Aller au contenu

Messages recommandés

Bonjour,

Voilà une question que je me pose et pour laquelle je n'ai pas trouvé de réponse.

Depuis l'extérieur et en particulier depuis mon boulot, je n'ai accès qu'aux ports de base (80, 443, 21, etc) pour internet.

L'accès sécurisé de mon NAS se fait sur le port 5001 (par défaut) et il est donc impossible d'y accéder via monip:5001 depuis mon boulot.

Du coup, pour accéder à mon NAS (DS211j), je me connecte en https://monip (je précise que le port 80 est déjà utilisé).

Dans les faits, je me connecte donc depuis mon boulto avec le port 443 à ma Freebox v6 qui redirige sur le port 5001 de mon NAS : OK ça marche.

Maintenant je voudrais pouvoir accéder au Freebox OS (port 81) aussi depuis mon boulot.

Je précise que j'accède sans problème à ma Freebox en lecteur réseau dans File Station.

Mais là c'est au Freebox OS que je voudrais pouvoir accéder via le DSM comme si je passe par une application ou par un lien "local" qui ferait http://mafreebox.freebox.fr par exemple vu que je suis déjà connecté chez moi.

Le but étant de pouvoir accéder aux paramètres (et tout le reste) de ma Freebox depuis l'extérieur.

Quelqu'un sait-il comment faire ça ?

Et quelqu'un sait-il tout simplement si il est possible de le faire ?

Merci d'avance pour vos réponses.

Et bonne journée !

Lien vers le commentaire
Partager sur d’autres sites

Haproxy fait très bien ce que tu demandes..

Autre avantage, oui c'est de pouvoir donner un nom et ne pas devoir retenir un numéro de port ou autre.

Tu peux par exemple faire ce genre de chose :

box.nom_de_domaine

music.nom_de_domaine

etc etc etc

C'est ce que j'ai fais et c'est vraiment pas mal d'ajouter un préfixe :)

Lien vers le commentaire
Partager sur d’autres sites

Pourquoi ne fais-tu pas tout simplement une translation de port (comme tu as fait en fait).

A savoir 443 -> 5001 vers ton NAS (ce qui donne : httpS://monIP pour accéder au NAS et http://monip pour accéder à la freebox si tu actives l'accès à distance à l'interface de la box)

Je n'ai pas compris ton histoire de port 81 alors que la freebox est accessible tout simplement en faisant : http://monIP par défaut (sauf si tu as changé le port d'accès ou que tu refuses l'accès à distance)

Après, si tu ne souhaites pas activé l'accès à distance de ta freebox (pas précisé, mais c'est bien le plus simple dans ce que tu veux faire) tu peux effectivement utiliser le proxy ou alors tu peux utiliser VPN Center aussi qui te permet de faire comme si ton ordi distant est dans ton réseau local.

Modifié par Vinky
Lien vers le commentaire
Partager sur d’autres sites

Haproxy fait très bien ce que tu demandes..

Autre avantage, oui c'est de pouvoir donner un nom et ne pas devoir retenir un numéro de port ou autre.

Tu peux par exemple faire ce genre de chose :

box.nom_de_domaine

music.nom_de_domaine

etc etc etc

C'est ce que j'ai fais et c'est vraiment pas mal d'ajouter un préfixe :)

OK cool ! Il faut que je me penche sur la question.

Pour l'instant, j'ai juste installé Python et HAproxy sans regarder plus que ça.

Mais visiblement, j'arriverai à faire ce que je veux.

Pourquoi ne fais-tu pas tout simplement une translation de port (comme tu as fait en fait).

A savoir 443 -> 5001 vers ton NAS (ce qui donne : httpS://monIP pour accéder au NAS et http://monip pour accéder à la freebox si tu actives l'accès à distance à l'interface de la box)

Je n'ai pas compris ton histoire de port 81 alors que la freebox est accessible tout simplement en faisant : http://monIP par défaut (sauf si tu as changé le port d'accès ou que tu refuses l'accès à distance)

Après, si tu ne souhaites pas activé l'accès à distance de ta freebox (pas précisé, mais c'est bien le plus simple dans ce que tu veux faire) tu peux effectivement utiliser le proxy ou alors tu peux utiliser VPN Center aussi qui te permet de faire comme si ton ordi distant est dans ton réseau local.

