PiwiLAbruti Posté(e) le 10 mai 2013 Posté(e) le 10 mai 2013 (modifié) Je parle surtout de bloquer tout le trafic entrant sur l'interface VPN puis de définir des règles entrantes spécifiques aux services utilisés. Ce n'est pas de la redirection mais du filtrage. Malheureusement Synology ne permet pas ce paramétrage vital dans le pare feu du DSM, d'où la seul alternative restante : iptables. Modifié le 10 mai 2013 par PiwiLAbruti 0 Citer
Alphi Posté(e) le 15 juin 2013 Posté(e) le 15 juin 2013 Et bien, je découvre ce problème !!!! Donc en gros si mon neurone a bien imprimé : NAS ----- Vpn = Nas derrière mon routeur local en DMZ (c'est juste l'adresse public qui change) PC ------ VPN tiers = PC derrière mon routeur local en DMZ (c'est juste l'adresse publique qui change) PC ------- VpN de mon syno = PC accessible via l'adresse publique du nas et tjs comme si en DMZ Correct ? 0 Citer
darphboubou Posté(e) le 3 mai 2014 Posté(e) le 3 mai 2014 Bonjour, Ne connaissant rien au monde linux, pourriez-vous m'indiquer comment mettre ce script en place? faut-il passer par le mode console etc??? 0 Citer
Arakiss64 Posté(e) le 27 août 2014 Posté(e) le 27 août 2014 Merci pour ce tuto très intéressant (et effrayant!)... Mais ne suffit-il pas de restreindre l'accès aux différents réperoires du diskstation, voire même les cacher à toute personne étrangère ? Panneau de configuration / Dossiers partagés : 0 Citer
Arakiss64 Posté(e) le 30 août 2014 Posté(e) le 30 août 2014 Aucune réponse, je suppose donc que j'ai dit une bêtise Du coup, j'ai mis les mains dans le cambouis et j'ai pigé pas mal de trucs. Mais il me reste quelques interrogations : -il semble que depuis le dsm5.0, la commande s04crond.sh n'est plus dans /usr/syno/etc.defaults/rc.d du coup je n'arrive pas à stopper crond afin de faire le test décrit dans le tuto -j'ai tenté un /usr/syno/sbin/synoservicecfg --restart crond mais rien n'y fait : /usr/syno/etc.defaults/rc.d/S04crond.sh stop ne marche pas. (not found) Jusque là j'avais réussi à créer mon script et mon cron dans crontab (déjà pas mal vu que je suis parti de zéro il y a 2 jours ) Mais je me demande quel port je dois éditer dans le script : cette ligne là ? $iptables -A INPUT -i $interface -p tcp --destination-port 51511 -j ACCEPT (En partant du principe que 51511 est le port que j'ai défini dans le DSM pour le service BT) (d'ailleurs dois-je plutôt indiquer le port que j'utilise pour le client vpn ?) merci d'avance ! dernière question : un iptables -L -v me donne ceci : Syno> iptables -L -v Chain INPUT (policy ACCEPT 6816 packets, 1820K bytes) pkts bytes target prot opt in out source destination 3461 1342K DOS_PROTECT all -- eth0 any anywhere anywhere Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 6788 packets, 1279K bytes) pkts bytes target prot opt in out source destination Chain DOS_PROTECT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN icmp -- eth0 any anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 0 0 DROP icmp -- eth0 any anywhere anywhere icmp echo-request 4 160 RETURN tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 0 0 DROP tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST 83 4748 RETURN tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100 0 0 DROP tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN Que dois-je en déduire svp ??? 0 Citer
Vinc Posté(e) le 30 septembre 2014 Posté(e) le 30 septembre 2014 Petite mise à jour: la version en béta actuellement 5.1 de DSM permet désormais de configurer le firewall aussi sur la connection VPN 0 Citer
