Aller au contenu

Messages recommandés

Posté(e)

Bonjour,

J'ai besoin qu'on me confirme un principe général. C'est peut-être bête mais bon, je débute. J'ai chez moi un réseau domestique classique : une box, un Nas synology, des pc et tablettes.

Si je ne configure rien sur ma box (ouvrir des ports : NAT), mon serveur synology ne sera jamais accessible d'aucune manière depuis internet, n'est ce pas ? Puisque relié à ma box, il restera seulement accessible depuis le réseau local ? Et ce, quoi que je puisse activer/installer sur le DSM (notamment web station)?

Merci.

Posté(e)

Ce que tu dis est vrai sauf justement pour WEB station. Si tu "ouvres" (valide) web station ce DP deviendra automatiquement accessible depuis Internet par le port 80 qui est le port dédié web normalement toujours actif. Encore faut-il que le cheminement entre ce port et le syno existe. Mais en principe il existe car pré configuré dans le DSM.

Posté(e)

Si je ne configure rien sur ma box (ouvrir des ports : NAT), mon serveur synology ne sera jamais accessible d'aucune manière depuis internet, n'est ce pas ? Puisque relié à ma box, il restera seulement accessible depuis le réseau local ? Et ce, quoi que je puisse activer/installer sur le DSM (notamment web station)?

c'est exactement cela, NAS accessible uniquement depuis ton réseau local (LAN et Wifi de ta box) quelques soient (ou presque) les services lancés sur le NAS si tu n'as rien configuré comme NAT sur ta box.

Je dis presque, car le seul service du NAS qui permettrait d'y accéder depuis internet sans toucher à la conf de ta box, c'est le service "QuickConnect" justement fait pour cela.

Posté(e)

Merci pour vos réponses. Donc :

Ce que tu dis est vrai sauf justement pour WEB station. Si tu "ouvres" (valide) web station ce DP deviendra automatiquement accessible depuis Internet par le port 80 qui est le port dédié web normalement toujours actif. Encore faut-il que le cheminement entre ce port et le syno existe. Mais en principe il existe car pré configuré dans le DSM.

Si je comprends bien, ma box a par défaut le port 80 ouvert à l'extérieur, même si je n'ai pas de serveur web dans mon réseau domestique.

- Si une requête externe arrive sur ma box pour le port 80 et que web station est installé sur mon nas, la requête est dirigée vers lui.

- La requête aura uniquement accès aux répertoire "web" et à ses fils (dossier qui a été créé automatiquement en installant web station). En aucun cas il est possible de remonter aux autres dossiers partagés via cette requête.

- Il s'agit forcément d'une requête en protocole HTTP.

- Si j'active les "pages personnelles" sur webstation, en plus du dossier "web", les dossier "www" des utilisateurs seront accessibles depuis internet avec l'adresse http://[votre-ip]/~Nom/. Idem que pour le dossier "web", impossible de remonter au dessus dans l'arborescence.

Est-ce bien cela ?

Et si c'est le cas, si je souhaite avoir un site publique, mais aussi quelques pages PHP accessibles uniquement depuis mon réseau domestique, comment dois-je procéder ?

Merci !

Posté(e)

Merci pour vos réponses. Donc :

Si je comprends bien, ma box a par défaut le port 80 ouvert à l'extérieur, même si je n'ai pas de serveur web dans mon réseau domestique.

- Si une requête externe arrive sur ma box pour le port 80 et que web station est installé sur mon nas, la requête est dirigée vers lui.

Absolument pas !!! Si tu n'ouvres aucun port sur ta box (règles de NAT), alors rien ne rentre chez toi !

Je pense que Domlas se trompe sur ce point, seuls les flux initiés par un équipement à l’intérieur de ton réseau sont autorisés à revenir (pour accepter la réponse) si ta box est configuré en mode routeur sans aucune règle de NAT implémentée.

Posté(e)

Oui enfin c'est par le port 80 que reviennent les réponses que tu fais quand tu navigues sur Internet. Ta demande comporte d'office l'autorisation de l'ouverture de ton port 80 pour ta réponse puisse revenir. Comme cette demande d'ouverture est standard tous les navigateurs la répercutent sinon tu ne pourrais pas naviguer sans autre forme de procès.

