[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

[monfiston]

bonjour

j'ai mis à jour mon nas par rapport à ton tuto, merci

j'ai un reverse proxy qui fonctionne

Avec ces paramètres mes serveurs domotique (jeedom, HA) qui sont dans virtual manager, fonctionneront bien et auront bien toutes les connexions qu'ils leurs faut?

, et que je ne suis pas bloqué comme mon message hier?

 

 

Modifié le 2 octobre par monfiston

[CyberFr]

Le 26/08/2023 à 10:13 AM, .Shad. a dit :

Il est conseillé de laisser les notifications du pare-feu tout en les refusant quand elles apparaitront à l'installation de paquets, afin d'être informé des ports utilisés par les dits paquets.

Bonjour @monfiston,

Compte tenu de ce qui est dit dans le tuto, il est préférable de cibler les ports dont tu as besoin plutôt que de les laisser ouverts en fonction des applications installées. Par exemple File Station utilise par défaut les ports 5000 en HTTP et 5001 en HTTPS.

Il y a 13 heures, monfiston a dit :

j'ai un reverse proxy qui fonctionne

Si tu utilises un reverse-proxy il est inutile d'ouvrir des ports dans le pare-feu puisque tout le trafic passe par le port 443.

[monfiston]

Si je supprime la dernière ligne, mon reverse proxy ne fonctionne plus depuis l extérieur 

[PiwiLAbruti]

C'est normal, c'est la règle qui permet d'y accéder (Reverse Proxy).

[Mic13710]

il y a une heure, CyberFr a dit :

Par exemple File Station utilise par défaut les ports 5000 en HTTP et 5001 en HTTPS.

Non, 7000 et 7001. Les 5000 c'est DSM 😉

il y a une heure, CyberFr a dit :

Si tu utilises un reverse-proxy il est inutile d'ouvrir des ports dans le pare-feu puisque tout le trafic passe par le port 443.

Ah bon ? Drive (6690), les ports VPN, Hyperbackup et j'en passe aussi ?

De plus, le reverse proxy ne fait que diriger vers les services, mais si le service est bloqué dans le parefeu, ça ne passera pas. Donc, oui, il faut absolument que le parefeu autorise le trafic. Ce qui en réalité détourne cette obligation pour le reverse proxy ce sont les règles sur les IP privées qui autorisent tous les ports pour tous les services.

[Skarabaus]

Bonjour, 

Je viens vers vous car je rencontre des difficultés de connexions en local.
Ne voulant pas ouvrir tous les ports relatifs aux applications (et ne voulant pas m'aventurer dans les reverses/DNS pour le moment), seul OpenVPN 1194 est ouvert sur le NAS et ma box.

Mon problème est que pour me connecter depuis mon poste local à :

- DSM & File Station : 

• en me connectant avec l'adresse IP 192.168.x.x:HTTPS, l'accès DSM est possible sans contraintes.
• en me connectant avec l'adresse xxx.synology.me/porthttps, je ne peux pas m'y connecter.

- File Station :

• en me connectant avec l'adresse IP 192.168.x.x:HTTPS, j'ai une erreur 404 Bad Request ou bien par moment le rappel de la connexion non privée.
• en me connectant avec l'adresse xxx.synology.me/HTTPS, je ne peux pas m'y connecter.

 

Depuis l'extérieur :

• sans passer par OpenVPN, et en me connectant uniquement via la 4G, aucune connexion possible depuis le navigateur vers DSM ou les applis.
• en me connectant avec OpenVPN,via la 4G, ni l'IP ni le DNS ne sont utilisables pour File Station/Photos/Drive, seuls 10.8.x.x fonctionne (avec alerte de certificat alors que mis en place grâce au tutoriel).

 

Je n'arrive vraiment pas à voir là j'ai pu faire une erreur et comprendre là où je trime.

[Mic13710]

Avez-vous lu ma réponse dans un autre sujet ?

Pour les connexions en HTTPS avec une IP, on ne cesse de le répéter, c'est impossible sans mettre une exception. Tout simplement parce qu'il faut un certificat et qu'un certificat ne s'applique QUE pour des noms de domaines.

Il y a 2 heures, Skarabaus a dit :

Ne voulant pas ouvrir tous les ports relatifs aux applications (et ne voulant pas m'aventurer dans les reverses/DNS pour le moment)

C'est soit l'un soit l'autre. Si vous ne voulez pas ouvrir les ports des applications, il faut passer par le reverse proxy ou le portail de connexion qui permet maintenant de se connecter aux applications avec un ndd personnalisé.

[Skarabaus]

Merci @Mic13710

Desolé je ne l’avais pas encore lu à ce moment là

 

il y a une heure, Mic13710 a dit :

Pour les connexions en HTTPS avec une IP, on ne cesse de le répéter, c'est impossible sans mettre une exception. Tout simplement parce qu'il faut un certificat et qu'un certificat ne s'applique QUE pour des noms de domaines.

Vous avez répondu à ma question => certificat uniquement sur des noms de domaines. Donc que l’on soit en https sur 192.x.x.x ou 10.8.x.1, on aura toujours cette alerte de certificat (vu que 10.8 redirige vers du 192.)

 

il y a 59 minutes, Mic13710 a dit :

C'est soit l'un soit l'autre. Si vous ne voulez pas ouvrir les ports des applications, il faut passer par le reverse proxy ou le portail de connexion qui permet maintenant de se connecter aux applications avec un ndd personnalisé.

Ok donc devoir potentiellement ouvrir 443,5001 et tutti qu’anti selon les applications. Pour le portail des applications en effet je vais aller regarder ça. Sinon ce sera le reverse proxy. Au pire revente.