Aller au contenu

[Résolu]Pare-feu et QuickConnect


Messages recommandés

@PiwiLAbruti

il y a une heure, PiwiLAbruti a dit :

Est-ce qu'ils le font ? Seul Synology a la réponse.

En tous cas, même s'ils s'en gardent avec leurs déclarations d'intention : voir page 9 de la "White Paper" suscitée, le doute subsiste ...

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Et en plus de l'aspect sécuritaire, cela rend dépendant du bon fonctionnement des serveurs de Synology (qui ont de temps en temps des pannes).

De plus ça bride aussi le débit si "le service de relais de QuickConnect" (de mémoire Synology le spécifiait dans certaines app si on ce connecté via QuickConnect)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Pour éviter tout problème et de confiance vaut mieux ne pas utiliser QuickConnect ^^ 

j’ai donc ouvert un ddns et une port https dans ma box, maintenant la question que je me pose et si je dois ouvrir un port par application(dscam/dsvideo/dsfile) plutôt que l’https ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Pandore62 a dit :

maintenant la question que je me pose et si je dois ouvrir un port par application(dscam/dsvideo/dsfile) plutôt que l’https ?

Bonjour,

Alors oui c'est possible, et dans ce cas il faut mieux en Https.

Mais le mieux (plus sécurisé, mais moins facile) est de faire du reverse proxy vers les différentes applications.

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

@Pandore62

Bonjour,

il y a 18 minutes, Pandore62 a dit :

mais pourquoi il parle du port 443 alors que celui utilisé par dsm est le 5001 ? Aujourd’hui j’ai ouvert le 5001

Tout simplement parce que le reverse proxy "écoute" en permanence le port 443. Il redirige en suite vers l'application voulue sur son port dédié (par ex : FileStation via localhost sur le port 7000 ou DSM via localhost sur le port 5000).

Maintenant par sécurité saches que l'on ouvre jamais les ports 5000 et 5001 de DSM vers l'extérieur. Donc c'est une mauvaise idée que tu as eu de le faire pour le 5001 ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Quelque soit le port, à partir du moment tu as un proxy inversé en frontend qui peut rediriger vers l'application voulue, il n'y a aucune raison de continuer à exposer ce port.
Dans certains cas, on est obligé, le proxy inversé ne fonctionne par exemple pas pour le transit des données vers Drive (6690) et là tu es obligé d'ouvrir ce port vers l'extérieur si tu souhaites pouvoir synchroniser des données à distance.
Même chose pour Active Backup for Business.

Les connexions restent malgré tout sécurisées car chiffrées de bout en bout, simplement le protocole exige de devoir discuter en direct avec l'application, et pas avec le proxy inversé.

Lien vers le commentaire
Partager sur d’autres sites

Parce que tu n'as pas compris comment fonctionne un proxy inversé, car DSM est tout à fait accessible au travers d'un proxy inversé sans exposer le port DSM HTTP ou HTTPS.

lan-images-proxyserver.gif
Parce qu'un proxy inversé, s'il écoute sur le port 443 (fonctionnement ultra classique), cause en chiffré avec les clients.
Ce n'est pas plus sécurisé si tu considères qu'utiliser comme intermédiaire les serveurs de Synology est 100% fiable.

Commence par lire le tutoriel ou Wikipédia pour te faire une idée de l'intérêt d'un proxy inversé, ça devrait ensuite être plus clair pour toi. 🙂 

Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.