unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 (modifié) Il y a de fortes chances que ça vienne de là. D'ailleurs si je me trompe pas, Fenrir le précise dans son tuto de régler en fonction si on est en ipv6 ou non... Mais comme tu débutes, autant le désactiver. Perso, je l'ai désactiver et tout fonctionne parfaitement bien. L'ipv6 a des bons arguments mais ça peut attendre. Une fois que tu auras mit en place le tuto sécurité "en entier", tu pourras commencer à ouvrir des services à internet comme Photo Station, Musique, Vidéo etc... EDIT : oui il faut que tu redémarres la Freebox pour le changement prenne effet et que tu sois en ipv4. Modifié le 17 décembre 2017 par InfoYANN 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Merci! En fait j'ai suivi tout le tuto, sauf les étapes où je n'y arrivais pas. Prochaine étape, le certificat pour éviter d'avoir des soucis de HTTPS... mais là je bute sur bien d'autres ignorances sur les domaines, etc... 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Tu sais, si demain, je cherche un tuto pour monter ma propre voiture mais qu'arriver à l'étape du montage de la sécurité (freins par exemple), je n'y arrive pas et que donc comme toi je saute cette étape, et bien ma voiture ne sera pas sécurisée et j'irai droit dans le mur quand je voudrai m'arrêter. Je sais que j'extrapole mais si tu nous disais plutôt là ou tu coinces plutôt que d'abandonner et aller sur un autre sujet... Le but étant de suivre le tuto à la lettre et surtout de le comprendre. Si derrière, tu sautes des étapes (qui peuvent être primordiales) alors tout ça n'aura servi à rien finalement. 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Je me suis mal exprimé, j'ai tout fait, mais pas les quelques éléments où je n'arrivais pas. T'inquiète là dessus, je suis très méthodique... mais pas toujours patient! Dans les soucis où je n'ai pas pu tout bien faire, il y avait les règles du Pare feu, que nous avons réglé grâce à toi. Vient ensuite le problème du certificat HTTPS. 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Tu as quoi comme soucis avec le certificat SSL ? 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Mon navigateur internet me dit que je ne suis pas en HTTPS. Et je n'arrive pas à me créer un certificat, par exemple avec let's encrypt, car je ne sais pas ce que je dois mettre dans tous les champs... 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Tu as bien lu le tuto car Fenrir parle bien du certificat SSL pourtant. Non ? Pour être en https, pas besoin de certificat. Il faut se connecter sur le port SSL. De base, c'est le 5001. Il faut certainement l'autoriser dans le pare feu du NAS (pas du routeur pour le moment) Par contre, tu as un nom de domaine ? Car je ne crois pas que Let's Encrypt permet de certifié une IP uniquement. 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Justement, je n'ai pas de nom de domaine. Mais quand je tente de me connecter avec le port 5001, ça marche mais je ne suis pas sécurisé et je souhaite améliorer cela : 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 (modifié) Tu es sécurisé ! C'est juste que ça t'affiche ça car Firefox ne sait pas que c'est ton site en local donc il te met par défaut qu'il faut que tu fasses attention parce que tu n'est pas une gentille banque avec son petit cadenas vert Ça évite aussi quand tu partages ton lien de faire peur avec ce fameux message du navigateur. Bref, si tu veux le passer le vert, il te faut un ndd (chez OVH par exemple pour 10 euros à l'année) et ensuite, tu pourras sans soucis créer un certificat SSL gratuitement renouvelable tous les trois mois. Pour ce qui est des ndd gratuits ou fournis par OVH, je ne sais pas si c'est possible de les certifiés via Let's Encrypt. A toi de voir. Modifié le 17 décembre 2017 par InfoYANN 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Oh la quiche que je suis. Bon je ne savais pas. Mais est il utile de sécuriser pour quand je vais me connecter avec mon smartphone? 