Aller au contenu

Messages recommandés

Posté(e) (modifié)

tu peux définir des ports différent de ceux d'origine.

Par exemple le 3872 pour le http et le port 2783 pour le https.

Pour ça, il faut aller dans le panneau de configuration > accès externe > avancé

Par la suite, pour te connecter via tes applications, tu rentre l'ip de ton nas suivi du nouveau port, format comme suit: 192.168.xx.xx:xxxx

Tu peux aussi activer le filtre IP sur ton NAS, c'est une sécurité de plus.

:)

Modifié par Whivez
Posté(e) (modifié)

tu peux définir des ports différent de ceux d'origine.

Par exemple le 3872 pour le http et le port 2783 pour le https.

Pour ça, il faut aller dans le panneau de configuration > accès externe > avancé

Par la suite, pour te connecter via tes applications, tu rentre l'ip de ton nas suivi du nouveau port, format comme suit: 192.168.xx.xx:xxxx

Tu peux aussi activer le filtre IP sur ton NAS, c'est une sécurité de plus.

:)

Merci Whivez

Ok je vais regarder de ce coté là ^_^

Y a t il des ports à éviter ( en dehors de ceux mentionné sur la liste de Synology biensur ) ou alors je peux choisir ceux que je veux ?

Pour le filtrage IP :

Est ce un filtrage externe uniquement ( adresse IP venant du net ) ou dois je également laisser passer les adresses IP même interne ( par exemple les passerelles multimédias qui se connecte sur mon Nas pour diffuser le contenu ) ?

Ensuite sur le fait de laisser passer la connexion de mon application sur le NAS avec le filtrage de l'IP .... est ce que le filtrage de l'IP ne va pas bloquer mon application sur mon tel ? si oui comment la laisser passer ?

Merci pour votre aide ^_^

Je sais pas si j'ai été assez clair :wacko:

Modifié par Norvegian
Posté(e)

Ne pas oublier de laisser un accès aux IPs de ton réseau local :D Sinon pas possible d'accéder à ton NAS quand t'es chez toi ! :P

Tu peux créer une règle pour n'autoriser que les IPs Française, et une autre autorisant les IPs dans la plage de tes IPs locales 192.168.X.X à 192.168.X.XX

Je ne sais pas comment fonctionne l'IP d'un Smartphone, mais ils en ont une. A savoir si c'est toujours la même :wacko:

Si c'est le cas tu peux peut-être limiter encore plus accès externe:

Aucune IPs autorisées sauf: Smartphone, Tablette, IPs locale.

Posté(e) (modifié)

Merci beaucoup pour tes conseils ^_^

Edit : Bon apparemment c'est une IP variable qui change suivant les relais sur lesquel on est connecté .... Donc on ne peut pas réduire le blocage d'ip à seulement celle du tel .

Je vais déjà débloquer celle de mon réseau local, et puis limité l'accès aux IP française et changer les ports 5000 et 5001 par d'autre.

Avez vous d'autres idée pour sécuriser encore plus mes connections avec le tel ?

Norv'

Modifié par Norvegian
Posté(e)

Sans modifier les ports par défaut du NAS et si le routeur le permet, on peut rediriger les ports dans le routeur.

Pour reprendre l'exemple de Whivez, on redirige le 3872 vers le 5000 du NAS et le 2793 vers le 5001.

Ainsi, les accès locaux se font de manière classique, et les accès externes devront passer par les ports définis dans le routeur.

Posté(e)

Sans modifier les ports par défaut du NAS et si le routeur le permet, on peut rediriger les ports dans le routeur.

Pour reprendre l'exemple de Whivez, on redirige le 3872 vers le 5000 du NAS et le 2793 vers le 5001.

Ainsi, les accès locaux se font de manière classique, et les accès externes devront passer par les ports définis dans le routeur.

Ah d'accord , et voila encore une chose que j'ai appris merci !!

Posté(e)

J'arrive juste.

Oui c'est plutôt ça : c'est sur le routeur de la box qu'il faut choisir d'autres numéros de ports d'entrée. Cela permet au moins d'éviter que les attaques ciblées vers ces ports archi connus ne te touchent.

C'est un peu, vos histoires de "sécurisation" comme si tu mets une porte blindée avec serrure A2P (port 5001) mais que tu refiles une clé pour ouvrir la porte à tout le monde !

Posté(e) (modifié)

Ah d'accord , et voila encore une chose que j'ai appris merci !!

J'ai regardé ma config parce que ça me semblait bizarre. Le port 5000 c'est pour accéder à dsm via ton "butineur", quel drôle de mot! Tu n'as en aucun cas besoin d'ouvrir ce port pour faire du téléchargement. C'est uniquement pour accéder à ton interface de l'extérieur. Si c'est à partir d'une application mobile tu peux utiliser webdav sécurisé.

