MilesTEG1

C'est pas gagné car j'ai bien trouvé un réglage de notification de Docker concernant notre soucis... mais il ne fonctionne pas : J'ai arrêté Dashy avec Portainer, alors que j'avais bien décocher les cases des notifications et appliqué.

@maxou56 Tu parles de ça dans le RT ? J'ai laissé décoché pour pas être embêter justement.

@Kramlech @oracle7 J'avais moi aussi compris la chose ainsi 😉 Ça n'en reste pas moins pénible. On peut virer cette notification quelque part ?

Tiens avec ce que tu dis sur les différentes interfaces (LAN1, LAN2, ... VPN), j'ai regardé, et sur chacune de ces interfaces j'ai ça : "Si aucune règle n'est remplie : ☑️Autoriser l'accès" de cochée. Est-ce qu'il est préférable de laisser ainsi ? Ou bien de mettre sur Refuser ? Sachant que j'ai une dernière règle dans "Toutes les interfaces" qui est sur Refuser pour Tous :

@YvesBert Le parefeu Synology (NAS, Routeur), (pour les autres marques je ne sais pas), fonctionne en mode descendant : la dernière règle de la liste (la plus basse) étant la dernière règle appliquée, après chacune des précédentes. Exemple : Règle n°1 Règle n°2 Règle n°3 Règle n°4 : interdisant tout Les règles sont lues et appliquées dans l'ordre descendant. La dernière bloque tout. Mais si tu fais ça : Règle n°1 Règle n°2 : interdisant tout Règle n°3 Règle n°4 Les règles n°3 et n°4, quoiqu'elles autorisent ne servent à rien car la n°2 interdit tout. Et pas besoin de tout supprimer quand tu veux ajouter une règle après-coup, tu n'as qu'à les glisser avec les trois traits de gauche : En fait c'est bien décrit en bas de la zone du pare-feu 😮

Quelles sont les images qui posent soucis ? Comment as-tu installé ces conteneurs ? fichier docker-compose.yml ? docker run machin truc ? Par l'interface DSM ? Par Portainer ?

Attention toutefois à bien mettre la règle qui bloque tout en tout dernier 😉 mais sinon c'est une excellente technique que j'ai appliquer ^^ Oué oué oué 😄 Mais du coup, me faudra 3 lignes en tout 🤪 une pour mon LAN : 192.168.2.0/24 une pour le LAN de ma box : 192.168.1.0/24 (mais là, peut-être que seule l'IP de la box suffirait ? Qu'en penses-tu @oracle7 vu que tu es dans une configuration très similaire à la mienne de ce coté là (LB4 -> RT2600AC -> Swtich(s) / LAN.)) et une dernière pour le VPN : 192.168.10.0/24 Et en fait je me dis que j'ai aussi dans le RT un réseau wifi invité entre 192.168.3.10 et 192.168.3.20 quand je l'active. Faut-il que je les rajoute ? À la réflexion, non, car je n'ai pas besoin que les invités accèdent au NAS s'ils se connectent en wifi... Et certains sont sur mon LAN principal car ils castent sur ma TV...

Cette règle si que n’ai pas mis c’est pour le VPN car par défaut OpenVPN sera sur ce réseau. Mais j’ai configuré pour qu’il soit sur 192.168.10.x. Tu peux suivre la recommandation de @oracle7. Faudrait que je réduise la plage d’ip autorisée à ce niveau là, mais ça va m’obliger à mettre une ligne de plus pour le réseau VPN en 192.168.10.x.

J’ai la même erreur dans dsm (une notification) pour certains de mes conteneurs… mais j’ai pas tes autres erreurs.

À priori juste changer le port ouvert sur l'extérieur devrait suffire. Moi j'ai un NAS Synology depuis 2012, donc je traine un héritage difficilement changeable maintenant 😄 Je change direct les ports par défaut de toutes les applications installées avec DSM 😄 Par contre, n'ouvre pas le port HTTP de DSM, juste le HTTPS, tu n'as normalement pas besoin du HTTP si tu accèdes bien en HTTPS.

On en parle ici : (tu aurais pu poster là, ce sujet n'étant que 3ème dans liste des sujets de la catégorie 😕 ) Et ici : NAS Synology - Attaques StealthWorker en cours... (cachem.fr)

