Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour à tous,

Dans le but de sécuriser mon NAS mais de garder une utilisation simple et confortable, je cherche à ouvrir le moins de ports réseau possible. Je voudrai évidemment que mes applications fonctionnent correctement suivant mon besoin.

Dans cette optique, je me demande à quoi certains ports peuvent servir:

Ports 6001-6010 udp et 6011-6030 tcp pour airplay... ces ports sont utiles uniquement lorsqu'on veut lire à distance de la musique sur un appareil apple? je n'ai pas d'appareil apple chez moi mais est ce que fermer ces ports m'empêchera de diffuser de la musique sur une enceinte wifi, casque bluetooth, ampli AV, chromecast?

Ports 9025-9040 udp et tcp. C'est apparemment utilisé pour video station mais je me demande bien à quoi ça sert (ça ne correspond pas au port pour accéder à l'application)

En activant le service de fichier SMB, on me demande d'ouvrir les ports correspondants au service de fichier windows dans le pare feu (137,138,139,445). A quoi peut bien servir d'ouvrir ces ports? Je ne pourrais plus voir mon NAS sous windows si je les ferme?

Enfin le port 123 pour NTP. Je crois qu'il s'agit de ce qui permet de mettre l'heure à jour c'est cela? Si je le ferme alors je vais avoir un soucis de mise à jour d'horloge et je ne pourrai plus utiliser la vérification en 2 étapes c'est cela?

Merci à vous!

Modifié par Babou57
Posté(e)

Je pense que tu ne prends pas la question dans le bon sens ... Il faudrait que tu te poses la question suivante :

  • Quels sont les services de mon NAS que je veux utiliser depuis l'extérieur ?

La réponse à cette question te permettra d'établir la liste des ports sur lesquels il va falloir que tu travailles. Un port dont tu ne connais pas l'utilisation n'as pas à être accessible depuis l'extérieur ...

Car (petit rappel) tant que tu es dans ton réseau interne, tous les ports sont accessibles... Seuls les ports qui nécessitent d'être accédés depuis l'extérieur doivent être traités.

Je dis bien "traité", car tu parles de "ouvrir" des ports. Qu'est-ce que tu entends pas là ? Il y a deux notions distinctes :

  • Au niveau du routeur, on peut rediriger un port vers le NAS, ou en franglais (que je n'aime pas) natter un port (de NAT : Network Acces Translation).
  • Au niveau du pare-feu, on peut autoriser ou interdire l'utilisation d'un port.

Il s'agit là de deux notions différentes, qui n'ont pas la même finalité...

Et si on utilise le pare-feu du NAS (et dans la configuration d'une installation familiale) , il est bien évident que seuls les ports redirigés ont vocation à traités explicitement par le pare-feu...

 

Posté(e)

C'est pour ça que dans le tutoriel de sécurisation du NAS on autorise la communication sur tous les ports vers les IP privées, celles utilisables au sein d'un réseau local.
Car ce serait assez fastidieux de devoir régler de manière fine tous les ports à autoriser et interdire localement.

Ca part du postulat que le LAN est "sûr", dans les faits rien ne dit qu'un membre de ta famille ne va pas ouvrir une pièce jointe douteuse, et que sur son PC par exemple tu aies monté des lecteurs réseaux pour un accès facile au NAS, avec des droits en écriture.

La sûreté du LAN passe surtout par une conscience des bonnes pratiques informatiques de ceux qui l'utilisent.

Posté(e)
il y a une heure, GrOoT64 a dit :

Moi je dis un bon petit reverse proxy et c'est gagné

Ce n'est pas la solution universelle ...

Si le client veut communiquer avec le serveur via un port "codé en dur", le reverse proxy ne te sera d'aucune utilité (exemple : le client Synology Drive qui communique avec le serveur Drive via le port 6690... Ne pas rediriger ce port empêchera toute synchronisation - problème récurent pour beaucoup de personnes qui partent sur la solution de Reverse Proxy)

Posté(e)

Plutôt sur les doigts des mains et des pieds ... 😊

Liste non exhaustive : VPN, SSH, Mail, Torrent, FTP ...

L'important n'est pas leur nombre, mais c'est d'être conscient que le Reverse Proxy n'est pas la panacée universelle !!!

Posté(e) (modifié)

Bonjour et merci pour vos nombreuses réponses.

Je pense que je prends la question dans le bon sens mais je l'ai mal posé. Ce post fait référence à un autre post que j'ai posté ici sur le site: 

 

Le 16/11/2020 à 14:53, .Shad. a dit :

C'est pour ça que dans le tutoriel de sécurisation du NAS on autorise la communication sur tous les ports vers les IP privées, celles utilisables au sein d'un réseau local.
Car ce serait assez fastidieux de devoir régler de manière fine tous les ports à autoriser et interdire localement.

Ca part du postulat que le LAN est "sûr", dans les faits rien ne dit qu'un membre de ta famille ne va pas ouvrir une pièce jointe douteuse, et que sur son PC par exemple tu aies monté des lecteurs réseaux pour un accès facile au NAS, avec des droits en écriture.

