Asaiel Posté(e) le 19 mai 2014 Posté(e) le 19 mai 2014 (modifié) Bonjour à tous, Je viens vers vous pour une demande bien particulière, un fait intervenu hier soir et que je ne parviens pas à expliquer. D'abord, quelques infos concernant la configuration: - DS209 avec SSH activé - site distant de mon domicile (donc IP différente) - Derrière une freebox parametrée en mode routeur, avec les bonnes redirections de port en ce qui concerne l'accès SSH (22) Les paramètres du pare-feu: Pour la 1ère ligne, le masque de sous-réseau est: 255.255.255.0 Pour la 2ème ligne, j'ai masqué mon IP privée (celle de mon domicile). J'ai ajouté cette règle pour que les connexions SSH ne soient possibles que depuis mon domicile, ou dans le LAN. Hors, ce matin, je constate qu'il y a eu plusieurs attaques SSH dans la nuit, dont les IP ont été bloquées: Ma question est la suivante: Pour être bloquées, il y a forcément eu x tentatives de login. Comment ces adresses IP ont-elles pu accéder à la commande de login en SSH sans être bloquées par le pare-feu en amont? NB: J'ai effectué un test de connexion depuis un autre ordinateur, situé sur troisième site (donc encore une IP différente), et je n'ai pas pu accéder à la commande de login, alors que depuis chez moi (IP autorisée au niveau du pare-feu), c'est OK... Modifié le 19 mai 2014 par Asaiel 0 Citer
CoolRaoul Posté(e) le 19 mai 2014 Posté(e) le 19 mai 2014 Le service VPN client de DSM ne serait-il pas actif? 0 Citer
gaetan.cambier Posté(e) le 20 mai 2014 Posté(e) le 20 mai 2014 Pour moi ton print screen montre plutot une tentative d'acces au port ssh qui est bloqué par le firewall le firewall du dsm emet des notification, mais c'est desactivable si il y avais eu tentative de login, on aurait vu que l'ip serait blacklistée après X tentative si l'autoblock est activé 0 Citer
CoolRaoul Posté(e) le 20 mai 2014 Posté(e) le 20 mai 2014 (modifié) Pour moi ton print screen montre plutot une tentative d'acces au port ssh qui est bloqué par le firewall le firewall du dsm emet des notification, mais c'est desactivable Non, le firewall de logge pas les connexions qu'il a bloqué. L'option de notification qui apparait dans ses parametres ("M’avertir quand des applis ou services sont bloqués par le pare-feu et fournir l’option de débloquer ce service ou cette appli.") ne s'applique que lorsque on active un nouveau package pour prévenir si il y a des ports à ouvrir et proposer de le faire. si il y avais eu tentative de login, on aurait vu que l'ip serait blacklistée après X tentative si l'autoblock est activé Ce type de message (mise en blacklist) apparait sous forme de *notification*, pas dans les journaux. Modifié le 20 mai 2014 par CoolRaoul 0 Citer
Asaiel Posté(e) le 20 mai 2014 Auteur Posté(e) le 20 mai 2014 Bonsoir, Et merci à tous les deux de vos réponses. CoolRaoul, je te rejoins sur ta dernière réponse. Je suis actuellement en déplacement, mais je vérifierai pour le client VPN dès mon retour, et je vous tiendrai informés. Bonne soirée à tous, 0 Citer
Asaiel Posté(e) le 22 mai 2014 Auteur Posté(e) le 22 mai 2014 Le service VPN client de DSM ne serait-il pas actif? Bonsoir, Je viens de rentrer, voici les éléments dont je dispose concernant le client VPN: A priori rien d'actif, sauf à ce qu'il y ait un autre paramétrage? 0 Citer
CoolRaoul Posté(e) le 22 mai 2014 Posté(e) le 22 mai 2014 Alors la je sèche, Dans cette situation je tenterai un reboot 0 Citer
StéphanH Posté(e) le 27 mai 2014 Posté(e) le 27 mai 2014 Bonsoir, J'ai peut être créé un doublon avec un problème similaire : Cf Ma conf semble proche de la tienne, et cela a l'air de fonctionner désormais. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.