Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

  • Réponses 1.1 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Note du 08/10/2023 Ce tuto a été créé sous DSM 6.x et doit être appliqué par les utilisateurs utilisant cette version. Néanmoins, bien qu'il soit toujours d'actualité, certaines sections de

PiwiLAbruti
PiwiLAbruti

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné

Fenrir
Fenrir

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise

Images postées

.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

@damstopper Tu tentes de te connecter en local ou à distance ? car si c'est à distance et que visiblement tu n'as pas encore mis en place le proxy inversé, tu bloques la connexion.
Il faut exposer le port de DSM et le rediriger depuis ta box vers ton NAS (c'est non conseillé, je t'explique juste pour la logique).

0
Lien vers le commentaire
Partager sur d’autres sites
damstopper Rookie

damstopper

Posté(e)
Posté(e)

Bonjour @.Shad.. Cette adresse IP est celle de ma box Orange. J'avais dû suivre des tutos pour paramétrer mon NAS suite à mon changement d'opérateur (anciennement FREE) qui m'avait provoqué des problèmes de connexion (plus d'accès à Plex ou via finder/explorer sur mon ordi).

Je pense que c'est ça. Du coup tu me conseillerais quoi à mettre en passerelle par défaut?

Merci

 

0
Lien vers le commentaire
Partager sur d’autres sites
damstopper Rookie

damstopper

Posté(e)
Posté(e)
il y a 8 minutes, .Shad. a dit :

Si tu enlèves la règle de refus, est-ce que tu as encore le message d'erreur ?

Je ne pense pas que ça ait un lien. En effet, j'ai pris exactement le même profil que celui par défaut. j'ai "cloné" le profil, donc aucune différence de paramétrage entre les 2. Et il ne m'accepte pas le changement.

J'essaie malgré tout ton idée d'enlever la règle qui refuse tout. Et la contre toute attente mon changement de profil est pris! 😲J'essaie de remettre la règle, et là il me remet le profil précédent.

Je confirme donc le pare-feu ne veut pas la règle de refus.

Pourquoi? et quelle conséquence par rapport au tuto de @Fenrir sur la sécurité de mon NAS

0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e)

Je ne vois pas pourquoi il accepterait la règle avec le profil défaut et pas avec un clone de ce profil.
La seule possibilité c'est que l'IP du périphérique avec lequel tu te connectes au NAS ne rentre pas dans le cadre de la liste blanche proposée par Fenrir.

Peux-tu simplement donner l'IP (privée) du PC avec lequel tu y accèdes ?

0
Lien vers le commentaire
Partager sur d’autres sites
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Si les règles sont identiques à celles du tuto, un blocage est impossible car les règles du tuto couvrent toute la gamme des IPV4 privées. La seule possibilité c'est que le masque de sous-réseau ne soit pas correct ce qui, comme le fait remarquer .Shad., bloquerait l'accès.

0
Lien vers le commentaire
Partager sur d’autres sites
damstopper Rookie

damstopper

Posté(e)
Posté(e) (modifié)

Bonjour, 

En réponse à vos demandes voici l'IP privé de mon ordi : 192.168.1.30

J'avoue ne pas avoir tout compris avec le profil cloné, j'ai refait des tests et je n'arrive plus à remettre les paramètres par défaut. Mais en soit ce n'est pas grave car je voulais les changer. En revanche la règle du refus ne passe toujours pas.

Peut être que je devrai agir sur ma box??? Puisque la passerelle par défaut dans la rubrique Panneau de conf / Réseau / Général est celle de ma box...

Après tentative depuis un autre ordinateur pour voir si ça fait la même chose, et bien oui ... C'est à n'y rien comprendre et difficile à décrire puisque je ne sais pas précisément de quelles informations vous avez besoin pour m'aider.

Quand au masque sous réseau il ne fait pas partie de ceux de Fenrir. Mais lorsqu'on a 255.255.0.0, est ce que cela inclut tout ceux commençant par 255.255? Si oui alors, il n'y a pas de problème, à priori à ce niveau...

