PPORCH3 Posté(e) le 18 août 2022 Posté(e) le 18 août 2022 Salut, J'ai un DS218play que j'ai passé en DSM 7 et ai changer de box internet, depuis ce moment j'ai n'ai plus accès à mon NAS en SFTP auriez-vous une idée d'où pourrait provenir le problème ? Quand je suis en local RAS mais depuis l'extérieur cela ne passe pas : - Ma Box redirige bien le port STFP Interne : 22 vers le port externe : 4826 en TCP et j'ai bien activé le SMTP sur mon Nas et mis le port 4826, - Quand je test le SSH a distance cela fonctionne sans problème (comme le reste, plex, ds file, ...). Je ne vois pas d'où peux venir le problème ayant l'impressions que tout est OK et comme avant (même si je suppose qu'il s'agit d'un truc "à la con"). Je vous remercie d'avance. 0 Citer
PPORCH3 Posté(e) le 30 septembre 2022 Auteur Posté(e) le 30 septembre 2022 Le 24/09/2022 à 14:18, bliz a dit : le port sftp sur le parefeu du nas est il bien ouverta toutes les ip ou a minima dans le pays dans lequel une connexion veut se faire Merci mais oui c'est déjà fait mais cela ne fonctionne pas. 0 Citer
.Shad. Posté(e) le 2 octobre 2022 Posté(e) le 2 octobre 2022 @PPORCH3 Quand tu essaies d'accéder à ton NAS depuis l'extérieur, quel port sollicites-tu ? Je ne suis pas d'avoir bien identifié si c'est le port 22 qui est exposé sur ta box ou sur ton NAS. 0 Citer
PPORCH3 Posté(e) le 3 octobre 2022 Auteur Posté(e) le 3 octobre 2022 Le 30/09/2022 à 22:41, bliz a dit : justement, le port n'est pas sélectionné, la copie d'écran que j'avais fait montrait que je ne l'avais pas ouvert, voici quand on ouvre le vpn et le ftp de la façon que c'est indiqué je vous conseille de lire attentivement ce tuto Bonjour, Voici mon pare feu, @.Shad. et le port est le 4826. Et sur la box internet j'ai bien fait le port forwarding : Je vais re regarder le tuto au cas ou 😉 Merci à vous deux 😉 0 Citer
.Shad. Posté(e) le 4 octobre 2022 Posté(e) le 4 octobre 2022 Moi je le comprends dans l'autre sens, le port 22 de la box est NATé sur le port 4826 du NAS. Du coup @PPORCH3 est-ce que tu as bien modifié le port SFTP dans DSM : Et est-ce que tu as modifié le port SSH ? Il y a des redondances dans ton pare-feu, ce qui pourrait être OK s'il t'arrive de désactiver la règle Tous Tous France Autoriser, sinon un petit nettoyage serait utile. Quel est l'intérêt par contre de caler SFTP sur un autre port que 22 ? Car de toute façon, c'est le port 22 de la box que tu utilises. 0 Citer
PPORCH3 Posté(e) le 5 octobre 2022 Auteur Posté(e) le 5 octobre 2022 (modifié) @.Shad. @bliz Alors le truc c'est que quand je mettais sur le port 22 ma box (en externe) j'avais beaucoup (beaucoup) de tentative de connexion donc je l'ai remplacer par le 4826 et le problème était résolu et tout marchait interne ou externe. Mais quand je suis passé sous DSM7 l'externe ne marchait plus. Donc normalement cela devrait être : Je me connecte depuis internet sur ma box avec le port 4826, ma box le transmet vers le 22 pour que le nas comprennent (et me laisse passer). Dans DSM j'ai mis aussi 4826 mais du coup j'ai comme l'impression que c'est pas logique 😅 Et pour le nettoyage de mon pare-feu je suis preneur des erreur que j'ai fait 😉 Et pour SSH : Modifié le 5 octobre 2022 par PPORCH3 0 Citer
.Shad. Posté(e) le 5 octobre 2022 Posté(e) le 5 octobre 2022 Si tu rediriges 4826 vers 22 du NAS, alors SFTP doit être sur le port 22 (réglage par défaut normalement), c'est normal en l'état que tu n'arrives pas à te connecter. 🙂 1 Citer
PPORCH3 Posté(e) le 7 octobre 2022 Auteur Posté(e) le 7 octobre 2022 @.Shad. @bliz justement avant mon SFTP était en 22 sur le DSM et la box était en externe 4826 et interne 22. La j'ai mis 4826 sur la box en interne et en externe et en 4826 aussi sur le DSM, mais rien ne se passe. Et je vient de désactivé le SSH (je l'avais oublié). 0 Citer
PPORCH3 Posté(e) le 8 octobre 2022 Auteur Posté(e) le 8 octobre 2022 Il y a 12 heures, bliz a dit : oui, mais le parefeu du nas est en 4826 au lieu de 22, c'est pour cela que ça ne fonctionne pas, le perefeu te coupe la liaison sftp Le pare-feu autorise justement le 4826 non ? \/ Comme je n'ai plus renseigner nul part le 22 je vois pas le problème 😅 0 Citer
