Insecto Posté(e) le 2 mars 2023 Posté(e) le 2 mars 2023 Bonjour, Est-il possible de configurer un utilisateur qui aura accès à tous les services du Synology (drive, file station...) mais seulement en local ? Et donc qu'il n'est aucun accès à ces services depuis QuickConnect ou par DDNS. Cordialement. 0 Citer
.Shad. Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 (modifié) Salut, A ma connaissance tu ne peux pas faire ça par utilisateur. Et c'est étrange comme demande, parce qu'un utilisateur, tu lui fais confiance, ou pas confiance, mais ça ne devrait pas dépendre de sa situation géographique. Jouer avec les règles du pare-feu ne changera rien, car IPTABLES n'a pas de notion d'utilisateur, uniquement des IP, des sous-réseaux de source et de destination, et des ports. Si tu peux décrire le contexte du pourquoi tu voudrais mettre ça en place, car entre les règles de pare-feu basées sur les IP, le géoblocage, le contrôle d'accès de Nginx, il y a normalement moyen de répondre à toutes les demandes. Il y a aussi l'authentification 2 facteurs que tu peux activer pour un utilisateur ou groupe spécifique. Peut-être que d'autres comme @PiwiLAbruti ont une idée lumineuse sur la question, mais moi ça me semble un peu tordu. 😄 Modifié le 3 mars 2023 par .Shad. 0 Citer
PiwiLAbruti Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 (modifié) Synology pourrait le faire mais ce n'est pas implémenté actuellement dans DSM. La seule option possible est d'en faire la demande à Synology via ce formulaire : https://www.synology.com/fr-fr/form/inquiry/feature Voir la réponse de @Mic13710 ci-dessous ↓ Modifié le 3 mars 2023 par PiwiLAbruti Mauvaise réponse 0 Citer
Mic13710 Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 @.Shad., sauf erreur de ma part, on peut donner des autorisations d'accès aux applications par IP. Dans ce cas, il suffit de filtrer sur la plage DHCP du réseau local pour exclure les adresses externes. Jamais essayé. Mais je te rejoins tout à fait. Si des droits sont accordés à un utilisateur, ils devraient l'être quelle que soit la position géographique. 2 Citer
PiwiLAbruti Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 Bien vu @Mic13710 👍, ça doit faire la 2ème fois que je me fais avoir sur cette question 😅 0 Citer
.Shad. Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 (modifié) @Mic13710 @PiwiLAbrutiOui en effet, mais attention, mettre juste une IP dans la liste des IP permises ne bloque pas les autres IP. En tout cas chez moi je n'ai autorisé qu'un périphérique, et j'ai su me connecter avec un autre périphérique. En revanche si je bloque une IP l'accès à l'application est effectivement bloqué. Donc a priori il va falloir rentrer tous les sous-réseaux d'IPv4 à la main 😞 (https://ipinfo.io/countries) ou alors une option m'échappe ? Ah, et le répéter pour chaque application, du fun en perspective. Et pour l'IPv6 si @Insecto l'utilise, bonjour la galère aussi. 🙂 Ou alors trouver le fichier où se trouvent ces infos via le terminal, dès lors il serait facile de recopier les blocs d'IP d'un fichier à l'autre, j'imagine que ça doit être segmenté par application ? Modifié le 3 mars 2023 par .Shad. 0 Citer
Mic13710 Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 @.Shad. En effet, l'autorisation ne veut pas dire interdiction pour les autres IP, et donc au final cette fonction est peu intéressante. Je viens d'essayer en autorisant l'accès à DSM à un compte sur une seule IP et j'ai pu me connecter à partir d'un autre PC sans problème. C'est donc clairement sur les interdictions qu'il faut travailler, ce qui complique très sérieusement la tâche puisqu'il faut à la fois bloquer les IPV4 et les IPV6 (si activées) et le faire pour chaque appli. Très compliqué. Edit : Je viens d'essayer une autre configuration : bloquer l'accès à DSM pour le groupe, puis en ne l'autorisant que pour une seule IP dans les réglages du compte et bien ça ne fonctionne pas car le refus est prioritaire sur l'autorisation par l'IP comme stipulé dans l'aide : Sur la page Attribuer des autorisations d'applications, vous pouvez déterminer les services auxquels l'utilisateur peut accéder. L'autorisation Refuser est prioritaire sur l'autorisation Autoriser. Je n'avais jamais essayé cette règle auparavant car elle ne m'était pas utile. Après ces essais, je me demande à quoi elle sert, surtout si la liste des IP autorisées est déjà créée dans le parefeu. Bref, je ne suis pas du tout convaincu de l'intérêt de ce réglage, ou bien il y a un truc qui m'échappe. 0 Citer