Par contre, si tu utilises bittorent, il faut ouvrir le port 6881 sur ton routeur. Pour du téléchargement direct tu n'as en aucune façon besoin d'ouvrir le port 5000/5001.

Modifié par synocdoche
Posté(e)

Oui c'est vrai. Et on se laisse entrainer dans des discussions qui s'éloignent du sujet sans s'en rendre compte et on finit par dire des conneries.

A part le besoin d'accéder à la page d'accès du DSM depuis l'extérieur (internet) les ports 5000/5001 du routeur (box) doivent rester fermés.

Posté(e)

C'est ça le piège dont on a beaucoup parlé. Les gens ouvrent tout et n'importe quoi pour être certain que ça marche alors que ça devait fonctionner sans ouvrir quoi que ce soit. Il ne faut pas confondre l'accès par interface et l'accès dont le service à besoin pour faire son boulot. Du direct download ça ne nécessite rien d'ouvert.

Posté(e)

Je ne sais pas comment fonctionne l'IP d'un Smartphone, mais ils en ont une. A savoir si c'est toujours la même :wacko:

Vérifié ce matin pour Free mobile (probablement en itinérance Orange) : non.

Posté(e)

Premièrement merci pour tous vos conseils car ça m'aide beaucoup ^_^

J'ai regardé ma config parce que ça me semblait bizarre. Le port 5000 c'est pour accéder à dsm via ton "butineur", quel drôle de mot! Tu n'as en aucun cas besoin d'ouvrir ce port pour faire du téléchargement. C'est uniquement pour accéder à ton interface de l'extérieur. Si c'est à partir d'une application mobile tu peux utiliser webdav sécurisé.

Par contre, si tu utilises bittorent, il faut ouvrir le port 6881 sur ton routeur. Pour du téléchargement direct tu n'as en aucune façon besoin d'ouvrir le port 5000/5001.

Le webdav sécurisé : j'ai commencé à regardé mais je vois pas bien comment faire pour installé ça et que mon appli sur mon tel puisse lance les downloads sur mon Diskstation ... pouvez vous m'éclairer un peu là dessus.

Donc si j'ai bien compris :

- je choisis j'active le Webdav, je choisis un port différent que les classiques.

- J'active le Https

et après ...

est ce que le fait d'activer le webdav ne va pas poser des problème sur le mappage de mon NAS Sur mon pc en local ou même encore l'accès des autres compte sur mon NAS en local. (j'ai un mappage classique fait par Windows 7 64 bits je n'utilise pas net drive)

Après j'ai lu qu'il fallait importer un certificat sur le téléphone c'est ça ? Comment on fait et comment mon applis synodroid va reconnaitre ce certificat quand elle voudra accéder au Download station ?

C'est ça le piège dont on a beaucoup parlé. Les gens ouvrent tout et n'importe quoi pour être certain que ça marche alors que ça devait fonctionner sans ouvrir quoi que ce soit. Il ne faut pas confondre l'accès par interface et l'accès dont le service à besoin pour faire son boulot. Du direct download ça ne nécessite rien d'ouvert.

Ok je laisserai tout de fermé sauf apparemment le port pour le webdav non ?

Posté(e)

Webdav c'est juste un port à ouvrir. C'est un protocole comme le ftp. Synology s'en sert pour se connecter à partir d'une application mobile. Au moins, comme c'est plus rarement utilisé, je pense que ce sera plus sécurisé.

Pour télécharger t'as besoin de rien ouvrir.

Pourquoi ouvrir https, ça n'a aucun intérêt dans ce qui t'intéresse.

Posté(e) (modifié)

Pour télécharger t'as besoin de rien ouvrir.

Pourquoi ouvrir https, ça n'a aucun intérêt dans ce qui t'intéresse.

Pourtant sur mes applications je dois bien préciser un port que ce soit sur sur synodroid pour atteindre le Download station ou sur Dsfiles ou même Dsfinder .... donc à ce moment là j'ouvre un port pour webdav par exemple le 5498 et je renseigne ce port dans toutes mes applications mobiles c'est ça ? sachant que je coche avant le Https dans la page sur le webdav ...

J'ai bon ?

Modifié par Norvegian
Posté(e) (modifié)

Ce que j'aime sur ce site, c'est la pratique de l'auto réputation. Comprenne qui peut.

Si tu parles des point de réputation qui ont été donné , c'est moi qui les ai donné car je trouve normal de mettre en avant les posts de personne qui t'aide alors qu'elles sont pas obligées .

Modifié par Norvegian
Posté(e)

Si tu parles des point de réputation qui ont été donné , c'est moi qui les ai donné car je trouve normal de mettre en avant les posts de personne qui t'aide alors qu'elles sont pas obligées .

Je fais pareil. Et je trouve aussi normal de le faire.