.Shad. Posté(e) le 8 octobre 2022 Posté(e) le 8 octobre 2022 Je ne suis pas sûr que factuellement, DSM puisse avoir SFTP activé et SSH désactivé. Dans l'absolu c'est faisable et ça se configure dans le fichier sshd_config dans /etc, mais je ne sais pas si DSM le fait réellement. Si SSH est exposé et activé sur le port 4826 sur le NAS, est-ce que ça fonctionne ? Pour ton pare-feu, comme je disais plus haut, si tu autorises toutes les connexions françaises sur tous les ports, à quoi servent tes premières règles ? 0 Citer
PPORCH3 Posté(e) le 8 octobre 2022 Auteur Posté(e) le 8 octobre 2022 il y a une heure, .Shad. a dit : Je ne suis pas sûr que factuellement, DSM puisse avoir SFTP activé et SSH désactivé. Dans l'absolu c'est faisable et ça se configure dans le fichier sshd_config dans /etc, mais je ne sais pas si DSM le fait réellement. Si SSH est exposé et activé sur le port 4826 sur le NAS, est-ce que ça fonctionne ? Pour ton pare-feu, comme je disais plus haut, si tu autorises toutes les connexions françaises sur tous les ports, à quoi servent tes premières règles ? Pour le SSH j'ai suivie ce que vous aviez mis plus haut et l'ai désactivé. Je viens de le réactivé et de le mettre en 4826 aussi mais pareil ça passe pas. Ok pas faux je vais décochez les premières. Avec et sans SSH sur le 4826 cela ne marche pas. 0 Citer
.Shad. Posté(e) le 8 octobre 2022 Posté(e) le 8 octobre 2022 Donc tu confirmes que : sur la box : 4826 redirigé vers le 4826 du NAS sur le NAS, le service SSH est activé sur le port 4826 sur le NAS, le SFTP est activé sur le port 4826 Est-ce que tu utilises une connectivité IPv6 par hasard ? Tu peux vérifier ton IP via https://ip.lafibre.info 0 Citer
PPORCH3 Posté(e) le 10 octobre 2022 Auteur Posté(e) le 10 octobre 2022 Le 08/10/2022 à 15:47, .Shad. a dit : Donc tu confirmes que : sur la box : 4826 redirigé vers le 4826 du NAS sur le NAS, le service SSH est activé sur le port 4826 sur le NAS, le SFTP est activé sur le port 4826 Est-ce que tu utilises une connectivité IPv6 par hasard ? Tu peux vérifier ton IP via https://ip.lafibre.info Alors : - Oui - Oui - Oui Elle était activé (même si j'en ai pas spécialement besoin), j'ai essayé en l'a désactivant mais pareil. 0 Citer
.Shad. Posté(e) le 10 octobre 2022 Posté(e) le 10 octobre 2022 Et tes autres redirections de port fonctionnent ? En l'état, si tout ce que tu dis est vrai, je sèche. Seule hypothèse restante pour moi, ton FAI t'a attribué une IP partagée et le port 4826 ne fait pas partie de ceux disponibles. Essaie peut-être la même chose avec le port disons 54826. 0 Citer
PPORCH3 Posté(e) le 10 octobre 2022 Auteur Posté(e) le 10 octobre 2022 il y a 45 minutes, .Shad. a dit : Et tes autres redirections de port fonctionnent ? En l'état, si tout ce que tu dis est vrai, je sèche. Seule hypothèse restante pour moi, ton FAI t'a attribué une IP partagée et le port 4826 ne fait pas partie de ceux disponibles. Essaie peut-être la même chose avec le port disons 54826. J'en ai marre de moi... En regardant le tableau sur la box du NAT/PAT j'ai reregarder mon WOL qui n'a jamais eu de problème j'ai (re)vu que j'utilisé un DDNS. Et dans l'appli (sur mon tel) du coup en remplacent mon adresse Synology (par le DDNS) ça à marcher, donc je vous ai fait perdre votre temps pour rien je suis vraiment désolé du dérangement... 0 Citer
PPORCH3 Posté(e) le 11 octobre 2022 Auteur Posté(e) le 11 octobre 2022 @.Shad. Par contre depuis que j'ai modifié les règles du pare-feu suite à vos remarques, y en a qui ce font plaisir... 0 Citer
.Shad. Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 Essaie déjà de désactiver SSH pour voir si SFTP fonctionne toujours. Et de deux, le compte admin doit impérativement être désactivé, c'est l'étape n°1 maintenant quand tu réinstalles DSM. Car forcément tu auras des bots qui testeront de se logger sur un compte "admin" ou "root". Et ce qui pose problème dans ton pare-feu c'est surtout l'ouverture de ton NAS à la France entière, faut pas croire que des bots il n'y en a pas en France, et qu'il n'y en a que dans les pays dont tu as refusé les connexions. 🙂 0 Citer