Ainsi si tu mets en service le serveur WEB de ton syno avec une page ou un site web dessus quelqu'un qui tapera ton adresse publique sera orienté sur le port 80 d'entrée de ton routeur qui la ressortira sur son port 80 de sortie qui ira sur le port 80 d'entrées du syno qui correspondra au Dossier Partagé WEB. Il en est un peu dans le même style pour les courriels.

Posté(e)

Merci pour ces précisions, je me posais justement des questions sur ce port 80.

Pour en revenir à Web station, pouvez-vous m'orienter sur ces questions s'il vous plaît :


- La requête aura uniquement accès aux répertoire "web" et à ses fils (dossier qui a été créé automatiquement en installant web station). En aucun cas il est possible de remonter aux autres dossiers partagés via cette requête.

- Il s'agit forcément d'une requête en protocole HTTP.

- Si j'active les "pages personnelles" sur webstation, en plus du dossier "web", les dossier "www" des utilisateurs seront accessibles depuis internet avec l'adresse http://[votre-ip]/~Nom/. Idem que pour le dossier "web", impossible de remonter au dessus dans l'arborescence.

Est-ce bien cela ?

Et si c'est le cas, si je souhaite avoir un site publique, mais aussi quelques pages PHP accessibles uniquement depuis mon réseau domestique, comment dois-je procéder ?

Posté(e) (modifié)

Oui enfin c'est par le port 80 que reviennent les réponses que tu fais quand tu navigues sur Internet. Ta demande comporte d'office l'autorisation de l'ouverture de ton port 80 pour ta réponse puisse revenir. Comme cette demande d'ouverture est standard tous les navigateurs la répercutent sinon tu ne pourrais pas naviguer sans autre forme de procès.

Ainsi si tu mets en service le serveur WEB de ton syno avec une page ou un site web dessus quelqu'un qui tapera ton adresse publique sera orienté sur le port 80 d'entrée de ton routeur qui la ressortira sur son port 80 de sortie qui ira sur le port 80 d'entrées du syno qui correspondra au Dossier Partagé WEB. Il en est un peu dans le même style pour les courriels.

C'est faux s'il n'y a pas de redirection sur ta box, rien n' arrivera sur ton nas.

Modifié par Mike913
Posté(e)

Oui enfin c'est par le port 80 que reviennent les réponses que tu fais quand tu navigues sur Internet. Ta demande comporte d'office l'autorisation de l'ouverture de ton port 80 pour ta réponse puisse revenir.

Absolument pas, le port source du PC n'est pas le port 80 lorsque tu accèdes à un site web, c'est le port destination (sur le serveur web). En plus, le routeur change souvent le port source qu'il utilise lui même pour envoyer ta requête au serveur Web ...

Le port source est souvent aléatoire ... et le routeur n'accepte que le paquet de retour provenant de l'adresse IP du site web que tu as contacté sur le port source qu'il a lui même défini, car c'est avec la table de correspondance (table de Nat) "adresse ip destination/port destination/port source (du routeur)" que le routeur sait à quelle adresse ip du lan il doit finalement renvoyer la réponse.

Posté(e)

Parfait, par contre, qu'en est-il de ces questions là :


- La requête aura uniquement accès aux répertoire "web" et à ses fils (dossier qui a été créé automatiquement en installant web station). En aucun cas il est possible de remonter aux autres dossiers partagés via cette requête.

- Il s'agit forcément d'une requête en protocole HTTP.

- Si j'active les "pages personnelles" sur webstation, en plus du dossier "web", les dossier "www" des utilisateurs seront accessibles depuis internet avec l'adresse http://[votre-ip]/~Nom/. Idem que pour le dossier "web", impossible de remonter au dessus dans l'arborescence.

Est-ce bien cela ?

Et si c'est le cas, si je souhaite avoir un site publique, mais aussi quelques pages PHP accessibles uniquement depuis mon réseau domestique, comment dois-je procéder ?

Merci !

