tu ferais pas un tuto pour ça par hasard ? 🤗😇