Non je ne peux pas accéder à la Freebox par le port 80 car je l'utilise déjà pour le service web et photo station.

C'est pourquoi j'ai activé l'accès à distance de la Freebox sur le port 81.

Merci pour le conseil du VPN aussi mais je crois que je vais d'abord regarder HAproxy.

Merci à tous en tous cas.

Lien vers le commentaire
Partager sur d’autres sites

Non je ne peux pas accéder à la Freebox par le port 80 car je l'utilise déjà pour le service web et photo station.

C'est pourquoi j'ai activé l'accès à distance de la Freebox sur le port 81.

Je ne comprend pas, quand tu fais https, tu utilises le port 443 (et non pas le 80). Photostation devrait donc être accessible également via le port 443. Pour le service Web, tu parles d'un service à toi ou de l'interface ?

Ce que je t'ai dit c'est ce que je faisais sur ma freebox pour accéder à tout depuis le réseau d'entreprise.

En utilisant le https (le port 443+sécurisation donc) pour le synology ainsi que le http (80) pour la freebox, tu accèdes à tout sans proxy (qui ne sont absolument pas nécessaire dans ton cas, sauf si tu ne veux pas d'accès distant)

Personnellement, j'essaierais plus de jouer sur les ports ouverts et d'y attribuer des services via la translation de port que le proxy dans ton cas. (c'est sortir un buldozer, mais surtout des failles, pour accéder à un trou de souris)

Modifié par Vinky
Lien vers le commentaire
Partager sur d’autres sites

Haproxy n'ouvre pas de ports comme dans ce que tu dis Vinky.

Avec Haproxy, tu ouvres le port 443 seulement et tu auras accès à tous !

C'est un avantage en terme de sécurité contrairement à ce que tu fais, c'est à dire ouvrir le port 5001, le port de music station, de l'audio station etc etc.

Avec Haproxy, tu ouvres un seul et unique port ! Sécurité accrue.

Pour info, tu te connectes en http sur ta freebox, là ou moi je m'y connecte en https grâce à HAproxy ;)

Modifié par tonymans72
Lien vers le commentaire
Partager sur d’autres sites

La sécurité ça va plus loin que le nombre de port ouvert, c'est surtout : quel port pour quoi. Ouvrir le port 22 ça peut être super sécurisé, sauf si tu t'en sers pour faire du ssh, où là ça devient dangereux. (je parle en particulier pour les scripts auto, si un mec veut rentrer, dis-toi que quoi que tu fasses, il rentrera)

Avoir une multitude de ports ouvert peux être plus sécurisé que d'en avoir qu'un seul. On accède à tout via un port, c'est très dangereux à mon goût. Je préfère tout séparé et rendre compliqué les choses (ça reste mon avis et c'est le principe du sandboxing).

Après, non tu ne te connectes pas à ta freebox en https (qui ne le gère pas) mais tu accèdes à un portail en https pour te connecter à ta freebox. (certes si on regarde le réseau où tu es, c'est mieux, mais si on regarde le réseau entre ta freebox et ton portail, c'est du pareil au même).

Lien vers le commentaire
Partager sur d’autres sites

La sécurité ça va plus loin que le nombre de port ouvert, c'est surtout : quel port pour quoi. Ouvrir le port 22 ça peut être super sécurisé, sauf si tu t'en sers pour faire du ssh, où là ça devient dangereux. (je parle en particulier pour les scripts auto, si un mec veut rentrer, dis-toi que quoi que tu fasses, il rentrera)

Avoir une multitude de ports ouvert peux être plus sécurisé que d'en avoir qu'un seul. On accède à tout via un port, c'est très dangereux à mon goût. Je préfère tout séparé et rendre compliqué les choses (ça reste mon avis et c'est le principe du sandboxing).

Après, non tu ne te connectes pas à ta freebox en https (qui ne le gère pas) mais tu accèdes à un portail en https pour te connecter à ta freebox. (certes si on regarde le réseau où tu es, c'est mieux, mais si on regarde le réseau entre ta freebox et ton portail, c'est du pareil au même).