Ce n'est pas que pour accéder aux applications... Ça peut aussi servir pour accéder à un site internet hébergé sur le NAS, un serveur Plex (docker), etc... C'est sûre... Mais... tu devrais changer le port par défaut en commençant d'abord par router le nouveau port dans la box, et ensuite tu modifies dans DSM. Puis quand tu as vérifié que ça fonctionne, tu supprimes la redirection du port 5001, et là tu n'auras probablement plus ces attaques. Ensuite, faudra que tu mettes en place le serveur VPN du NAS auquel tu te connecteras pour accéder à DSM, sans passer par le port ouvert de ta box, que tu pourras alors supprimer (la redirection dans la box). Les règles locales doivent être placées en 1er. Sinon, ça me semble OK si tu n'as pas besoin d'ouvrir davantage de port sur la France. D'ailleurs, quels sont les services de la ligne n°3 de ta capture ? Perso, je sépare en plusieurs lignes les différents services. Voilà mes règles : Les deux 1ères lignes : pour le LAN et les réseaux de mes conteneurs. 3ème et 4ème lignes : port 80 et 443 ouvert pour la France 5ème ligne : Idem pour Drive server 6ème : idem pour Plex (mais là c'est davantage pour mon LAN car depuis internet le port 32400 n'est pas ouvert ni routé sur le routeur...) 7ème : ouvre le port 443 pour toutes les IP, cette règle est là pour que certains services fonctionnent car je ne sais pas quelles IP sont utilisées (par exemple pour les serveurs de Plex ou autre... faudrait que je désactive pour voir si ça déconne ou pas 😮 ) Lignes 8 à 10 : ce sont les IP du support Synology, quand ils ont du accéder à mon NAS pour vérifier un soucis de partitions (voir ce message posté sur le forum) dernière ligne : on refuse tout ce qui n'a pas été autorisé précédemment. Sur mon routeur, j'ai à peu près la même chose, mais en plus simple : Car je ne laisse passer que ce qui arrive sur le port 443 (et 6690). J'ai laissé des règles désactivées au cas-où j'en ai besoin à nouveau plus tard. Dans ce routeur (un RT2600AC), je ne transfère que les port 443 et 6690 vers le NAS 😉 .

La vague d’attaque en cours viens aussi de France…

Heu tu as le compte « admin » actif ???!! 🙄 tu n’as pas du bien chercher… c’est présent depuis un moment…

Avec le reverse proxy, tu n'as même plus besoin de spécifier un port de connexion : tout passera par le 443. (sauf dans certaines applications mobiles pas super bien codées 😮 ). Après c'est toi qui voit. On t'a donné toutes les recommandations, et avec la vague d'attaques sur les NAS Synology, il serait plus qu'utile que tu revois les ports de connexions que tu utilises... et les services que tu ouvres sur internet. On m'a fait comprendre récemment que laisser DSM en accès sur internet était très risqué... du coup, j'ai fermé l'accès, et DSM n'est accessible que depuis mon LAN et depuis la connexion VPN à mon routeur synology. Je n'ai en fait pas besoin d'y accéder autrement.

Effectivement, ça me semble logique qu'il y a compression, et donc perte de qualité.

@toutnickel Si tu supprimes les redirections de ta box, il est normal que le NAS ne soit plus accessible depuis l'extérieur 🙄 As-tu lu et appliqué le tuto sécurisation ? Sinon : Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Incorporated

Salut 👋🏻 il faut que tu utilises le reverse proxy pour faire ce que tu veux faire 😊 c’est aussi dans le portail de connexion.

Ha ton script m’intéresse plus pour voir comment il procède que par grosse nécessité car mon nas encaisse très bien le transcode de l’audio hd.

Pour l’audio je ne sais pas si les clients peuvent décoder les formats HD… mais si l’audio est transcodé ça passé obligatoirement par le cpu. Par contre avec un srt normalement si ton client peut le lire avec la vidéo, ça ne transcode pas… il soit ou non intégré au mkv. C'est quoi ton client ?

J'ai pas encore voulu essayer car plusieurs choses me chagrine : Il faut créer un compte chez Tailscale ; il faut s'authentifier chez eux pour utiliser le service ; toutes les IP des serveurs/clients sont conservées chez eux puisque accessible dans l'historique ; c'est pas clair si le traffic passe ou non par leur serveurs... Bref... pour le moment je reste avec VPN Plus server et les connexions L2TP, OpenVPN ou SSL VPN sur mon RT.

@webmastering Tes sous-titres ne seraient-ils pas des PGS ou des SSA ou ASS ? Car si c'est le cas, même avec l'accélération matériel, ce types de sous-titres sont inscrutés dans la vidéo (burned) et ça demande une quantité folle de CPU... et donc de transcodage... ce que même un super NAS ne peux pas faire à la volée. Il faut utiliser des sous-titres SRT. Si c'est du ASS/SSA, tu peux les convertir très facilement en SRT : ASS2SRT download | SourceForge.net Si c'est du PGS, la malheureusement... c'est plus compliqué, long, fastidieux : Subtitle Edit (nikse.dk) Autre solution : te procurer le SRT ailleurs 🙂 c'est pas les sites qui manquent 🙂

Yep, tout à fait pourquoi j'ai suggéré la lecture du tuto de sécurisation du NAS... changer les ports par défaut... ou bien ouvrir un autre port 34565 qui pointe vers le 5001... 😅

@Kramlech @oracle7 Mes maigres connaissances et expériences avec linux/unix me disent ceci, adapté au NAS Synology : Le dossier /home d'un utilisateur User1 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user1/ Le dossier /home d'un utilisateur User2 n'existe pas vraiment, c'est un lien symbolique vers /volume1/homes/user2/ etc... Mais le dossier homes lui existe bel et bien, mais ses permissions sont : drwxrwxrwx+ 1 root root 1018 Jul 23 09:54 homes

@toutnickeltu gagnerais à bien suivre et lire ce tuto :