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 (modifié) Il est pas utile mais il est indispensable de sécuriser : Son NAS Sa navigation depuis l'extérieur de chez soit en naviguant qu'en httpS. Et encore mieux, avec un VPN ! Pour le certificat, c'est pas obligatoire mais recommandé. C'est surtout une question d'esthétique afin d'éviter le fameux message de non sécurisation. Modifié le 17 décembre 2017 par InfoYANN 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Donc si j'active le VPN d'Opéra sur mon smartphone avant de me connecter au NAS, c'est secure?! 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Je parlais d'héberger soit même son serveur vpn. Tuto fait par Fenrir sur le forum ;) Mais avant ça, je pense que tu as d'autres choses à voir... 0 Citer
fredo69 Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Ah oui, c'est autre chose que d'héberger son VPN... En attendant, faudra que je reboot ma Freebox. Bonne soirée ! 0 Citer
kroman_fr Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Merci infiniment pour ce tutoriel. Le meilleur et le plus complet que j'ai trouvé jusqu'à maintenant. Juste une chose à propos du proxy inversé (d’ailleurs je ne sais pas pourquoi ils appellent pas ça virtual hosting) : J'ai mis en place cette fonctionnalité avec 4 sous-domaines (pour video station, audio station, file station et download station) sur le port 80 pour deux d'entre eux et 443 pour les deux autres. Tout fonctionne à merveille et j'y ai accès depuis le net mais j'ai remarqué que lorsque l'on accède à http://monipinternet:80 ou http://monipinternet:443, depuis Internet, mon NAS répond à la requête et renvoie même sur https://monipinternet:portdsmlocal/ (ce qui ne fonctionne pas évidement car je ne laisse pas l'accès à DSM depuis le net) Je souhaite que le NAS ne réponde à aucune requête vers mon IP internet ou vers mon domaine mais uniquement lors de l'accès via mes sous-domaines (lorsque ces sous-domaines sont indiqués dans le champs location de la requête http cliente). Comment faire? PS : voici ce qui se passe lors d'une requête d'un client vers monipinternet:80 ou monipinternet:443 : Citation GET / HTTP/1.1 Accept: */* Accept-Language: fr Host: 82.241.47.21 Citation HTTP/1.1 302 Moved Temporarily Date: Sun, 17 Dec 2017 19:13:09 GMT Content-Type: text/html Content-Length: 154 Connection: keep-alive Keep-Alive: timeout=20 Location: http://82.241.47.21:14758/ <html> <head><title>302 Found</title></head> <body bgcolor="white"> <center><h1>302 Found</h1></center> <hr><center>nginx</center> </body> </html> 0 Citer
Fenrir Posté(e) le 17 décembre 2017 Auteur Posté(e) le 17 décembre 2017 Il y a 6 heures, fredo69 a dit : Je tente de bien paramétrer mon parefeu comme suit : Mais il me répond que cela ne va pas Qu'est ce que j'ai encore fait comme erreur? Je crois que la règle sur le terminal chiffré ne pose pas de problème puisque qu'elle n'est pas cochée. A priori c'est la dernière règle où je refuse tout qui pose souci. Pourtant vu qu'elle est en dernier, j'imagine qu'elle s'applique après les autorisations précédentes? Tu as mal recopié mon exemple, ta 3ème règle est fausse : 198.168.0.0 Il y a 1 heure, kroman_fr a dit : Juste une chose à propos du proxy inversé (d’ailleurs je ne sais pas pourquoi ils appellent pas ça virtual hosting) : Parce que qu'un proxy inversé ce n'est pas un virtual host Il y a 1 heure, kroman_fr a dit : Je souhaite que le NAS ne réponde à aucune requête vers mon IP internet ou vers mon domaine mais uniquement lors de l'accès via mes sous-domaines Pas possible sauf à utiliser un port non utilisé par Synology. Les ports 80, 443, 5000 et 5001 sont en écoute de base 0 Citer