Posté(e) (modifié)

Oui dans une requête http:// la demande passe par le port 80 et arrive sur le syno dans le dossier partagé spécifique "WEB" et nulle part ailleurs. Par contre je ne sais pas si un petit malin très doué ne pourrait pas réussir à trouver un truc pour aller se promener où il ne faut pas... Ce qui est est quand assez improbable. Quoique...

Si tu veux passer en https:// en principe on passe plutôt par le port 443. Question pénétration du syno ça ne change pas grand chose. Cela ne protège que les données qui transitent.

En principe si tu as dans WEB un sous répertoire (par exemple monsite) dans lequel est ton site (sites complexes où simples pages) la syntaxe pour un visiteur sera = http://IPpublique/monsite

Bien évidemment il te faut une IP publique fixe ce qui est assez rare. En règle générale elles sont dynamiques et changent périodiquement.

Dans ce cas on utilise un DDNS (genre dyndns) qui saura reconnaître ton IP publique du moment et pointera dessus. La syntaxe devient alors = http://toto.dyndns.org/monsite.

Une troisième variante est possible, très élégante et très "pro", qui consiste à se payer un "nom de domaine". Dans ce cas chez le registar (le service qui gère le nom de domaine) on fait pointer ce nom de domaine vers toto.dyndns.org/monsite. La syntaxe devient alors = http://www.tartempion.com tout simplement. (avec tartempion.com ton nom de domaine).

Cela n'empêchera pas d'avoir à paramétrer une réservation d'adresse IP interne pour le syno au niveau du NAT/PAT du routeur (box) et de rediriger le port 80 vers cette IP du syno. Vérifier que tous les ports non nécessaires soient bien fermés et mettre en service dans le DSM le bloqueur d'IP frauduleuses qui bloque l'IP d'un demandeur qui rate 5 fois de suite en moins de 10mn une tentative de pénétration.

A partir du moment où on admet des entrées depuis l'extérieur vers le syno il faut être très vigilant et bien savoir ce qu'on fait.

Eviter les solutions presse-bouton genre EZinternet qui de toute façon ne marche pas avec nos box et crée de gros problèmes ainsi que quickconnect qui crée un chemin passe partout identique chez tout le monde et qui du coup est bien connu des malfrats.

Modifié par domlas
Posté(e)

Si je ne configure rien sur ma box (ouvrir des ports : NAT), mon serveur synology ne sera jamais accessible d'aucune manière depuis internet, n'est ce pas ?

C'est suffisant pour rendre le NAS inaccessible depuis internet. Dans l'absolu, il faudrait que le NAS soit isolé de tout réseau disposant d'une passerelle (la box) vers internet.

Puisque relié à ma box, il restera seulement accessible depuis le réseau local ?

Oui (à 99%).

Et ce, quoi que je puisse activer/installer sur le DSM (notamment web station)?

À ma connaissance, seule l'activation de QuickConnect ou EZ-Internet rend le NAS accessible depuis l'extérieur.

J'espère que ça t'aidera plus que les interminables explications de domlas qui persiste à t'expliquer les différentes façon de faire le contraire de ce que tu souhaites.

.

Posté(e)

Eh les gars vos réponses à l'emporte pièce ne répondent pas à sa question de savoir si son NAS restait inaccessible même en activant WEB station. Et là il vaudrait mieux vérifier quand même que le port 80 entre autres ne soit pas ouvert.

Je reste toujours très étonné que l'on puisse expliquer des systèmes très complexes et très fins pour de simples "Yakafokon". C'est le retour assuré d'une salve de questions genre "oui mais..." Et là on va y passer beaucoup plus de temps...

Quant à dire que si tout est fermé il n'y a aucun risque c'est oui bien sûr mais si un petit rigolo... Un simple mail frauduleux par exemple et hop sans le vouloir un port sera ouvert.

Posté(e)

Par défaut, le routage externe entrant vers une iP locale fixée est inopérant.

Rien n'empêche, tu as raison, de vérifier que le NAS n'est pas accessible depuis l'extérieur...

La plupart du temps, dans ce forum on nous demande l'inverse et on sait que cela requiert des manipulations (iP NAS fixe, routage Nat/pat, règle firewall...etc)

En revanche si tu utilises quickconnect, et que ton modem routeur/box accepte les demandes d'ouverture de port, cela peut en effet aboutir à un accès de l'extérieur .