maxou2600 Posté(e) le 11 octobre 2014 Posté(e) le 11 octobre 2014 Bonjour, je suis équipé de DSM 5.0 . J'ai une question : cette ligne ci permet d'autoriser le port 5001 ? $iptables -A INPUT -i $interface -p tcp --destination-port 5001 -j ACCEPT Maintenant, je souhaite passer par le VPN pour Download Station (que pour ça) Je fais comment ? Car si je mets le VPN pour tout, je ne peux plus y accéder via l'exterieur etant donné que l'ip est la même pour tous ceux connectés sur le même VPN. Donc ce que je voudrais, c'est faire en sorte que Download Station passe par le VPN et que tout le reste passe par l'ip de mon opérateur (par exemple que je puisse accéder au NAS Grâce a DynDNS). Merci d'avance 0 Citer
pluton212+ Posté(e) le 12 octobre 2014 Posté(e) le 12 octobre 2014 Pour quelle(s) raison(s) vouloir faire passer DownloadStation par le VPN (et pas le reste du trafic)? 0 Citer
maxou2600 Posté(e) le 12 octobre 2014 Posté(e) le 12 octobre 2014 parce que si je fais passer le reste du trafic, je ne peux plus accéder à mon syno depuis l'exterieur (En gros le VPN où je suis, tout le monde a la même IP, donc la redirection vers le syno n'est pas possible) Après je dis Download Station mais ça peut être tout le reste évidemment, mais faudrait que l'IP WAN reste celle de mon opérateur (et non celle du VPN). Genre par exemple avoir l'ip de mon opérateur en principal (DynDNS, autres) et l'ip du VPN pour le reste. Peut être qu'avec le PID des applis a rediriger on pourrait rediriger vers tun0 (qui serait la connexion open VPN) et tout le reste resterait sur l'ip opérateur (mais là mes connaissances se limitent...). Merci d'avance 0 Citer
pikeupe Posté(e) le 20 novembre 2014 Posté(e) le 20 novembre 2014 Petite mise à jour: la version en béta actuellement 5.1 de DSM permet désormais de configurer le firewall aussi sur la connection VPN slt est comment on fait je serais intéressée merci 0 Citer
stev84 Posté(e) le 3 janvier 2015 Posté(e) le 3 janvier 2015 (modifié) Pour rendre le tout automatique, il faut utiliser crontab. Dans mon cas, le script est exécuté toute les minutes. Il y aura donc maximum une minute ou le NAS sera exposé lors de chque reboot/reconnection. Pour ma part j'ai ajouté le lancement du script dans le fichier /etc/fw_security/sysconf/iptables_security.sh Ce script est appelé à chaque changement de config/connexion de vpn, etc... donc pas le temps d'être exposé aux menaces!!! (même pour une minute) Il suffit d'éditer la fonction start() et d'ajouter le chemin vers le script : start() { fw_security_dump modules_reload [ -f $SZF_RULES_SECURITY_DUMP ] && ipv4_rule_apply $SZF_RULES_SECURITY_DUMP [ "yes" != "${V4ONLY}" -a -f $SZF_RULES_6_SECURITY_DUMP ] && ipv6_rule_apply $SZF_RULES_6_SECURITY_DUMP #load VPN rules /usr/local/scripts/vpn_iptables.sh return 0 } et ça marche au poil! Modifié le 3 janvier 2015 par stev84 0 Citer
Guiloo Posté(e) le 13 janvier 2015 Posté(e) le 13 janvier 2015 Petite mise à jour: la version en béta actuellement 5.1 de DSM permet désormais de configurer le firewall aussi sur la connection VPN ça veut dire qu'il n'y aura plus besoin de ce script avec la 5.1 ?! 0 Citer
Vinc Posté(e) le 13 janvier 2015 Posté(e) le 13 janvier 2015 ça veut dire qu'il n'y aura plus besoin de ce script avec la 5.1 ?! Ça ne change rien au soucis ! Synology n'a finalement pas implémenté dans la 5.1 les foctionnalités annoncés justement pour le routage entre VPN et connection native 0 Citer
Guiloo Posté(e) le 13 janvier 2015 Posté(e) le 13 janvier 2015 Ça ne change rien au soucis ! Synology n'a finalement pas implémenté dans la 5.1 les foctionnalités annoncés justement pour le routage entre VPN et connection native Ah dommage ! Merci pour l'info ! 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.