MilesTEG1

À priori juste changer le port ouvert sur l'extérieur devrait suffire. Moi j'ai un NAS Synology depuis 2012, donc je traine un héritage difficilement changeable maintenant 😄 Je change direct les ports par défaut de toutes les applications installées avec DSM 😄 Par contre, n'ouvre pas le port HTTP de DSM, juste le HTTPS, tu n'as normalement pas besoin du HTTP si tu accèdes bien en HTTPS.

On en parle ici : (tu aurais pu poster là, ce sujet n'étant que 3ème dans liste des sujets de la catégorie 😕 ) Et ici : NAS Synology - Attaques StealthWorker en cours... (cachem.fr)

Ce n'est pas que pour accéder aux applications... Ça peut aussi servir pour accéder à un site internet hébergé sur le NAS, un serveur Plex (docker), etc... C'est sûre... Mais... tu devrais changer le port par défaut en commençant d'abord par router le nouveau port dans la box, et ensuite tu modifies dans DSM. Puis quand tu as vérifié que ça fonctionne, tu supprimes la redirection du port 5001, et là tu n'auras probablement plus ces attaques. Ensuite, faudra que tu mettes en place le serveur VPN du NAS auquel tu te connecteras pour accéder à DSM, sans passer par le port ouvert de ta box, que tu pourras alors supprimer (la redirection dans la box). Les règles locales doivent être placées en 1er. Sinon, ça me semble OK si tu n'as pas besoin d'ouvrir davantage de port sur la France. D'ailleurs, quels sont les services de la ligne n°3 de ta capture ? Perso, je sépare en plusieurs lignes les différents services. Voilà mes règles : Les deux 1ères lignes : pour le LAN et les réseaux de mes conteneurs. 3ème et 4ème lignes : port 80 et 443 ouvert pour la France 5ème ligne : Idem pour Drive server 6ème : idem pour Plex (mais là c'est davantage pour mon LAN car depuis internet le port 32400 n'est pas ouvert ni routé sur le routeur...) 7ème : ouvre le port 443 pour toutes les IP, cette règle est là pour que certains services fonctionnent car je ne sais pas quelles IP sont utilisées (par exemple pour les serveurs de Plex ou autre... faudrait que je désactive pour voir si ça déconne ou pas 😮 ) Lignes 8 à 10 : ce sont les IP du support Synology, quand ils ont du accéder à mon NAS pour vérifier un soucis de partitions (voir ce message posté sur le forum) dernière ligne : on refuse tout ce qui n'a pas été autorisé précédemment. Sur mon routeur, j'ai à peu près la même chose, mais en plus simple : Car je ne laisse passer que ce qui arrive sur le port 443 (et 6690). J'ai laissé des règles désactivées au cas-où j'en ai besoin à nouveau plus tard. Dans ce routeur (un RT2600AC), je ne transfère que les port 443 et 6690 vers le NAS 😉 .

La vague d’attaque en cours viens aussi de France…

Heu tu as le compte « admin » actif ???!! 🙄 tu n’as pas du bien chercher… c’est présent depuis un moment…

Avec le reverse proxy, tu n'as même plus besoin de spécifier un port de connexion : tout passera par le 443. (sauf dans certaines applications mobiles pas super bien codées 😮 ). Après c'est toi qui voit. On t'a donné toutes les recommandations, et avec la vague d'attaques sur les NAS Synology, il serait plus qu'utile que tu revois les ports de connexions que tu utilises... et les services que tu ouvres sur internet. On m'a fait comprendre récemment que laisser DSM en accès sur internet était très risqué... du coup, j'ai fermé l'accès, et DSM n'est accessible que depuis mon LAN et depuis la connexion VPN à mon routeur synology. Je n'ai en fait pas besoin d'y accéder autrement.

Effectivement, ça me semble logique qu'il y a compression, et donc perte de qualité.