Cette option est bien indiquée pour un accès extérieur...

Posté(e)

Justement domlas ! J'attends maintenant un retour de Seyno pour approfondir ce qui ne lui semblerait pas clair, et un "oui mais..." me convient parfaitement.

Un forum c'est fait pour échanger. En donnant une réponse couvrant tous les cas possibles permettant de résoudre un problème, on tue cet échange.

Posté(e)

Merci pour vos réponses, ne vous prenez pas la tête, toutes vos contributions me sont utiles. :)

Cela me paraît clair:

-Si je souhaite garder mes pages web pour moi sur le nas, j'active web station sur le nas mais je ne fais pas de routage sur la box.

-Si je veux le rendre accessible : routage + politique de firewall etc... il y a pas mal de sujets qui le traitent sur le forum je pense, l'info devrait être facilement trouvable.

Par contre, si je mixe les deux : je rends mon dossier web accessible en externe (donc 2ème cas), mais je souhaiterais avoir un autre dossier web accessible seulement depuis le réseau local. Une solution ? (hormis bloquer par un htaccess)

- et là, c'est ma dernière question ;) -

Posté(e)

Il y a une solution assez simple mais pas très élégante :

Tu mest deux sous-dossiers dans WEB, un appelé site1 et un autre appelé site2

Tu ne fournis que l'adresse http://toto.dyndns.org/site1aux visiteurs externes et pas l'autre.

Une autre solution plus régulière consiste dans l'onglet WEB a créer des "hotes virtuels".

Si tu as un nom de domaine comme mondomaine.com que tu fais pointer sur ton nom de connexion comme toto.dyndns.org tu peux faire pour l'un des sites l'intitulé suivant http://www.mondomaine.comqui arriveras par exemple sur web/site1 et http://secret.mondomaine.com qui arrivera sur l'autre. Et bien sûr tu ne divulgues pas ce dernier intitulé.

Posté(e)

Une autre consiste à utiliser les pages web par utilisateurs.

Chaque utilisateur si la fonction home est activée et si la fonction web par utilisateur est activée (cf panneau de configuration), alors on dispose dans user/home/web du serveur souhaité.

L'accès est nomdns/~nomutilisateur.

Et sauf erreur on peut préciser un port particulier. Du coup si on ne le route pas il n'est pas accessible depuis l'extérieur.

Posté(e)

Cette solution m'intéresserait daffy, mais je n'ai pas vu on pouvait préciser un port particulier pour les pages personnelles. Une idée ?

Domlas, ta suggestion m'intéresserai moins car les pages ne sont pas vraiment "physiquement" inaccessibles, mais seulement non communiquées et donc virtuellement inaccessibles on va dire.

Posté(e) (modifié)

Et sauf erreur on peut préciser un port particulier. Du coup si on ne le route pas il n'est pas accessible depuis l'extérieur.

c'était là mon erreur justement.

On peut en effet ajouter un port différent mais de ce que je comprend c'est pour le serveur WEB complet et pas seulement l'accès aux pages web utilisateurs.

Du coup je pense qu'un mix entre :

hôte virtuel & serveur web perso

me semble intéressant

l'hôte virtuel = nom DNS pour l'accès externe - redirection vers le site web utilisateur (on est sur de ne pas pointer sur le dossier WEB)

(quoique déjà à mon avis, la solution de Domlas me semblait bonne, l'utilisateur arrive via le DNS qui pointe sur le sous dossier de WEB et donc n'accès pas à l'autre serveur...

tu peux jouer sur les .htaccess si tu souhaites ajouter l'interdiction d'accéder à d'autres sous dossiers de WEB. (cf ici https://www.synology.com/en-us/knowledgebase/faq/347)

Désolé pour la "fausse joie".

:wacko:

Au delà il faut chercher je pense, du côté du serveur apache pour disposer d'un port d"écoute particulier pour un service web disposé sur le NAS.

C'est typiquement le cas d'un service comme PLEX. Il se lance et créé un serveur web accessible sur un port donné.

Bon courage

Modifié par daffy

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.