[Résolu]Pare-feu et QuickConnect

[oracle7]

@PiwiLAbruti

il y a une heure, PiwiLAbruti a dit :

Est-ce qu'ils le font ? Seul Synology a la réponse.

En tous cas, même s'ils s'en gardent avec leurs déclarations d'intention : voir page 9 de la "White Paper" suscitée, le doute subsiste ...

Cordialement

oracle7😉

Modifié le 18 août 2020 par oracle7

[maxou56]

Et en plus de l'aspect sécuritaire, cela rend dépendant du bon fonctionnement des serveurs de Synology (qui ont de temps en temps des pannes).

De plus ça bride aussi le débit si "le service de relais de QuickConnect" (de mémoire Synology le spécifiait dans certaines app si on ce connecté via QuickConnect)

Modifié le 18 août 2020 par maxou56

[Pandore62]

Pour éviter tout problème et de confiance vaut mieux ne pas utiliser QuickConnect ^^ 

j’ai donc ouvert un ddns et une port https dans ma box, maintenant la question que je me pose et si je dois ouvrir un port par application(dscam/dsvideo/dsfile) plutôt que l’https ?

[maxou56]

il y a 4 minutes, Pandore62 a dit :

maintenant la question que je me pose et si je dois ouvrir un port par application(dscam/dsvideo/dsfile) plutôt que l’https ?

Bonjour,

Alors oui c'est possible, et dans ce cas il faut mieux en Https.

Mais le mieux (plus sécurisé, mais moins facile) est de faire du reverse proxy vers les différentes applications.

 

Modifié le 18 août 2020 par maxou56

[Pandore62]

Je vais regarder ça, mais pourquoi il parle du port 443 alors que celui utilisé par dsm est le 5001 ? Aujourd’hui j’ai ouvert le 5001

[oracle7]

@Pandore62

Bonjour,

il y a 18 minutes, Pandore62 a dit :

mais pourquoi il parle du port 443 alors que celui utilisé par dsm est le 5001 ? Aujourd’hui j’ai ouvert le 5001

Tout simplement parce que le reverse proxy "écoute" en permanence le port 443. Il redirige en suite vers l'application voulue sur son port dédié (par ex : FileStation via localhost sur le port 7000 ou DSM via localhost sur le port 5000).

Maintenant par sécurité saches que l'on ouvre jamais les ports 5000 et 5001 de DSM vers l'extérieur. Donc c'est une mauvaise idée que tu as eu de le faire pour le 5001 ...

Cordialement

oracle7😉

[Pandore62]

Même si celui-ci a été changé ? Car je dis 5001 mais en réalité il s’agit d’un autre car j’ai modifié le port par défaut 

[.Shad.]

Quelque soit le port, à partir du moment tu as un proxy inversé en frontend qui peut rediriger vers l'application voulue, il n'y a aucune raison de continuer à exposer ce port.
Dans certains cas, on est obligé, le proxy inversé ne fonctionne par exemple pas pour le transit des données vers Drive (6690) et là tu es obligé d'ouvrir ce port vers l'extérieur si tu souhaites pouvoir synchroniser des données à distance.
Même chose pour Active Backup for Business.

Les connexions restent malgré tout sécurisées car chiffrées de bout en bout, simplement le protocole exige de devoir discuter en direct avec l'application, et pas avec le proxy inversé.

[Pandore62]

D’accord, mais dans ce cas je n’aurai plus l’accès à DSM depuis l’extérieur. Mais j’ai quand même dû mal à comprendre pourquoi utiliser un proxy inverse permet d’être plus sécurisé 

[.Shad.]

Parce que tu n'as pas compris comment fonctionne un proxy inversé, car DSM est tout à fait accessible au travers d'un proxy inversé sans exposer le port DSM HTTP ou HTTPS.

Parce qu'un proxy inversé, s'il écoute sur le port 443 (fonctionnement ultra classique), cause en chiffré avec les clients.
Ce n'est pas plus sécurisé si tu considères qu'utiliser comme intermédiaire les serveurs de Synology est 100% fiable.

Commence par lire le tutoriel ou Wikipédia pour te faire une idée de l'intérêt d'un proxy inversé, ça devrait ensuite être plus clair pour toi. 🙂 

[Pandore62]

Ça marche merci pour les infos je vais regarder tout ça 

[DaffY]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.