Je sais pas d'où tu sort tes connaissances sur la sécurité informatique, mais là tu as tout faux :rolleyes:

Le ssh est l'un des protocoles les plus sécurisés, je comprends pas ton argumentaire

Ensuite, un port, seul, ce n'est rien. C'est qui tourne en écoute sur ce port qui est le "problème" (SSH n'en est pas un par exemple, le https non plus)

Enfin, parlons de "surface d'attaque". Plus tu ouvres de port, plus tu es potentiellement vulnérable, donc je comprends toujours pas ton argumentaire

Pour finir, il y a des utilitaires sur syno pour gérer les blocages d'IP automatique, la fermeture des ports, ainsi que la limitation du nombre de connexion par IP

Lien vers le commentaire
Partager sur d’autres sites

Après, non tu ne te connectes pas à ta freebox en https (qui ne le gère pas) mais tu accèdes à un portail en https pour te connecter à ta freebox. (certes si on regarde le réseau où tu es, c'est mieux, mais si on regarde le réseau entre ta freebox et ton portail, c'est du pareil au même).

Euh ouais et donc ? La connexion reste du HTTPS et est pas conséquent sécurisée !

Entre freebox et le syno donc ? Ce qui signifie qu'il doit accédé à mon Wifi...

D'accord avec Bud, ton argumentaire et ta réflexion n'est pas la meilleure et me semble erronée ;)

Je fais des études dans la sécurité et quoi qu'il en soit, plus tu ouvres de ports, plus tu es vulnérable, c'est aussi simple que ça !

Modifié par tonymans72
Lien vers le commentaire
Partager sur d’autres sites

Je sais pas d'où tu sort tes connaissances sur la sécurité informatique, mais là tu as tout faux :rolleyes:

Le ssh est l'un des protocoles les plus sécurisés, je comprends pas ton argumentaire

Quand ai-je dis que le ssh en lui-même n'est pas sécurisé ? J'ai juste dis qu'utiliser le port 22 pour le ssh était dangereux. Comme dit, tout port ouvert est un danger potentiel, particulièrement si se sont les ports par défaut car tous les scripts bidons mis sur les serveurs de "hacks" rentreront dans leur vulnérabilité.

Après, comme dit également, une personne qui veut rentrer, rentrera. Sauf qu'en tant que particulier, peu de chance pour qu'un mec s'acharne à vouloir rentrer à partir du moment où le voisin est moins sécurisé que soi. (sauf vengeance personnelle)

Ensuite, un port, seul, ce n'est rien. C'est qui tourne en écoute sur ce port qui est le "problème" (SSH n'en est pas un par exemple, le https non plus)

On est bien d'accord, c'est ce que j'ai dit. On peut même aller plus en mettant en place des système qui font croire que certains ports sont ouverts sur certains protocoles (dans le cas où un serveur vient voir les ports ouverts et leurs fonctions).

Enfin, parlons de "surface d'attaque". Plus tu ouvres de port, plus tu es potentiellement vulnérable, donc je comprends toujours pas ton argumentaire

Pas forcement justement, tout dépend à quoi servent chacun de tes ports. Comme dit, si tu t'en sers pour faire un "piège" (le 22 est un excellent exemple, le laisser ouvert en simulant un port ssh alors que l'accès est via un autre port couplé à Fail2ban pour directement detecter/bannir les IP de ceux qui tente de s'introduire sur le serveur via le 22 sera bien plus sécurisé que laissé que le port 22 ouvert pour utiliser sa propre connexion ssh). Dans cet exemple, on a 2 ports ouverts (22 et un au hasard) qui seront certainement bien plus sécurisé que le simple port 22 ouvert avec accès ssh. (manque plus qu'on ai laissé l'accès par mdp ainsi que le nombre de tentative en illimité et on a gagné !)

Qui a déjà regardé ses logs sait que le 22 est extrêmement scanné.

Euh ouais et donc ? La connexion reste du HTTPS et est pas conséquent sécurisée !

