Vinky

Je le répète : Cela n'ouvre RIEN. C'est une connexion sortante permanente. (le NAS qui va dire au serveur synology : Si quelqu'un me demande, envoie le moi en passant par ton serveur)? La seule faille possible (en dehors du compte invité et/ou mdp faible) c'est que les serveurs synology soient piratés. Si le serveur synology est down, aucun accès possible au NAS (si rien d'autre n'a été configuré) donc aucun risque de sécurité niveau NAS. (reste que l'on est dépendant des serveurs syno et les performances sont moindres, mais encore une fois, aucun rapport avec la sécurité) Donc je ne comprend pas ce que tu racontes... Si un malin veut accéder au NAS faut qu'il aille poser des questions au serveur synology. Je ne vois donc pas la facilité... (car il faut tout de même le login du NAS - il faut donc login NAS+ Login user+ mdp user pour n'accéder qu'à DSM et rien d'autres)

Je ne vois pas rapport entre quickconnect et le fait que ça ouvre une autoroute en terme de sécurité ? (sauf si tu estimes que les serveurs de syno sont moins bien sécurisés que ton NAS et ton routeur). Quickconnect ne configure rien du tout sur le NAS (ni ailleurs), il ne fait que ouvrir une connexion sortante avec un serveur synology pour permettre l'accès à l'interface sans ouvrir de port sur le routeur et firewall.

Merci de ne pas prendre de haut... Contrairement à ce que tu dis, je découvre pas la sécurité sur internet, je pense pas avoir beaucoup à apprendre (pour ne pas dire rien) de ta part. Surtout au vu des inepties que je lis régulièrement que tu sors sur le forum (ce n'est pas la première fois que je reprend des choses que tu dis, particulièrement autour de "quickconnect" dont il semble que tu n'es toujours pas vraiment compris son fonctionnement et son intérêt...). La sécurité de papa/maman qui deviennent parano des outils informatiques et qui du coup n'utilisent pas 1/4 des possibilités juste par crainte et s'estiment en sécurité comme ça, ça va bien... Mais en plus dire à tout le monde que dans ces conditions je suis un as de la sécu, faut vraiment arrêter. Être bon en sécurité c'est ne rien s'interdire, absolument rien du tout, tout en restant en sécurité. Si ce que tu dis es vrai (ce dont je ne doute pas) tu ferais mieux de t'y recoller pour faire fortune. Aujourd'hui c'est extrêmement recherché et sur-payé.... Pour le reste, merci de pas juger sans savoir : monter une infrastructure de A à Z pour un système de refroidissement de DATA Center expérimental en UNIX, création de circuit imprimé (conception, réalisation et installation dans l'infra), programmation des micro-processeurs en Assembleur, communication en modbus avec les différents systèmes, création d'un système intelligent de gestion indépendant (ceci a valu le dépot d'un brevet d'ailleurs) etc... Bref, la technique et l'industrialisation, je connais aussi, donc ne vient pas faire le grand expert sous prétexte qu'à une époque lointaine (qui a plus que changé) tu as fais certaines choses. Soit on se met régulièrement à jour dans ses connaissances techniques pour rester informés, soit on s'abstient de faire des commentaires de sécurité.

Ah ok... Je te trouvais vieux jeu dans tes commentaires mais parler d'emule cest quand même enorme Bien que ça existe toujours, il faut savoir que le monde du piratage a bien changé. Aujourd'hui le problème n'est d'ailleurs pas où tu vas mais ce que tu installes... Si tu n'installes rien de farfelu tu n'as rien à craindre. Tu peux te prendre des tas de cochonneries qui vont te pourrir tes navigateurs et autres en passant par des sites tout ce qu'il y a de plus légal (Adobe par exemple cherche a faire installer des trucs non souhaités avec reader) et parfois cest plus que de simple adware.... Personnellement j'ai parfois plus confiance en certains sites de piratage que d'autres comme 01-net... Enfin le 5001 n'es pas une porte ouverte absolument. Et ce n'est pas lié à la fonction https ou non. Si tu changes le port et que tu vas sur un wifi non sécurise (type hôtel) alors que tu es en http autant te dire que la t'a carrément laissé les clés sur le comptoir de l'accueil. (Si tu connais Wireshark je te recommande de tester tu verras que tout le monde sans rien faire peut voir ton login et Mdp en clair sur son ordi. Et si tu me dis que tu ne vas jamais sur ton NAS sur ce genre de connexion es-tu sûr que personne ne le fait dans les utilisateurs ? Bref, https-5001 cest parfois bien plus securisé que http-903 par exemple... Mais a t'ecouter la meilleure sécurité cest de tout éteindre... Mieux vaut éviter de donner des conseils en sécurité sur un forum dans ces conditions vraiment !