@toutnickel Si tu supprimes les redirections de ta box, il est normal que le NAS ne soit plus accessible depuis l'extérieur 🙄 As-tu lu et appliqué le tuto sécurisation ? Sinon : Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Incorporated

Salut 👋🏻 il faut que tu utilises le reverse proxy pour faire ce que tu veux faire 😊 c’est aussi dans le portail de connexion.

Ha ton script m’intéresse plus pour voir comment il procède que par grosse nécessité car mon nas encaisse très bien le transcode de l’audio hd.

Pour l’audio je ne sais pas si les clients peuvent décoder les formats HD… mais si l’audio est transcodé ça passé obligatoirement par le cpu. Par contre avec un srt normalement si ton client peut le lire avec la vidéo, ça ne transcode pas… il soit ou non intégré au mkv. C'est quoi ton client ?

J'ai pas encore voulu essayer car plusieurs choses me chagrine : Il faut créer un compte chez Tailscale ; il faut s'authentifier chez eux pour utiliser le service ; toutes les IP des serveurs/clients sont conservées chez eux puisque accessible dans l'historique ; c'est pas clair si le traffic passe ou non par leur serveurs... Bref... pour le moment je reste avec VPN Plus server et les connexions L2TP, OpenVPN ou SSL VPN sur mon RT.

@webmastering Tes sous-titres ne seraient-ils pas des PGS ou des SSA ou ASS ? Car si c'est le cas, même avec l'accélération matériel, ce types de sous-titres sont inscrutés dans la vidéo (burned) et ça demande une quantité folle de CPU... et donc de transcodage... ce que même un super NAS ne peux pas faire à la volée. Il faut utiliser des sous-titres SRT. Si c'est du ASS/SSA, tu peux les convertir très facilement en SRT : ASS2SRT download | SourceForge.net Si c'est du PGS, la malheureusement... c'est plus compliqué, long, fastidieux : Subtitle Edit (nikse.dk) Autre solution : te procurer le SRT ailleurs 🙂 c'est pas les sites qui manquent 🙂

Yep, tout à fait pourquoi j'ai suggéré la lecture du tuto de sécurisation du NAS... changer les ports par défaut... ou bien ouvrir un autre port 34565 qui pointe vers le 5001... 😅

@Kramlech @oracle7 Mes maigres connaissances et expériences avec linux/unix me disent ceci, adapté au NAS Synology : Le dossier /home d'un utilisateur User1 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user1/ Le dossier /home d'un utilisateur User2 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user2/ etc... Mais le dossier homes lui existe bel et bien, mais ses permissions sont : drwxrwxrwx+ 1 root root 1018 Jul 23 09:54 homes

@toutnickeltu gagnerais à bien suivre et lire ce tuto :

Si tu désactives ça, il me semble que plus aucun utilisateur n’aura de dossier home, l’utilisateur administrateur (celui que tu as créé qui a les droits admin) ainsi que root également. ca peut poser des soucis si tu te connectes en ssh. J’ai du laisser l’option de l’accueil utilisateur pour ça. J’ai un fichier d’alias que j’utilise en root en ssh.

Tu utilises quelle image docker de bitwarden ? l'officielle (enfin la multitude de trucs) ? Ou bien celle de Vaultwarden (ex Bitwarden_RS) ? Sur la dernière je n'ai jamais eu de soucis.

Oui mais aussi le port personnalisé s'il a été changé. Il faut aussi configurer le pare-feu correctement : Il faut n'autoriser que les IP de france et de quelques autres pays dont tu as vraiment besoin.