unPixel Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Mince, j'avais même pas vu le 198 au lieu du 192 0 Citer
kroman_fr Posté(e) le 17 décembre 2017 Posté(e) le 17 décembre 2017 Merci pour ta réponse très rapide Ah bon je confonds les deux choses alors. C'est dommage que l'on ne puisse pas faire en sorte que le NAS ne réponde absolument rien si on ne lui fait pas une requête via le port 80/443 autrement qu'en définissant un des sous-domaines enregistrés dans les proxys inversés. Ne peut-on pas faire en sorte de masquer au moins la redirection vers le port DSM (encore une fois ce n'est pas dramatique ce port est de toute façon fermé depuis le net mais bon ça permettrait à un éventuel pirate qui aurait pénétré mon réseau de connaitre facilement le port DSM facilement). D'ailleurs j'ai désactivé l'entête "server" dans les requêtes de réponse HTTP mais dans le corps de la réponse il indique le nom "nginx") Est ce que tu me conseilles de changer le porta 80/443 ou ça n'a aucun intérêt (c'est vrai que c'est plus "propre" que devoir filer son url à ses amis avec un numéro de port exotique) 0 Citer
Fenrir Posté(e) le 18 décembre 2017 Auteur Posté(e) le 18 décembre 2017 Perso tout ça je le gère avec un bout de code en php, c'est plus simple que d'aller changer la conf du syno. 0 Citer
fredo69 Posté(e) le 18 décembre 2017 Posté(e) le 18 décembre 2017 (modifié) Merci, 198 corrigé en 192...- C'est d'ailleurs ce qui empêchait la règle finale qui bloque tout ce qui n'est pas ouvert. Modifié le 18 décembre 2017 par fredo69 0 Citer
kroman_fr Posté(e) le 20 décembre 2017 Posté(e) le 20 décembre 2017 Le 18/12/2017 à 01:37, Fenrir a dit : Perso tout ça je le gère avec un bout de code en php, c'est plus simple que d'aller changer la conf du syno. Merci. Effectivement, je n'avais pas encore installé Web Station. Je rencontre d'ailleurs quelques problèmes avec Apache 2.4 mais qui ne rentrent pas dans le cadre de la sécurité et je vais donc créer un topic à part :) Cependant, je me demandais si comme pour la config par défaut de DSM, la config par défaut de WebStation / Apache 2.x / Php 7 / MariaDB fournie avec les packets nécessitaient des modifications afin d'augmenter la sécurité (vu qu'il répond de l'extérieur à des requêtes sur port 80) ? 0 Citer
PiwiLAbruti Posté(e) le 20 décembre 2017 Posté(e) le 20 décembre 2017 Déjà, il vaut mieux utiliser le port tcp/443 pour chiffrer les communications. Pour le reste de la sécurité, le pare-feu suffit à restreindre la surface d’exposition. 0 Citer
unPixel Posté(e) le 20 décembre 2017 Posté(e) le 20 décembre 2017 Ouvre le port 80 uniquement pour le certificat Let's Encryptage si tu utilises ce service en limitant la connexion aux US ou encore mieux aux deux IP qui servent pour les MAJ du certificat. Envoyé de mon iPhone en utilisant Tapatalk 0 Citer
kroman_fr Posté(e) le 20 décembre 2017 Posté(e) le 20 décembre 2017 Merci c'est très réactif :) Je n'avais pas pensé à ça. Je n'ai autorisé que la France et la Belgique dans mon pare-feu (sur le proxy inversé, webdav et le vpn) mais quand mon certificat let's encrypt va expirer, si je n'autorise pas les connexions entrantes depuis les US sur le port 80 (ou ces deux IP), le renouvellement échouera (ou j'ai compris de travers) ? Pour apache, niveau accès c'est ok et je pense être safe grâce à ce tuto mais ensuite niveau config apache / php ? La config par défaut est-elle sécurisée ? D'habitude, sur PC, je désactive les modules inutiles et d'autres éléments, mais là impossible de retrouver le fichier httpd.conf sur apache 2.4... 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.