Entre freebox et le syno donc ? Ce qui signifie qu'il doit accédé à mon Wifi...

Que entre ton appareil et ton NAS, pas entre ton NAS et ta freebox.

Accès au WiFi ou tout simplement accès à un de tes périphériques qui est sur ton réseau local (Virus ou autre sur un Appareil pas sécurisé, ça peut même ne pas venir de toi mais d'un ami qui est chez toi)

Je fais des études dans la sécurité et quoi qu'il en soit, plus tu ouvres de ports, plus tu es vulnérable, c'est aussi simple que ça !

Pas exactement (cf avant) Modifié par Vinky
Lien vers le commentaire
Partager sur d’autres sites

Quand ai-je dis que le ssh en lui-même n'est pas sécurisé ? J'ai juste dis qu'utiliser le port 22 pour le ssh était dangereux. Comme dit, tout port ouvert est un danger potentiel, particulièrement si se sont les ports par défaut car tous les scripts bidons mis sur les serveurs de "hacks" rentreront dans leur vulnérabilité.

Ouvrir le port 22 ça peut être super sécurisé, sauf si tu t'en sers pour faire du ssh, où là ça devient dangereux.

Juste là : Faire du ssh sur port 22 c'est pas sécurisé. Différend de ce que tu dis ensuite "port 22 pour ssh est dangereux"

Après, comme dit également, une personne qui veut rentrer, rentrera. Sauf qu'en tant que particulier, peu de chance pour qu'un mec s'acharne à vouloir rentrer à partir du moment où le voisin est moins sécurisé que soi. (sauf vengeance personnelle)

C'est certains, mais encore faut-il laisser des vecteurs d'attaque disponible

On est bien d'accord, c'est ce que j'ai dit. On peut même aller plus en mettant en place des système qui font croire que certains ports sont ouverts sur certains protocoles (dans le cas où un serveur vient voir les ports ouverts et leurs fonctions).

Si çà t'amuse de faire des honeypot ...

Pas forcement justement, tout dépend à quoi servent chacun de tes ports. Comme dit, si tu t'en sers pour faire un "piège" (le 22 est un excellent exemple, le laisser ouvert en simulant un port ssh alors que l'accès est via un autre port couplé à Fail2ban pour directement detecter/bannir les IP de ceux qui tente de s'introduire sur le serveur via le 22 sera bien plus sécurisé que laissé que le port 22 ouvert pour utiliser sa propre connexion ssh). Dans cet exemple, on a 2 ports ouverts (22 et un au hasard) qui seront certainement bien plus sécurisé que le simple port 22 ouvert avec accès ssh. (manque plus qu'on ai laissé l'accès par mdp ainsi que le nombre de tentative en illimité et on a gagné !)

Qui a déjà regardé ses logs sait que le 22 est extrêmement scanné.

Tu me rappelles l'intérêt d'un nas ? Faire des pièges qui ne doit pas amuser grand monde à part toi ?

Ou stocker ses fichiers ?

Que entre ton appareil et ton NAS, pas entre ton NAS et ta freebox.

Accès au WiFi ou tout simplement accès à un de tes périphériques qui est sur ton réseau local (Virus ou autre sur un Appareil pas sécurisé, ça peut même ne pas venir de toi mais d'un ami qui est chez toi)

Pas exactement (cf avant)

Oui, mais non, très mauvais exemple

Il n'y a pas d'encryption entre le syno et la box, mais pour que quelqu'un fasse une interception (MITM) il doit déjà être introduit chez toi

Donc ton besoin d'être protégé ne sert à rien, à a déjà accès à tout dans ce cas

Lien vers le commentaire
Partager sur d’autres sites

Juste là : Faire du ssh sur port 22 c'est pas sécurisé. Différend de ce que tu dis ensuite "port 22 pour ssh est dangereux"

Mouais... tu chippotes vraiment pour chippoter. Je n'ai quand même jamais dit que le ssh en lui-même n'était pas sécurisé. (ça serait un comble vu ce que ça veut dire)

Tu me rappelles l'intérêt d'un nas ? Faire des pièges qui ne doit pas amuser grand monde à part toi ?

Ou stocker ses fichiers ?