PPORCH3 Posté(e) le 11 octobre 2022 Auteur Posté(e) le 11 octobre 2022 Il y a 1 heure, .Shad. a dit : Essaie déjà de désactiver SSH pour voir si SFTP fonctionne toujours. Et de deux, le compte admin doit impérativement être désactivé, c'est l'étape n°1 maintenant quand tu réinstalles DSM. Car forcément tu auras des bots qui testeront de se logger sur un compte "admin" ou "root". Et ce qui pose problème dans ton pare-feu c'est surtout l'ouverture de ton NAS à la France entière, faut pas croire que des bots il n'y en a pas en France, et qu'il n'y en a que dans les pays dont tu as refusé les connexions. 🙂 Oui ça c'est bon, je l'ai remis en 22 et désactivé. Le compte Admin est déjà désactivé pourtant. Ducoup tu me conseille de supprimer celle-ci ? : 0 Citer
.Shad. Posté(e) le 11 octobre 2022 Posté(e) le 11 octobre 2022 (modifié) Non, je te conseille de poser sur le papier dans un premier temps ce que tu veux faire. Un pare-feu travaille de façon séquentielle, l'ordre a une importance ; supposons que tu essaies d'accéder à Plex depuis la France, la connexion va être autorisée par la règle n°1, mais supposons que cette règle n'existe pas, l'accès sera quand même autorisé par la règle que tu as encadrée. Or, un pare-feu ne doit idéalement pouvoir répondre positif à plusieurs lignes, mais à une seule. Est-ce que Plex et SSH sont les seuls services que tu exposes publiquement ? Si oui, tu peux supprimer cette règle, et interdire tous les pays en dernière règle à la place des pays dits "dangereux". Ainsi, si un accès doit se faire, il doit être autorisé avant cette dernière règle, qui s'assurera que tout ce qui n'a pas été autorisé auparavant sera interdit. Mais si tu utilises un VPN, ou un proxy inversé, il te faudra intercaler des règles supplémentaires. Modifié le 11 octobre 2022 par .Shad. 0 Citer
PPORCH3 Posté(e) le 11 octobre 2022 Auteur Posté(e) le 11 octobre 2022 (modifié) il y a 41 minutes, .Shad. a dit : Non, je te conseille de poser sur le papier dans un premier temps ce que tu veux faire. Un pare-feu travaille de façon séquentielle, l'ordre a une importance ; supposons que tu essaies d'accéder à Plex depuis la France, la connexion va être autorisée par la règle n°1, mais supposons que cette règle n'existe pas, l'accès sera quand même autorisé par la règle que tu as encadrée. Or, un pare-feu ne doit idéalement pouvoir répondre positif à plusieurs lignes, mais à une seule. Est-ce que Plex et SSH sont les seuls services que tu exposes publiquement ? Si oui, tu peux supprimer cette règle, et interdire tous les pays en dernière règle à la place des pays dits "dangereux". Ainsi, si un accès doit se faire, il doit être autorisé avant cette dernière règle, qui s'assurera que tout ce qui n'a pas été autorisé auparavant sera interdit. Mais si tu utilises un VPN, ou un proxy inversé, il te faudra intercaler des règles supplémentaires. En fait à part le SFTP, accéder à DSM depuis l'extérieur, DS File/Photo et Plex je pense pas avoir besoin d'autre chose. Et j'utilise aussi Synology Mail Server pour envoyer des mails. Et non pas de VPN, etc... Donc normalement si je supprime cette règle, que j'ajoute le truc pour DSM, DS File/Photo je suis plus censé avoir de tentative de connexion car tout sera bloqué ? Et pour le pare-feu je ne peux pas mettre plus que 15 pays donc je suppose qu'il faudrait faire ça : Modifié le 11 octobre 2022 par PPORCH3 0 Citer
.Shad. Posté(e) le 13 octobre 2022 Posté(e) le 13 octobre 2022 (modifié) Le 11/10/2022 à 11:41, PPORCH3 a dit : DS File/Photo Si tu y accèdes depuis DSM il te suffit d'ouvrir le port 5001 et associer un certificat valide à DSM. Mais je te conseille plutôt d'utiliser un proxy inversé si tu exposes ton NAS publiquement, voir le tutoriel : Le 11/10/2022 à 11:41, PPORCH3 a dit : Et pour le pare-feu je ne peux pas mettre plus que 15 pays donc je suppose qu'il faudrait faire ça : Oui c'est bien ça. Toutes les autorisations doivent être placées avant cette règle qui met fin à toute possibilité d'intrusion. Modifié le 13 octobre 2022 par .Shad. 0 Citer
PPORCH3 Posté(e) le 22 octobre 2022 Auteur Posté(e) le 22 octobre 2022 Le 13/10/2022 à 08:48, .Shad. a dit : Si tu y accèdes depuis DSM il te suffit d'ouvrir le port 5001 et associer un certificat valide à DSM. Mais je te conseille plutôt d'utiliser un proxy inversé si tu exposes ton NAS publiquement, voir le tutoriel : Oui c'est bien ça. Toutes les autorisations doivent être placées avant cette règle qui met fin à toute possibilité d'intrusion. Nickel je te remercie, en mettant la règle de refus global je n'ai plus de tentative de connexion. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.