La sûreté du LAN passe surtout par une conscience des bonnes pratiques informatiques de ceux qui l'utilisent.

J'ai suivi le tuto sécurisation du NAS déjà (il est vraiment très bien fait et très bien adapté pour un débutant en réseau comme moi) et j'ai donc autorisé les communications vers les IP privées. Comme je l'ai dit dans l'autre post, j'ai configuré un reverse proxy et c'est justement pour ça que je me pose la question de l'utilité de ces ports.

Le 16/11/2020 à 16:51, Kramlech a dit :

Ce n'est pas la solution universelle ...

Si le client veut communiquer avec le serveur via un port "codé en dur", le reverse proxy ne te sera d'aucune utilité (exemple : le client Synology Drive qui communique avec le serveur Drive via le port 6690... Ne pas rediriger ce port empêchera toute synchronisation - problème récurent pour beaucoup de personnes qui partent sur la solution de Reverse Proxy)

En proxy inversé, j'ai traité uniquement les ports des applications (ports 80 et 443 redirigés par la box et autorisés dans le pare feu) sauf que, comme Kramlech n'a signalé: ces applications sont devenues inopérantes à l'extérieur à cause d'une communication des clients sur un serveur via un port spécifique. Drive ne se synchronisait pas puisque je n'avais pas traité le port 6690. Idem pour download station car je n'avais pas traité le port 16881.

Lorsque je ferme un paquet et que je le relance, DSM me demande d'autoriser certains ports dans mon pare feu. Je me connecte au NAS avec un nom de domaine synology.me donc en DDNS. Ceci fait en sorte que je me connecte comme "à l'extérieur" même si je suis en wifi local. Si je ne traite pas les ports spécifiques de ces applications, elles seront inutilisables (elles se lancent mais aucune donnée ne transite)

En redémarrant le paquet Video Station par exemple (que je veux utiliser à l'extérieur), DSM me suggère d'autoriser les ports 9025-9040 dans le pare feu. Quand je redémarre Audio station ce sont les ports 6001-6010 udp et 6011-6030 tcp. Quand j'active le service SMB, ce sont les ports 37,138,139,445.

En reverse proxy, Video Station ne lit plus de film. Voilà pourquoi je demande à quoi servent ces ports que DSM me demande d'autoriser dans le pare feu. Si ce sont aussi des ports spécifiques pour autoriser une communication entre les clients et un serveur, ça expliquerait pourquoi ça ne fonctionne plus. Mais je ne voudrai pas traiter ces ports (les natter et les autoriser dans le pare feu) si j'en ai pas besoin pour lire un film depuis l'extérieur ou diffuser une musique

Le 16/11/2020 à 18:10, Kramlech a dit :

Plutôt sur les doigts des mains et des pieds ... 😊

Liste non exhaustive : VPN, SSH, Mail, Torrent, FTP ...

L'important n'est pas leur nombre, mais c'est d'être conscient que le Reverse Proxy n'est pas la panacée universelle !!!

Comme l'a dit Kramlech, la liste est finalement longue: VPN, SSH, Mail, Torrent, FTP, Drive,...  J'utilise HyperBackup, open VPN, SSH, SFTP... et j'aimerai que tout fonctionne en DDNS avec mon nom de domaine synology.me. c'est pour ça que j'aimerai savoir à quoi ces ports peuvent servir et si c'est utile ou non que je les redirige ou autorise.

Modifié par Babou57
Posté(e)

Je pensais que les ports 6001-6010 ne correspondait qu'au Airplay. Etant donné que je n'ai pas d'appareils Apple, j'ai décidé de ne plus les traiter. Sauf qu'apparemment ça enlève aussi les périphériques chromecast!
Je ne les vois plus apparaitre sur mon téléphone dans audio station, uniquement "le nom de mon téléphone". Je les ai re-natté et ré-autorisé et c'est revenu... Je pense donc que ces ports autorisent plus que Airplay.
J'en ai profité pour re-traiter 9025-9040 car je ne voyais plus les périphériques dans video station non plus.

D'ailleurs concernant les périphériques distants, je me suis aperçu d'un truc dingue. Lorsque je me connecte à audio station avec un compte admin, je vois les périphériques DLNA mais pas les périphériques chromecast (alors qu'avec DS audio sur smartphone je vois les 2). MAIS SURTOUT, si je me connecte avec un compte utilisateur qui a accès à tous les dossiers du nas et toutes les applications, je ne vois plus aucun périphérique!!!!!! Uniquement "Mon ordinateur". J'ai refait le test en faisant appartenir cet utilisateur au groupe administrateur également et là je peux voir les périphériques DLNA... J'y comprends rien.
Idem dans Video Station, il faut un compte administrateur pour voir les différents périphériques de lecture!! Et alors pourquoi les périphériques chromecast ne sont visibles que dans l'appli smartphone... Mystère!!

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.