Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Désactive l’UPnP, c’est le mal absolu.

il y a 28 minutes, paddy67 a dit :

Ok, mais pourquoi quand je désactive IPV6, ça ne fonctionne plus ?

Parce que ton IPv6 est encore enregistrée dans le DDNS Synology. Il faut patienter jusqu’à la prochaine mise à jour de ce dernier, ou le mettre à jour manuellement pour que l’adresse IPv4 soit enregistrée.

0
Lien vers le commentaire
Partager sur d’autres sites
  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

Rouge Newbie

Rouge

Posté(e)
Posté(e)
Le 26/07/2019 à 07:05, shadowking a dit :

Bloquer port 80 en destination, ça bloquera toutes les requêtes qui arriveront sur le port 80 du NAS.

Bloquer port 80 en source, si par exemple ton routeur t'envoie une requête par ce port, ça la bloquera.

 

Le 26/07/2019 à 17:59, dd5992 a dit :

Il faut comprendre que lorsque tu émets une requête sur un site, ta machine a une IP et envoie le message au destinataire par un port donné (port source), étant entendu que la réponse devra être renvoyée à cette adresse IP et à ce port. Ton message est envoyé à l'adresse IP du destinataire à un port donné (destination), fonction du service que tu veux atteindre.

En pratique, il est rare de spécifier un filtrage d'après le port source.

Il est beaucoup plus courant de filtrer par le port de destination. L'utilisation de la liste d'applications intégrées est une facilité qui te facilitera le choix du ou des ports à bloquer.

Merci, C'est très clair !

0
Lien vers le commentaire
Partager sur d’autres sites
dd5992 Newbie

dd5992

Posté(e)
Posté(e)
Le 28/07/2019 à 09:31, paddy67 a dit :

Ok, mais pourquoi quand je désactive IPV6, ça ne fonctionne plus ?

Bonjour,

Il faut comprendre que les choses fonctionnent différemment en IPV4 et IPV6 et il semble que tu ais les deux (les DDNS de chez Synology fournissent les deux adresses si ton syno a la connectivité IPV6).

  • En IPV4 tu as besoin d'une redirection de chacun des ports utilisés par tes requêtes, comme indiqué dans le tuto de Fenrir.
  • En IPV6, la Freebox, comme toutes les box, se comporte comme un simple routeur et envoie toutes les requêtes directement vers la machine dont l'adresse est spécifiée, sans filtrage, sauf si le firewall est actif auquel cas la Freebox ne laisse rien passer.

Si les deux protocoles sont actifs (les deux adresses renvoyées par un nslookup), la première qui marche est utilisée, ce qui explique qu'avec IPV6 activé et sans redirection dans la freebox, ça passait alors que non si tu désactivais IPV6.

Il y a 17 heures, paddy67 a dit :

Si je mets sur france uniquement, ça ne passe plus.

la redirection ddns via synology.me passe par quel pays ?

Tu peux résoudre ce problème en ayant ton propre nom de domaine. Alors, les requêtes arriveront directement de l'émetteur vers ta box, sans passer par un intermédiaire.

0
Lien vers le commentaire
Partager sur d’autres sites
paddy67 Newbie

paddy67

Posté(e)
Posté(e)

Merci.

Comme dis dans le tuto, j'ai désactivé IPV6 et j'ai enfin réussi à me connecter via https://hote.synology.me:5001 en ouvrant le port 5001 sur la freebox et sur le NAS, mais je suis obligé de mettre à "tous".

 

Capture18.JPG.9208f6f06ce7178aba2e188f55ee84ad.JPG

Quel est la différence entre avoir son propre nom de domaine, et utiliser un DDNS ? Il faut bien le prendre chez un prestataire, non ?

 

0
Lien vers le commentaire
Partager sur d’autres sites
dd5992 Newbie

dd5992

Posté(e)
Posté(e)
Il y a 17 heures, paddy67 a dit :

en ouvrant le port 5001 sur la freebox et sur le NAS, mais je suis obligé de mettre à "tous"

Tu veux dire pour l'IP source? si oui, ça vient peut-etre du fait que tu utilises le DDNS de synology et que tu passes par une indirection chez eux.

C'est quand même bizarre car j'ai testé avec avec la mienne qui est en XXX.diskstation.me qui se résout directement en mon adresse IPV4, donc en France.

Tu confirmes que tu n'utilise pas quickconnect?

Peux tu tester ton adresse host.synology.me avec un DNS lookup (par exemple ici https://dnschecker.org/all-dns-records-of-domain.php) et nous dire si l'adresse renvoyée est bien la tienne?

Tu peux aussi vérifier si l'adresse IP source utilisée pour tes tests est bien reconnue par les bases de données de géolocalisation comme française en testant ici : https://fr.geoipview.com/

Il y a 17 heures, paddy67 a dit :

Quel est la différence entre avoir son propre nom de domaine, et utiliser un DDNS ? Il faut bien le prendre chez un prestataire, non ?

En ayant ton propre nom de domaine, tes requêtes sont envoyées directement de l'émetteur vers ton adresse IP sans redirection. Tu peux donc filtrer dans ton pare feu les IP que tu acceptes, par exemple celles d'un pays donné.

Le DDNS sert en général quand tu as une adresse IP qui varie dans le temps. Avec la Freebox en dégroupé, tu as une adresse fixe. Donc pas besoin de DDNS.