PiwiLAbruti Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 (modifié) Il me semble que la liste blanche est prépondérante sur la liste noire, donc il faut autoriser les adresses nécessaires dans la Liste des permissions et et interdire toutes les adresses dans la Liste des blocages. Je vous laisse le soin de tester. Modifié le 3 mars 2023 par PiwiLAbruti 0 Citer
Insecto Posté(e) le 3 mars 2023 Auteur Posté(e) le 3 mars 2023 @.Shad. Citation un utilisateur, tu lui fais confiance, ou pas confiance, mais ça ne devrait pas dépendre de sa situation géographique Ce n'est pas en l'utilisateur que je ne fait pas confiance c'est à l'exposition de certaine donnée sensible sur internet. Par exemple on lit un peut partout que certaine personnes ne font pas confiance à QuickConnect, et en tant qu'utilisateur jamais sûr de lui, je voulais appliqué une sorte de principe de précaution : utiliser QuickConnect oui mais, pour des données non critique. @Mic13710 J'avais aussi tenté l'autorisations d'accès aux applications par IP mais sans succès. Tant pis si cela pas possible pour l'instant. Merci à tous ! 0 Citer
Kramlech Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 il y a une heure, Insecto a dit : Ce n'est pas en l'utilisateur que je ne fait pas confiance c'est à l'exposition de certaine donnée sensible sur internet. il y a une heure, Insecto a dit : utiliser QuickConnect oui mais, pour des données non critique. Donc en résumé, ce n'est pas l'accès d'un utilisateur que tu veux interdire, tu veux simplement protéger tes données ... Dans ce cas, as-tu suivi le tuto [TUTO] Sécuriser les accès à son nas ? 0 Citer
Insecto Posté(e) le 3 mars 2023 Auteur Posté(e) le 3 mars 2023 @Kramlech ça va peut-être me rassurer 😉. Merci. 0 Citer
.Shad. Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 QuickConnect est beaucoup moins dangereux qu'un utilisateur local avec des fichiers vérolés qui aurait un accès open bar au NAS. QuickConnect permet d'établir un tunnel sécurisé entre un client et le NAS, et accessoirement on peut faire transiter les données de façon chiffrée par les serveurs de Synology. Beaucoup plus sécurisé qu'un accès local sur un port non sécurisé avec des droits R/W. 😉 0 Citer
Mic13710 Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 OK @.Shad. quickconnect n'est pas forcément dangereux et l'utilisation du chiffrage permet de sécuriser un peu plus les échanges. Le revers de la médaille c'est que c'est instable (pannes récurrentes du service), on passe par des serveurs situés aux quatre coins du monde sans avoir le choix, et surtout c'est abominablement lent. Et ça, c'est rédhibitoire. Quickconnect rend plus facile la connexion au NAS pour des débutants en mode plug and play, mais à l'usage, ça devrait plutôt s'appeler SlowConnect. Toi et moi sommes d'accord pour dire que ça facilite l'entrée en matière mais qu'il est préférable de s'en passer une fois qu'on maitrise un peu mieux son NAS et les réseaux. 1 Citer
.Shad. Posté(e) le 4 mars 2023 Posté(e) le 4 mars 2023 @Mic13710Je me rends compte que mon message pouvait faire contre-coup avec celui de @Kramlech ce n'est évidemment pas l'intention. Je voulais juste dire que dans le cas qui nous concerne ici, on ne sait pas avec quelle mesures de sécurité l'utilisateur accède au NAS à distance, et que pour peu qu'il y ait bêtement une redirection de port avec une page HTTP, il est préférable de rester en accès local uniquement OU si l'accès à distance est une nécessité, qu'il continue d'utiliser QuickConnect, le temps de mettre en place les sécurisations préconisées par la bible du site. 🙂 Je suis d'accord avec toi sur tous les défauts que ça comporte. Sachant qu'il y a quelques avantages, notamment derrière un pare-feu d'entreprise. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.