Si tu veux sécuriser l'iP la seule solution c'est de faire un VPN. (Seul celui ci sera accessible de l'extérieur ) Concernant les sites p2p x ou autre, cela n'a absolument aucun lien direct avec la sécurité de ton NAS donc je vois pas du tout le but ? A part si c'est un mot de l'église contre tout ce qui n'est pas moralement correct.... Enfin, la sécurité ne se mesure jamais en durée sans s'être fait pirater. Ce n'est pas parce que x année il ne sait rien passé qu'on a une installation sécurise.... (Et c'est valable pour tout, ce n'est pas parce que pendant 15 ans j'ai roulé sans mettre ma ceinture et que je n'ai rien eu qu'elle n'est pas utile)

Ce n'est pas syno qui le fait ce plugin. Contacte le créateur

Tu ne peux pas faire un copier/coller de tous les liens d'un coup et les mettre dans download station directement ? (Pas sur que le plugin le fasse par contre)

Je l'ai fait oui. Il y a deux tutos faient par cool_raoul sur le sujet (un avec Apache l'autre avec nginx)

Ce n'est pas une sauvegarde car si tu fais une suppression d'un fichier ou que ton dsm plante (ou hack tel que synolocker) tu as tout perdu. Si tu réalises une sauvegarde ce ne sera pas le cas (seul la différence sera perdue)

Une solution un poil plus sécurisante cest aussi le reverse proxy

En fait quand tu n'as pas de port dans l'url ça veut indirectement dire que tu utilise les ports par defaut ( en http et 443 en https) donc tu donnes tout autant ton port d'utilisation. Il n'y a pas de risque particulier au port dans l'URL. C'est juste une préférence ou pas.

Attention 10mo n'est pas 10mbps. Pour 10mo je suis d'accord le full hd passera (même en 3D) mais 10mbps (soit 1,25 Mo/s ) ça ne marchera pas. C'est meme pas suffisant pour du 720p. Le debit doit être celui ci partout (en up sur le NAS et en download là où il faut lire) Concernant le mode télécommande en AirPlay je te confirme ce je je te dis. Ce n'est pas le périphérique mobile (iPhone ou iPad) qui lit mais bien l'Apple Tv sur le NAS. iOS n'aura servi que de télécommande sur le coup il n'est plus nécessaire une fois la vidéo lancée Mais tout ça cest possible qu'en "local" ou alors de mettre le lecteur (Apple tv chromecast que je déconseille pour de la hd ou autre) en réseau vpn Après en lecteur pour ne pas être ennuyé il faut prendre un qui lit tous les formats (wd live est réputé par exemple)

Tu ne les as ni déplace ni renommé à chaque fois ? (Ni reindexe je suppose)

Panneau de configuration -> serveur multimédia (tout en bas) et 3ie onglet pour ajouter un dossier à indexer (et y ajouter le bon format, vidéo photo ou musique) PS: je fais ça de tête je ne suis pas devant mais je ne dois pas être loin du truc

Pour répondre à tes questions , dans tous les cas ton smartphone, tablette ou même ordi ne font que télécommande dans le cas de l'airplay ou upnp avec vidéo station (pour upnp si compatible renderer) et donc tu peux une fois envoyé, totalement éteindre ton smartphone. (Il ne sert plus à rien sauf si tu veux t'en servir de télécommande) Contrairement à ce que tu dis, c'est beaucoup plus pratique de chercher via les synopsis sur tablette ou smartphone car tout est tactile et c'est bien plus simple que d'appuyer x fois sur les flèches de la télécommande de la Tv (ou autre) Après tu peux, si tu as, avoir une interface sur les smart Tv Samsung (ou home cinéma) Tu as bien 10mbs de upload là où est ton NAS du coup ? Car c'est surement Ca qui va te limiter. Mais avec 10mbs tu n'auras surement pas de 3D ni du full hd (c'est certainement juste pour du 720p)

Juste un tout petit bémol, en réalité un "escroc", comme tu dis, peinera absolument pas à trouver le port (il suffit de faire un scan pour savoir quel port est utilisé, ouvert et pour quoi ! Là où c'est utile c'est surtout pour les scripts et les bots qui sont généralement fait pour taper sur un port bien spécifique (celui par défaut) et là effectivement ça protège pas mal (ce qui doit être 99% si ce n'est plus, des attaques en réalité, d'où l'intérêt de le faire)

Le plus simple c'est d'utiliser le mode telecommande de DS audio pour envoyer le son sur la TV. Concernant les reproches de Samsung, avant de critiquer se renseigner, c'est bel et bien syno qui developpe DS Vidéo sur smart TV, pas Samsung.

L'intérêt c'est que box et smart Tv ne lisent parfois pas tout. Mais surtout que les périphériques peuvent aussi être smartphone ou tablette qui ne savent pas lire ses formats. (Ou alors avoir un débit un peu juste pour une lecture sans coupure) Concernant le dts, un package non officiel permet de le décoder rendant vidéo station pleinement utilisable.

Il y a un package qui s'installe (non officiel) pour que le dts soit décodé par le nas.

Le plus simple reste d'utiliser un smartphone/tablette ou navigateur web pour envoyer une vidéo ou une musique en mode télécommande sur la TV. Aucune app à installer sur la Tv et tout est géré soit par souris soit par écran tactile.