0
Lien vers le commentaire
Partager sur d’autres sites
paddy67 Newbie

paddy67

Posté(e)
Posté(e)

Oui, je suis obligé de mettre "tous" en IP source.

Le test avec dnschecker.org renvoie bien mon IP freebox 78.XXX.XXX.XX et geoipview localise bien en france.

Je crois que je viens de comprendre, j'essaye de me connecter avec mon PC en local ! En 4g c'est bon !

Merci d'avoir pris du temps pour me répondre.

 


 

 

0
Lien vers le commentaire
Partager sur d’autres sites
nggood Newbie

nggood

Posté(e)
Posté(e) (modifié)

Bonjour à tous et merci @Fenrir pour ce tuto très complet !

Je suis le nouvel acquéreur d'un nas 918+ (DSM 6.2.2-24922) et j'ai passé pas mal de temps à essayer de rendre accessible mes applications Moments et Drive depuis Internet. J'y arrive sans problèmes depuis les applications mobiles mais impossible de configurer le client Drive depuis un autre PC...

Je dois surement rater quelque chose mais je ne vois pas ...

Merci beaucoup pour votre aide :rolleyes:

Modifié par Ng_Good
0
Lien vers le commentaire
Partager sur d’autres sites
Jojo (BE) Newbie

Jojo (BE)

Posté(e)
Posté(e)

merci encore à @Fenrir pour ce tutoriel, que je m'étais empressé d'appliquer dès que j'en ai pris connaissance.

Du coup, en lisant cet article

https://www.synology.com/en-global/company/news/article/2019JulyRansomware

Je me suis dit "ok, ce n'est pas pour nous qui avons appliqué ces règles de sécurité. => cool"

0
Lien vers le commentaire
Partager sur d’autres sites
nggood Newbie

nggood

Posté(e)
Posté(e)
Le 31/07/2019 à 00:09, nggood a dit :

Bonjour à tous et merci @Fenrir pour ce tuto très complet !

Je suis le nouvel acquéreur d'un nas 918+ (DSM 6.2.2-24922) et j'ai passé pas mal de temps à essayer de rendre accessible mes applications Moments et Drive depuis Internet. J'y arrive sans problèmes depuis les applications mobiles mais impossible de configurer le client Drive depuis un autre PC...

Je dois surement rater quelque chose mais je ne vois pas ...

Merci beaucoup pour votre aide :rolleyes:

Bonsoir tout le monde !

Petit update de ma question, j'ai essayé plusieurs workaround cette semaine sans m'en sortir... N'hésitez pas à me demander s'il manque des informations !

Merci beaucoup :smile:

0
Lien vers le commentaire
Partager sur d’autres sites
maxou56 Mentor

maxou56

Posté(e)
Posté(e) (modifié)

Bonsoir, @nggood

Il faut mieux utiliser un autre port que le 443, car celui ci est utilisé par le https de webstation.

En standard "drive" et "moments" utilise le port 10003 et 10005, il est possible de le changer.

Ensuite pour ce connecter: https://mondomaine.fr:10003 ou https://ipdunas:10003

Ou activer l'alias, et pour ce connecter https://mondomaine.fr/drive/ ou https://ipdunas/drive/
 

Il est aussi possible si vous avez un nom de domaine chez un un hébergeur d'activer la redirection dns.
Ex: drive.mondomaine.fr vers  https://ipfixe:10003

Modifié par maxou56
0
Lien vers le commentaire
Partager sur d’autres sites
nggood Newbie

nggood

Posté(e)
Posté(e)

Bonsoir @maxou56 et merci de ta réponse !

J'ai bien paramétré la redirection drive.mondomaine.fr vers https://ipfixe:10003, ce que j'ai aussi fait pour les applications "Chat" et "Moments" avec les ports 20001 et 10005 respectivement.

Ce qui est étonnant c'est que j'arrive bien à accéder depuis l'extérieur à :

  • drive.mondomaine.fr, chat.mondomaine.fr, moments.mondomaine.fr depuis un navigateur
  • drive.mondomaine.fr, chat.mondomaine.fr, moments.mondomaine.fr depuis les applications mobiles
  • chat.mondomaine.fr depuis le client mac

Seul drive.mondomaine.fr ne fonctionne pas depuis le client mac sans raison apparente... Il m'indique "La connexion a échoué. Veuillez vérifier vos paramètres réseau puis réessayez". Est-ce un bug connu où un problème de configuration de ma part ?

Merci ! 

0
Lien vers le commentaire
Partager sur d’autres sites
maxou56 Mentor

maxou56

Posté(e)
Posté(e)
il y a 24 minutes, nggood a dit :

Seul drive.mondomaine.fr ne fonctionne pas depuis le client mac sans raison apparente... Il m'indique "La connexion a échoué. Veuillez vérifier vos paramètres réseau puis réessayez". Est-ce un bug connu où un problème de configuration de ma part ?

Je viens de regarder mes réglages pour le client mac, cela fonctionne uniquement pour moi avec mondomaine.fr ou l'ip du NAS

0
Lien vers le commentaire
Partager sur d’autres sites
nggood Newbie

nggood

Posté(e)
Posté(e)
Il y a 10 heures, maxou56 a dit :

Je viens de regarder mes réglages pour le client mac, cela fonctionne uniquement pour moi avec mondomaine.fr ou l'ip du NAS

Hum j'ai essayé avec mondomaine.fr et l'ip de mon NAS mais ca ne fonctionne pas non plus. Vraiment étrange comme comportement... 😓

0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.