Aller au contenu

Acces Nas Du Boulot


rogerb

Messages recommandés

Bonjour,

Je rencontre un problème simple :

accès à mon nas impossible à partir du boulot. Je suis bloqué avec un message qui dit grosso modo que c'est interdit parce que l'adresse que je cherche à joindre est détéctée comme: Dynamic DNS Host;File Storage/Sharing. Je ne sais pas si c'est un filtre proxy? ou autre...

J'ai consulté quelques topics sur le forum et j'ai trouvé cela :

mais je ne suis pas certain que cela résolve mon pb. (avant d'essayer j'aimerai savoir si cela sera utile pour mon cas).

D'après ce que j'ai compris :

1 - les filtres proxy bloquent certains ports. Pour résoudre ce problème, on utilise un reverse proxy qui "entre" par un port ouvert (genre 80) et donne accès aux autres ports dispo sur le LAN. Dans mon cas, je n'ai trouvé aucun port ouvert sur mon NAS en partant du réseau du boulot.

A priori je dirai que cette solution ne pourra pas marcher. Vrai ?

2 - j’utilise une adresse mondomaine.synology.com qui en dehors du réseau boulot me donne pleine satisfaction. Une autre hypothèse pour moi serait de faire en sorte que le filtre du boulot ne detecte plus mon nas comme "Dynamic DNS Host;File Storage/Sharing" .

Est ce possible?

3 - je viens de faire un test qui me fait penser que peut etre le reverse proxy pourrait m'aider :

3a - mondomaine.synology.com:45001 bloqué par le proxy (message dans le navigateur) ==> kport fermé par le proxy du boulot.

3b - mondomaine.synology.com:80 filtré et message reseau interne. ==> port ouvert mais contenu filtré (NAS etc..)

Du coup, si je redirige avec un reverse proxy 80 vers 45001, j'aurai accès? ou je serai filtré?

Merci pour votre aide.

Roger.

Modifié par rogerbraguette
Lien vers le commentaire
Partager sur d’autres sites

Hello,

J'accède à mon Nas de n'importe où dans le monde :) ... sauf lorsque j'essaye d'y accèder en étant sur le réseau du boulot.

Si la question est de voir s'il y a un problème de redirection de port ou d'accès via internet : la réponse est non ;)

Roger.

Lien vers le commentaire
Partager sur d’autres sites

Les noms de domaines DDNS (dont font partie ceux fournis par synology *.synology.com, *.myds.me etc ..) sont catégorisés comme noms de domaines dynamiques et, par suite, très souvent filtrés par les proxies d'entreprise.

La solution est, soit comme on te l'a suggéré d'utiliser ton IP (si elle est fixe), mais c'est pas très pratique, surtout si tu veux faire du virtualhost, soit de t'acheter un nom de domaine: l'abonnement annuel est franchement pas élevé (moins de 10€ par an en .fr chez OVH par exemple: http://www.ovh.com/fr/domaines/dotfr.xml)

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Ok on avance !

j'arrive à acceder à mon nas. Le filtre "boulot" n'opère plus :) Super merci !

Par contre, impossible d'acceder au DSM manager.

Ca tourne et j'obtiens un "connection time out" et du coup j'ai l'impression que ça ressemble au pb décrit dans le post plus haut.

Je vais ptet devoir passer par le reverse proxy...

A suivre.

Lien vers le commentaire
Partager sur d’autres sites

Par contre, impossible d'acceder au DSM manager.

Ca tourne et j'obtiens un "connection time out" et du coup j'ai l'impression que ça ressemble au pb décrit dans le post plus haut.

Je vais ptet devoir passer par le reverse proxy...

Très probable que ton proxy ne laisse pas passer le port 5000 (classiquement seuls 80 et 443 sont autorisés)

Lien vers le commentaire
Partager sur d’autres sites

Très probable que ton proxy ne laisse pas passer le port 5000 (classiquement seuls 80 et 443 sont autorisés)

oui je pense que le port 45000 redirigé vers le 5000 du Nas est bloqué du boulot. (point 3a de mon post initial).

Vous confirmez que pour by passer cela je dois:

A - mettre en place le reverse proxy?

ou

B - modifier "les fichiers de config pour inverser les ports 80 avec 5000 et 443 avec 5001" du post

ps:

je vais surement passer chez ovh pour avoir un nom de domaine qui va bien.

