Aller au contenu

Utilisateur strictement local


Messages recommandés

Salut,

A ma connaissance tu ne peux pas faire ça par utilisateur. Et c'est étrange comme demande, parce qu'un utilisateur, tu lui fais confiance, ou pas confiance, mais ça ne devrait pas dépendre de sa situation géographique.

Jouer avec les règles du pare-feu ne changera rien, car IPTABLES n'a pas de notion d'utilisateur, uniquement des IP, des sous-réseaux de source et de destination, et des ports.

Si tu peux décrire le contexte du pourquoi tu voudrais mettre ça en place, car entre les règles de pare-feu basées sur les IP, le géoblocage, le contrôle d'accès de Nginx, il y a normalement moyen de répondre à toutes les demandes.

Il y a aussi l'authentification 2 facteurs que tu peux activer pour un utilisateur ou groupe spécifique.

Peut-être que d'autres comme @PiwiLAbruti ont une idée lumineuse sur la question, mais moi ça me semble un peu tordu. 😄 

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Synology pourrait le faire mais ce n'est pas implémenté actuellement dans DSM.

La seule option possible est d'en faire la demande à Synology via ce formulaire : https://www.synology.com/fr-fr/form/inquiry/feature

Voir la réponse de @Mic13710 ci-dessous ↓

Modifié par PiwiLAbruti
Mauvaise réponse
Lien vers le commentaire
Partager sur d’autres sites

@.Shad., sauf erreur de ma part, on peut donner des autorisations d'accès aux applications par IP. Dans ce cas, il suffit de filtrer sur la plage DHCP du réseau local pour exclure les adresses externes. Jamais essayé.

image.thumb.png.821d60e35aadb50eca8359301978b812.png

Mais je te rejoins tout à fait. Si des droits sont accordés à un utilisateur, ils devraient l'être quelle que soit la position géographique.

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710 @PiwiLAbrutiOui en effet, mais attention, mettre juste une IP dans la liste des IP permises ne bloque pas les autres IP. En tout cas chez moi je n'ai autorisé qu'un périphérique, et j'ai su me connecter avec un autre périphérique. En revanche si je bloque une IP l'accès à l'application est effectivement bloqué.

Donc a priori il va falloir rentrer tous les sous-réseaux d'IPv4 à la main 😞 (https://ipinfo.io/countries) ou alors une option m'échappe ? Ah, et le répéter pour chaque application, du fun en perspective.
Et pour l'IPv6 si @Insecto l'utilise, bonjour la galère aussi. 🙂 

Ou alors trouver le fichier où se trouvent ces infos via le terminal, dès lors il serait facile de recopier les blocs d'IP d'un fichier à l'autre, j'imagine que ça doit être segmenté par application ?

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad. En effet, l'autorisation ne veut pas dire interdiction pour les autres IP, et donc au final cette fonction est peu intéressante.

Je viens d'essayer en autorisant l'accès à DSM à un compte sur une seule IP et j'ai pu me connecter à partir d'un autre PC sans problème.

C'est donc clairement sur les interdictions qu'il faut travailler, ce qui complique très sérieusement la tâche puisqu'il faut à la fois bloquer les IPV4 et les IPV6 (si activées) et le faire pour chaque appli. Très compliqué.

Edit :

Je viens d'essayer une autre configuration : bloquer l'accès à DSM pour le groupe, puis en ne l'autorisant que pour une seule IP dans les réglages du compte et bien ça ne fonctionne pas car le refus est prioritaire sur l'autorisation par l'IP comme stipulé dans l'aide :

Sur la page Attribuer des autorisations d'applications, vous pouvez déterminer les services auxquels l'utilisateur peut accéder. L'autorisation Refuser est prioritaire sur l'autorisation Autoriser.

Je n'avais jamais essayé cette règle auparavant car elle ne m'était pas utile. Après ces essais, je me demande à quoi elle sert, surtout si la liste des IP autorisées est déjà créée dans le parefeu. Bref, je ne suis pas du tout convaincu de l'intérêt de ce réglage, ou bien il y a un truc qui m'échappe.

Lien vers le commentaire
Partager sur d’autres sites

Il me semble que la liste blanche est prépondérante sur la liste noire, donc il faut autoriser les adresses nécessaires dans la Liste des permissions et et interdire toutes les adresses dans la Liste des blocages.

Je vous laisse le soin de tester.

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Citation

un utilisateur, tu lui fais confiance, ou pas confiance, mais ça ne devrait pas dépendre de sa situation géographique

Ce n'est pas en l'utilisateur que je ne fait pas confiance c'est à l'exposition de certaine donnée sensible sur internet. Par exemple on lit un peut partout que certaine personnes ne font pas confiance à QuickConnect, et en tant qu'utilisateur jamais sûr de lui, je voulais appliqué une sorte de principe de précaution : utiliser QuickConnect oui mais, pour des données non critique.

 @Mic13710

J'avais aussi tenté l'autorisations d'accès aux applications par IP mais sans succès.

Tant pis si cela pas possible pour l'instant. Merci à tous !

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Insecto a dit :

Ce n'est pas en l'utilisateur que je ne fait pas confiance c'est à l'exposition de certaine donnée sensible sur internet.

 

il y a une heure, Insecto a dit :

utiliser QuickConnect oui mais, pour des données non critique.

Donc en résumé, ce n'est pas l'accès d'un utilisateur que tu veux interdire, tu veux simplement protéger tes données ...

Dans ce cas, as-tu suivi le tuto [TUTO] Sécuriser les accès à son nas ?

Lien vers le commentaire
Partager sur d’autres sites

QuickConnect est beaucoup moins dangereux qu'un utilisateur local avec des fichiers vérolés qui aurait un accès open bar au NAS.
QuickConnect permet d'établir un tunnel sécurisé entre un client et le NAS, et accessoirement on peut faire transiter les données de façon chiffrée par les serveurs de Synology.

Beaucoup plus sécurisé qu'un accès local sur un port non sécurisé avec des droits R/W. 😉 

Lien vers le commentaire
Partager sur d’autres sites

OK @.Shad. quickconnect n'est pas forcément dangereux et l'utilisation du chiffrage permet de sécuriser un peu plus les échanges. Le revers de la médaille c'est que c'est instable (pannes récurrentes du service), on passe par des serveurs situés aux quatre coins du monde sans avoir le choix, et surtout c'est abominablement lent. Et ça, c'est rédhibitoire.

Quickconnect rend plus facile la connexion au NAS pour des débutants en mode plug and play, mais à l'usage, ça devrait plutôt s'appeler SlowConnect.

Toi et moi sommes d'accord pour dire que ça facilite l'entrée en matière mais qu'il est préférable de s'en passer une fois qu'on maitrise un peu mieux son NAS et les réseaux.

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710Je me rends compte que mon message pouvait faire contre-coup avec celui de @Kramlech  ce n'est évidemment pas l'intention.
Je voulais juste dire que dans le cas qui nous concerne ici, on ne sait pas avec quelle mesures de sécurité l'utilisateur accède au NAS à distance, et que pour peu qu'il y ait bêtement une redirection de port avec une page HTTP, il est préférable de rester en accès local uniquement OU si l'accès à distance est une nécessité, qu'il continue d'utiliser QuickConnect, le temps de mettre en place les sécurisations préconisées par la bible du site. 🙂

Je suis d'accord avec toi sur tous les défauts que ça comporte. Sachant qu'il y a quelques avantages, notamment derrière un pare-feu d'entreprise.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.