Modifié par damstopper
0
Lien vers le commentaire
Partager sur d’autres sites
_Alex_ Newbie

_Alex_

Posté(e)
Posté(e)
Le 01/12/2016 à 19:33, Fenrir a dit :

Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée.

Merci pour le tuto.

J'ai dans un premier temps ouvert le NAS à internet mais je souhaite en revenir et supprimer tous les accès via le parefeu.

Or, lorsque je souhaite supprimer l'accès au port 5001 126306151_Capturedecran2020-01-31a21_02_33.png.689401693af176dc1a0bdab8f60c7e66.png

j'ai ce message qui apparaît:

940687834_Capturedecran2020-01-31a21_01_19.png.d0d0b78562817427136fa0d718cf37a9.png

Pas étonnant car j'accède au NAS via https://monnas.synology.me:5001/

Je m'emmêle un peu les pinceaux et, malgré lecture et relecture du tuto, je n'arrive pas à faire machine arrière et a accéder au NAS par son adresse IP.

Une idée?

Merci

 

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

Bonsoir,

Avant de condamner les ports dans le pare-feu:

1/Tu suis le tuto VPN serveur. En te connectant au NAS avec VPN c'est comme si tu te connectais en local. Donc plus besoin d'autoriser les ports 5000/5001 dans le pare feu.

2/Autre solution : tu suis le tuto reverse proxy. Cela revient à se connecter au NAS sur le port 443 (en https) puis, grâce au reverse proxy être redirigé vers le port 5000 en local. Donc là aussi plus besoin de condamner le port sur le pare feu puisque la requête sur le port 5000 est  en locale.

0
Lien vers le commentaire
Partager sur d’autres sites
_Alex_ Newbie

_Alex_

Posté(e)
Posté(e)

Merci,

J'ai attentivement lu ces 2 tutos et je souhaite effectivement suivre le tuto reverse proxy qui me paraît correspondre à mon attente. Par manque de temps je le ferais d'ici quelques jours/semaines.

Mon souci est surtout au niveau local où je n'arrive pas à me connecter à DSM via l'IP. Même le "find synology" ne trouve plus le NAS. Je dois sûrement

0
Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines après...
Remi7449 Newbie

Remi7449

Posté(e)
Posté(e)

Bonsoir,

Merci pour ce super tuto qui m'a permis de comprendre ce que je faisais après de nombreuses lectures ! 

Je m'attaque au reverse proxy. Petite question : il est écrit tout en bas "ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM (cf remarque un peu plus haut)", OK mais ce que je ne pige pas c'est pourquoi ne pas configurer les adresses de destination en https:// au lieu de http:// comme sur le screen (l'option est possible lors de la création dans le menu reverse proxy). il y a surement une raison que je ne saisi pas 😌 ! 

Merci d'avance,

Rémi.

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e) (modifié)

Bonjour,

Il y a 7 heures, Remi7449 a dit :

Je m'attaque au reverse proxy. Petite question : il est écrit tout en bas "ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM

Il s'agit de l'option du panneau de config (réseau/paramètre du DSM). Celle-ci provoque des erreurs avec l'utilisation du reverse proxy. A la place, on utilise un fichier htaccess ou un fichier php pour faire de la redirection http vers https. Ceci permet de forcer l'échange en https depuis l'extérieur jusqu'au NAS. C'est seulement après cela que le revers proxy intervient, c'est à dire dans le réseau local.

Avantage de l'utilisation du reverse proxy : pas besoin d'ouvrir et de rediriger le port de l'application dans le pare feu du NAS et sur la box (ou sur le routeur), seul  le port 443 est utilisé sur le réseau externe et sera redirigé vers le NAS et autorisé dans le pare-feu  (ainsi que 80  si on fait la redirection http --> https. Sinon on interdit la connexion en http).

Le port de l'application n'est utilisé que sur le réseau local et là il n'est plus besoin de re-crypter les échanges ce qui serait inutile et contre-productif.

Mon langage n'est pas très technique mais je l'espère à peu près clair.

 

 

Modifié par Jeff777
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.