@domlas : Tu joues sur les mots et les termes depuis le début ce qui a ammené ni plus ni moins que du troll volontaire (car malgrès plusieurs explications tu fais fais volontairement semblant de pas comprendre). Alors oui, si tu ne veux pas donner accès à DSM ça revient à interdire tout accès au NAS car DSM c'est l'OS. Mais comme expliqué par plusieurs personnes, ce qu'ils appellent vulgairement DSM, c'est l'interface web de DSM. C'est ce qu'on appelle un abus de langage, c'est dommage d'avoir généré 1 page de discussion stérile tout ça en faisant de la mauvaise foi... Donc la vrai question qui est posée, c'est comment peut-on désactiver le service interface web (et donc file station) à un utilisateur. Aujourd'hui il est impossible de le faire ce qui implique que si ton interface web est accessible à distance rend l'accès à file station (et les repertoires partagés pour cet utilisateurs) accessible de l'exterieur. En gros l'idée est de dire, (totalement indépendamment du raisonnement de groupe, administrateur ou utilisateur) aujourd'hui je peux interdire certains services et/ou protocoles à un utilisateurs simplement tout en ayant accès à l'interface web, mais je ne peux pas faire le contraire (interdire l'accès à l'interface web mais autoriser certains services) L'exemple de Time Machine est assez parlant. Pourquoi donner l'accès à l'interface web à un utilisateur alors que la seule chose qu'il devrait nécessiter c'est l'accès AFP. Pourquoi donner accès via mon port d'accès web DSM aux données de mes sauvegardes depuis l'extérieur alors que je ne souhaite donner l'accès que via le protocole AFP ? Cela n'a donc aucun rapport avec modification de configuration par ces utilisateurs, juste empecher l'accès (donc la lecture). Aujourd'hui, le seul moyen d'interdire l'accès depuis l'exterieur aux données d'un utilisateur tel que Time Machine est d'interdire tout accès de n'importe quel utilisateur depuis l'exterieur. Donc aujourd'hui, il faut blinder tous les utilisateurs de mdp fort pour se protéger, alors qu'une possibilité de donner accès à l'interface web ou non à certains utilisateurs (voir même par protocole) pourrait permettre de dire : Tel user, je ne met pas de mdp (ou alors plutôt faible) car seule une IP locale pourra y accéder. C'est largement suffisant en sécurité pour certaines choses (si on parvient à se connecter sous cet IP, cela veut dire que ton réseau n'est plus sécurisé donc le problème est déjà bien présent et donc mdp ou pas, tu n'es plus en sécurité) Une solution alternative pourrait être un filtrage IP par utilisateur, mais cela n'est pas possible non plus.

Je ne sais pas si l'info a déjà été ajoutée ici (dans ce cas là j'aurai juste réinventé la roue ) mais j'en ai eu marre de devoir refaire la config à chaque mise à jour majeur (non update). C'est particulièrement ennuyant quand on constate la mise à jour le matin au réveil avant de partir au boulot. du coup, je peux à présent laisser les mises à jour automatique tout en ne craignant plus le non-accès au syno pour toute la famille jusque je m'y plonge dessus : mkdir /usr/local/script/ vi /usr/local/script/ReverseProxy grep '/usr/local/etc/http.d/' /etc/httpd/conf/httpd.conf-user retval=$? if [ "$retval" = 0 ] then echo "OK" else echo "NOK" sed -i '/Listen 80/a Include /usr/local/etc/http.d/*.conf' /etc/httpd/conf/httpd.conf-user date=$(date) sed -i '/Listen 80/a '#"$date"'' /etc/httpd/conf/httpd.conf-user sed -i '/Listen 80/a '" "'' /etc/httpd/conf/httpd.conf-user /usr/syno/sbin/synoservicecfg --restart httpd-user fi Le code vérifie si "/usr/local/etc/http.d/" apparait dans le fichier (en gros l'include du reverse proxy) si oui, il ne fait rien, si non, il ajoute l'include, la date et un saut de ligne. Enfin, il relance le serveur web J'ai rajouté la date pour savoir si le script est passé par là et si oui quand. (pour les curieux qui veulent savoir si la mise à jour à retirer le reverse proxy ou non) Il ne reste plus qu'à utiliser le planificateur de tâche et de mettre la tâche environ 30 min après la tâche de recherche de mise à jour de façon quotidienne (j'ai pris de la marge, 10 min d'attente d'annulation de la mise à jour + 10 min de temps de mise à jour + 10 min de marge en cas de mise à jour un peu plus longue à s'installer et reboot) Ce qui fait que dans le pire des cas, 10-15 min d'inaccessibilité sans intervention manuelle. Ce que je conseille, c'est de mettre la tâche en plein milieu de la nuit (3 ou 4h du matin) pour ne pas du tout être géné par l'inaccessibilité.

Ds vidéo sur iOS

C'est tout le contraire justement. Tu as l'air malin si tu as un défaut sur la série et que les deux tombent en panne en même temps (surtout en raid)

Je suis à 100% d'accord avec toi. J'en ai d'ailleurs un. Mais attention, un serveur ca se loue, mais la sécurisation de celui-ci ca ne s'improvise pas. Seule une poignée de personnes ont de réelles compétences pour le faire. Un serveur en ligne à administrer cest pas un syno