Je récapitule:

-Pour que le synology télécharge tu ne dois pas ouvrir de port puisque c'est du direct download. Dans le cas de bittorent tu devrais le faire mais ça ne te concerne pas dans ce cas particulier.

-Pour utiliser les applications mobiles de synology tu peux utiliser webdav pour te connecter ou tu ouvres les port 5000/5001, c'est comme tu veux. Je pense que webdav est une meilleure idée dans ce cas précis parce que les ports sont moins utilisés que d'autres.

-Pour synodroid, que personnellement je n'utiliserais pas, je ne sais pas de quel port ils ont besoin. Je préfère largement utiliser une application native de synology plutôt qu'une autre tierce dont on ne sait pas ce qu'elle peut récupérer comme info. Imagine qu'ils stockent ton mot de passe, ils peuvent se connecter à ton serveur. Je dis ça je dis rien.

A toi de voir comment tu préfères accéder à ton serveur.

Posté(e) (modifié)

Je fais pareil. Et je trouve aussi normal de le faire.

Je récapitule:

-Pour que le synology télécharge tu ne dois pas ouvrir de port puisque c'est du direct download. Dans le cas de bittorent tu devrais le faire mais ça ne te concerne pas dans ce cas particulier.

-Pour utiliser les applications mobiles de synology tu peux utiliser webdav pour te connecter ou tu ouvres les port 5000/5001, c'est comme tu veux. Je pense que webdav est une meilleure idée dans ce cas précis parce que les ports sont moins utilisés que d'autres.

-Pour synodroid, que personnellement je n'utiliserais pas, je ne sais pas de quel port ils ont besoin. Je préfère largement utiliser une application native de synology plutôt qu'une autre tierce dont on ne sait pas ce qu'elle peut récupérer comme info. Imagine qu'ils stockent ton mot de passe, ils peuvent se connecter à ton serveur. Je dis ça je dis rien.

A toi de voir comment tu préfères accéder à ton serveur.

ok Ben pour Synodroid c'est moi qui rentre le port que je souhaite (puisque je met l'adresse du DDNS suivi du numéro du port donc il suffit que je rentre le port que j'ai choisi pour Webdav, pareil pour les applis DSfils et DS finder ...

Pour que ce soit plus clair, je parle des options qu'il y a surla première capture d'écran ici http://www.synology.com/fr-fr/support/tutorials/570

Je peux ne pas cocher la case qui entouré en rouge mais cocher seulement celle du dessous ? et puis est ce que je peux mettre un port choisi au hazard ou cela doit être automatiquement le 5006 comme sur l'image ?

Voila j'espère que j'ai été clair

Et merci encore pour ton /votre aide car comme on dit chez moi ... c'est un métier !!! :lol:

Modifié par Norvegian
Posté(e)

Synodroid à mon avis à besoin d'un accès samba, cifs, ftp ou que sais-je. J'imagine mal que tu puisses mettre n'importe quoi.

Je sais que Synology permet de communiquer avec ses applications par webdav. Pour le reste je ne sais pas dire.

Posté(e) (modifié)

Alors je viens d'essayer de me connecter avec l'appli par Webdav mais ça ne veut pas .... du coup je viens de crer un port Https maison en ouvrant un port différent de ce que l'on connait habituellement et en configurant tout ça passe ....

Donc je me retrouve toujours avec par défaut une connexion en Https ( j'ai même pas ouvert le port sur ma box du Http) avec seulement ce port https d'ouvert sur ma box ( et uniquement celui ci ) et je me connecte comme ça .... qu'en pensez vous ? j'en ai profité pour configurer le pare feu en lui donnant l'ordre de ne laisser passer que ce port là ....

Il me reste à configurer le blocage d'IP et je pense que cela sera protégé quand même non ?

Je me demandais si pour me connecter à mes application j'utilisait un compte client crée exprès avec juste les droit sur le dossier destinataire ne serait pas une sécurité supplémentaire ?

Vos avis et surtout n'hésitez pas à me dire si je fais un truc de travers car c'est à travers la critique que l'on apprend !!!!

Merci encore à tous

Modifié par Norvegian
Posté(e)

Pour chaque application, tu vas dans portail d'applications et tu peux y définir un port pour chaque.

Ou tout simplement utiliser les alias (j'en ai parlé plus haut) et ne passer que par un seul port. Ce n'est qu'une question de choix.

Posté(e)

Personnellement, je ne vois pas une quelconque vulnérabilité à n'utiliser qu'un seul port pour tout faire par rapport à l'ouverture de plusieurs ports dédiés. C'est en tout cas ce que je pratique depuis quelques temps (j'avais moi aussi plusieurs ports ouverts, mais ça, c'était avant...) sans avoir observé d'activités suspectes sur ce port unique.

Mais comme je l'ai écrit, ce n'est qu'une question de choix personnel.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.