Ha oui c'est vrai, j'avais oublié que c'était toi qui utilisait des liens symboliques😅 Je ne sais plus exactement pourquoi Ha si ! Si je mets HTTP au lieu de HTTPS en local, le réglage "Connexions sécurisées" en Obligatoire (3ème captures dans mon précédent message) fait que ça ne fonctionne pas. J'ai mis ce réglage en Obligatoire pour que tout soit bien chiffré ! Sinon il se peut que ça ne soit pas le cas. Et surtout, faut désactiver le Relais et bien vérifier que l'url avec le nom de domaine est bien présent dans "URL personnalisées..." avec l'adresse IP LAN avec son port. J'ai un A+ avec ssltest. (pas sûr que ça joue beaucoup... 😄 )

D'après sa capture, c'est sur DSM que les tentatives ont eu lieu, pas en SSH... C'est donc son port DSM qui est ouvert.

Salut 🙂 @cadkey Chez moi cet indicateur de connexion à distance n'est pas fiable non plus. Mon serveur est pourtant parfaitement accessible depuis l'extérieur sans aucun soucis. À mon avis, il ne faut pas en tenir compte... PMS semble ne pas savoir se débrouiller quand il y a un reverse proxy entre lui et le monde extérieur... Ton PMS est-il installé avec Docker ? (Je suppose que non compte tenu de ce que tu as dit dans ton message...). (ça va changer l'aide qu'on pourrait t'apporter...) Mon PMS est installer avec Docker, plus simple à gérer 😄 , en HOST (comme ça pas besoin de PLEX_CLAIM...). Je peux accéder au serveur avec son IP LAN en HTTPS quand je suis chez moi, mais j'ai une alerte de sécurité au niveau du certificat, normal avec une IP. Mais du coup je préfère utiliser mon nom de domaine plex.mon-ndd.tld pour y accéder : j'ai donc configurer le reverse proxy pour autoriser cette connexion. Voilà les réglages que j'ai mis dans mon PMS (peut-être pas exhaustifs...) : (192.168.2.200 c'est l'IP de mon NAS) Et le reverse proxy : (petite erreur dans la capture 😄 .tlf = .tld bien sur ^^) et ainsi, le PMS est accessible depuis l'extérieur.

Je me doutais que tu débutais avec ton NAS Synology 😉 En résumé rapide : Docker c'est une sorte d'environnement virtualisé (ce n'est pas une machine virtuelle hein). C'est en dehors des fichiers de DSM du NAS, donc tout ce que tu fais dans un conteneur docker reste dedans (sous entendu, si tu plantes le tout, aucun risque pour les données du NAS). Il est cependant possible de "connecter" des dossiers du NAS dans le conteneur pour accéder aux données. @.Shad. a rédigé un tuto d'introduction à Docker que je t'invite à lire 😉 : Installer des applications en Docker est un peu plus sécurisé que directement sur le NAS, mais surtout ça ne va pas mettre plein de fichiers (de configuration) partout 😮

Bonjour 🙂 Vu que vous avez un NAS compatible avec Docker, je passerais par là pour les installations. Il y a des tutos ici pour installer, utiliser docker. Pour Wrodpress : Wordpress - Official Image | Docker Hub Pour Prestashop : prestashop/prestashop - Docker Image | Docker Hub Après, je ne sais pas du tout comment configurer le NAS et le reste pour que le tout soit accessible depuis internet vu que je n'ai jamais eu à le faire... Mais je suppose qu'en passant par le reverse-proxy du NAS (avec un nom de domaine, et un certificat wildcards pour gérer plusieurs "sous"-domaines...).

Je ne peux qu'enchérir sur ce que @.Shad. @Mic13710 @pluton212+ @cadkey et @Balooforever ont dit : le technicien de Synology a été patient, correct, et à proposer une réparation sans facture d'achat initiale... Votre agressivité et vos demandes, @Vincent Richer, vous ont desservies... Je ne peux qu'aller dans le sens des deux techniciens... Ce n'est pas ici que vous aurez la bonne oreille pour vos mésaventures et vos plaintes... Normalement, la garantie des disques durs dépend de leur n° de série... la facture d'achat permettant d'avoir une garantie qui démarre à la date d'achat, non ?