On est bien d'accord, mais on est complètement HS par rapport à l'utilisation d'un NAS. c'était pour donner un contre-exemple à l'idée : "Plus tu as de ports ouverts moins tu es sécurisé"

Oui, mais non, très mauvais exemple

Il n'y a pas d'encryption entre le syno et la box, mais pour que quelqu'un fasse une interception (MITM) il doit déjà être introduit chez toi

Donc ton besoin d'être protégé ne sert à rien, à a déjà accès à tout dans ce cas

J'ai l'impression qu'on dit la même chose sur ce point. On peut dire que c'est "moins pire" mais pas que l'on est sur la freeBox en HTTPS.

Bref, on est complètement HS par rapport au sujet, le principal reste que iggyrider73 est la réponse qu'il souhaitait à savoir l'utilisation d'Haproxy :)

Lien vers le commentaire
Partager sur d’autres sites

Je chipote pas, tu dis des choses erronées, je corrige

Y'aura jamais de contre exemple sur les ouvertures de ports. Moins y'en a, mieux c'est

Ton "exemple" ne représente rien à par donner plus de surface d'attaque

L'idée de base c'était de pas avoir la connexion à la freebox en non sécurisé, ici, c'est bien sécurisé jusqu'à ton réseau interne, là c'est toi qui chipote ...

Lien vers le commentaire
Partager sur d’autres sites

Je chipote pas, tu dis des choses erronées, je corrige

Ouvrir le port 22 ça peut être super sécurisé, sauf si tu t'en sers pour faire du ssh, où là ça devient dangereux.

Dans cette phrase je ne dis nulle par que ssh n'est pas sécurisé. Donc tu chippotes était une manière poli de dire je ne suis pas d'accord. Mais vu que tu insistes, je dirai directement : je ne l'ai pas dis, ta phrase sensé te donner raison le prouve. Je dis que c'est dangereux ! (dangereux ~ moins sécurisé != pas sécurisé)

Y'aura jamais de contre exemple sur les ouvertures de ports. Moins y'en a, mieux c'est

Ton "exemple" ne représente rien à par donner plus de surface d'attaque

Et pas forcement moins de sécurité. Donc tu n'es pas "moins vulnérable" (au contraire même dans mon exemple... les attaques vont se concentrer sur un port non utilisable) CQFD. (le but n'est pas de savoir si tu as le plus de chance de te faire attaqué -dans ce cas, effectivement, moins d'ouvert c'est moins de possibilité, c'est mathématique et logique- mais si tu es moins vulnérable, c'est pas moi qui est mis le mot "vulnérabilité" dans la discussion mais tonymans72, tu t'en prends à lui si le sujet du débat ne te plait pas ;) )

Je lui montrais donc que avoir plus du ports ouverts n'était pas nécessairement signe de plus de vulnérabilité. je cite :

Je fais des études dans la sécurité et quoi qu'il en soit, plus tu ouvres de ports, plus tu es vulnérable, c'est aussi simple que ça !

L'idée de base c'était de pas avoir la connexion à la freebox en non sécurisé, ici, c'est bien sécurisé jusqu'à ton réseau interne, là c'est toi qui chipote ...

J'ai juste répondu à la remarque : "connecté en HTTPS sur la freebox" après le reste c'est toi qui vient te faire plaisir en déviant du sujet ;) (comme la remarque précédente d'ailleurs)

Bref, comme dit, c'est pas le sujet ici, si tu souhaites vraiment continuer à débattre, on peut le faire par MP, mais j'ai l'impression que cela reste uniquement dans le but de prendre de haut, donc ça devrait s'arrêter là pour moi. :)

Modifié par Vinky
Lien vers le commentaire
Partager sur d’autres sites

Je ne te prends pas de haut, j'ai juste vu des fautes que je me suis permis de rectifier, venant une personne ayant peu de posts à son actif, et débâtant sur des sujets pas vraiment abordés par les novices (sans offense)

Y'a pas vraiment de débat, tu as tes idées, j'ai les miennes (que je suis apparemment pas le seul à partager) et aucun de nous n'arrivera à convaincre l'autre

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.