Ca facilitera la vie je pense. :)

Modifié par rogerbraguette
Lien vers le commentaire
Partager sur d’autres sites

Vous confirmez que pour by passer cela je dois:

A - mettre en place le reverse proxy?

ou

B - modifier "les fichiers de config pour inverser les ports 80 avec 5000 et 443 avec 5001" du post

L'option "A" est plus propre

Sinon tu as aussi la solution haproxy

En ce qui me concerne j'ai tendance à préconiser le reverse proxy car c'est ce que je maîtrise le mieux vu que j'utilise et que j'ai rédigé un tuto, mais haproxy répond aussi à la problématique.

Je l'avais testé au début mais il m'avait planté le NAS et j'ai préféré en rester là. Mais je package a été très certainement fiabilisé depuis le temps.

Lien vers le commentaire
Partager sur d’autres sites

Je vais regarder ce que fait HAProxy et voir si c'est plus facile que ta méthodo qui semble sur le papier assez simple.

Dans la méthodo, je vois que les balises ProxyPassReverse et ProxPass ont la même URL:Port. j'imagine que c'est normal mais je ne comprends pas.

Une autre question me vient à l'esprit :

j'ai mis en place du port forwarding pour eviter l'accès "facile" par le scan d'ip à mon nas sur les ports connus (5000, 5001, etc...).

Est ce que le reverse proxy n'est pas une regression d'un point de vue securité :

1 - ca ne sert plus à rien d'ouvrir les ports différents de 80 et 443 puisque le but est qu'ils canalisent tout.

2 - est ce que je ne redeviens pas vulnérable puisque tout passe par 80 et 443 dorénavant ? :wacko:

N'existe t il pas un moyen de combiner les 2 (reverser + forward de port) ? :rolleyes:

Est ce comme ça que cela fonctionne? :huh:

Lien vers le commentaire
Partager sur d’autres sites

j'ai mis en place du port forwarding pour eviter l'accès "facile" par le scan d'ip à mon nas sur les ports connus (5000, 5001, etc...).

Est ce que le reverse proxy n'est pas une regression d'un point de vue securité :

1 - ca ne sert plus à rien d'ouvrir les ports différents de 80 et 443 puisque le but est qu'ils canalisent tout.

2 - est ce que je ne redeviens pas vulnérable puisque tout passe par 80 et 443 dorénavant ? :wacko:

N'existe t il pas un moyen de combiner les 2 (reverser + forward de port) ? :rolleyes:

Est ce comme ça que cela fonctionne? :huh:

Ce n'est pas forcément un risque: avec le reverse proxy au lieu d'acceder directement par exemple à l'interface DSM via les port 5000 et 5001 ou un autre port choisi par toi, il va falloir passer par un "virtualhost" du genre "MenuDSM.mondomaine.com"

Vu que tu peux choisir ce que tu veux pour la chaîne "MenuDSM", un potentiel attaquant aura du mal à la deviner en tapant au hasard; alors que le port il pourra par le trouver avec un peu de patience avec un simple scan de ports.

En plus, si tu veux, dans les blocs de définition de virtual hosts des fichiers de conf apache rien ne t’empêche de mettre en place des restrictions d'IP (via les clause "order", "deny" et "allow") pour n'accepter les connexions entrantes qu'a partir de sources connues et amies.

Et enfin, n'oublie pas que le blocage auto d'IP assure une bonne sécurité aussi.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

En plus, si tu veux, dans les blocs de définition de virtual hosts des fichiers de conf apache rien ne t’empêche de mettre en place des restrictions d'IP (via les clause "order", "deny" et "allow") pour n'accepter les connexions entrantes qu'a partir de sources connues et amies.

Oui j'ai créusé un peu le sujet et j'ai parcourru le site d'apache où j'ai trouvé plein d'options relatives aux virtualhosts et aux proxys.

Je ne sais pas ce que ça va donner mais si je trouve un truc je reviendrai le partager ici.

Et enfin, n'oublie pas que le blocage auto d'IP assure une bonne sécurité aussi.

Yep, j'ai passé une nuit sans et je me suis fait "bombarder" :angry: .

Du coup c'est le premier truc que j'ai activé et qui en plus du port forwarding me permet de dormir sur mes 2 oreilles ! ;)

Enfin, j'ai mis en place le reverse proxy grâce à ta méthodo et cela fonctionne très bien:

j'ai parfaitement accès au DSM depuis le boulot ce qui n'était pas le cas avant !

MERCI !

:) :) :) :)

Lien vers le commentaire
Partager sur d’autres sites

L'étape suivante est de ne pas ouvrir les ports en dessous de 1024 .... (en particulier le fameux port 22 de SSH ) mais c'est une autre histoire !

Ca je pense que c'est bon : je n'ai que le 80 d'ouvert. Tout le reste est en "port forwarding" et du coup au dessus de 1024 :)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.