Aller au contenu

S


ERaw

Messages recommandés

Je parle surtout de bloquer tout le trafic entrant sur l'interface VPN puis de définir des règles entrantes spécifiques aux services utilisés. Ce n'est pas de la redirection mais du filtrage.

Malheureusement Synology ne permet pas ce paramétrage vital dans le pare feu du DSM, d'où la seul alternative restante : iptables.

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Et bien, je découvre ce problème !!!!

Donc en gros si mon neurone a bien imprimé :

NAS ----- Vpn = Nas derrière mon routeur local en DMZ (c'est juste l'adresse public qui change)

PC ------ VPN tiers = PC derrière mon routeur local en DMZ (c'est juste l'adresse publique qui change)

PC ------- VpN de mon syno = PC accessible via l'adresse publique du nas et tjs comme si en DMZ

Correct ?

Lien vers le commentaire
Partager sur d’autres sites

  • 10 mois après...
  • 3 mois après...

Aucune réponse, je suppose donc que j'ai dit une bêtise :D

Du coup, j'ai mis les mains dans le cambouis et j'ai pigé pas mal de trucs. Mais il me reste quelques interrogations :

-il semble que depuis le dsm5.0, la commande s04crond.sh n'est plus dans /usr/syno/etc.defaults/rc.d du coup je n'arrive pas à stopper crond afin de faire le test décrit dans le tuto

-j'ai tenté un /usr/syno/sbin/synoservicecfg --restart crond mais rien n'y fait : /usr/syno/etc.defaults/rc.d/S04crond.sh stop ne marche pas. (not found)

Jusque là j'avais réussi à créer mon script et mon cron dans crontab (déjà pas mal vu que je suis parti de zéro il y a 2 jours :) ) Mais je me demande quel port je dois éditer dans le script :

cette ligne là ? $iptables -A INPUT -i $interface -p tcp --destination-port 51511 -j ACCEPT

(En partant du principe que 51511 est le port que j'ai défini dans le DSM pour le service BT) (d'ailleurs dois-je plutôt indiquer le port que j'utilise pour le client vpn ?)

merci d'avance !


dernière question :

un iptables -L -v me donne ceci :

Syno> iptables -L -v
Chain INPUT (policy ACCEPT 6816 packets, 1820K bytes)
pkts bytes target prot opt in out source destination
3461 1342K DOS_PROTECT all -- eth0 any anywhere anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 6788 packets, 1279K bytes)
pkts bytes target prot opt in out source destination

Chain DOS_PROTECT (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN icmp -- eth0 any anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
0 0 DROP icmp -- eth0 any anywhere anywhere icmp echo-request
4 160 RETURN tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
0 0 DROP tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
83 4748 RETURN tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100
0 0 DROP tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN

Que dois-je en déduire svp ???

Lien vers le commentaire
Partager sur d’autres sites

  • 5 semaines après...
  • 2 semaines après...

Bonjour, je suis équipé de DSM 5.0 . J'ai une question : cette ligne ci permet d'autoriser le port 5001 ?

$iptables -A INPUT -i $interface -p tcp --destination-port 5001 -j ACCEPT

Maintenant, je souhaite passer par le VPN pour Download Station (que pour ça) Je fais comment ?

Car si je mets le VPN pour tout, je ne peux plus y accéder via l'exterieur etant donné que l'ip est la même pour tous ceux connectés sur le même VPN.

Donc ce que je voudrais, c'est faire en sorte que Download Station passe par le VPN et que tout le reste passe par l'ip de mon opérateur (par exemple que je puisse accéder au NAS Grâce a DynDNS).

Merci d'avance ;)

Lien vers le commentaire
Partager sur d’autres sites

parce que si je fais passer le reste du trafic, je ne peux plus accéder à mon syno depuis l'exterieur (En gros le VPN où je suis, tout le monde a la même IP, donc la redirection vers le syno n'est pas possible)

Après je dis Download Station mais ça peut être tout le reste évidemment, mais faudrait que l'IP WAN reste celle de mon opérateur (et non celle du VPN).

Genre par exemple avoir l'ip de mon opérateur en principal (DynDNS, autres) et l'ip du VPN pour le reste.

Peut être qu'avec le PID des applis a rediriger on pourrait rediriger vers tun0 (qui serait la connexion open VPN) et tout le reste resterait sur l'ip opérateur (mais là mes connaissances se limitent...).

Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
  • 1 mois après...

Pour rendre le tout automatique, il faut utiliser crontab. Dans mon cas, le script est exécuté toute les minutes. Il y aura donc maximum une minute ou le NAS sera exposé lors de chque reboot/reconnection.

Pour ma part j'ai ajouté le lancement du script dans le fichier /etc/fw_security/sysconf/iptables_security.sh

Ce script est appelé à chaque changement de config/connexion de vpn, etc... donc pas le temps d'être exposé aux menaces!!! (même pour une minute)

Il suffit d'éditer la fonction start() et d'ajouter le chemin vers le script :

start() {

fw_security_dump

modules_reload

[ -f $SZF_RULES_SECURITY_DUMP ] && ipv4_rule_apply $SZF_RULES_SECURITY_DUMP

[ "yes" != "${V4ONLY}" -a -f $SZF_RULES_6_SECURITY_DUMP ] && ipv6_rule_apply $SZF_RULES_6_SECURITY_DUMP

#load VPN rules

/usr/local/scripts/vpn_iptables.sh

return 0

}

et ça marche au poil! :D

Modifié par stev84
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.