neodraig Posté(e) le 2 novembre 2014 Partager Posté(e) le 2 novembre 2014 (modifié) Bonjour à tous, (Enfin) Possesseur d'un NAS Synology depuis quelques jour, après avoir "joueé" avec la bête pour m'habituer à DSM 5.0, j'ai décidé de l'ouvrir au monde extérieur pour pouvoir profiter de toutes ses fonctionnalités (sinon autant acheter un disque USB). J'ai regardé sur internet (apparemment pas assez bien) pour paramétrer le NAS, mais peu de temps après avoir activé le terminal pour l'accès SSH, je recevais 2 mails (en 2-3h de connexion) de mon NAS me disant qu'il avait bloqué une tentative de connexion SSH. A chaque fois des IP chinoises. J'ai du coup rajouté des régles au pare-feu et modifié le port 22 pour autre chose (chose que j'avais déjà faite pour le port 5000). Activé la double vérification du compte. Du coup plus de mail de tentatives de connexion. Le problème c'est que je souhaite faire un rapatriement automatique de mon serveur vers mon NAS (cela utilise RSync il me semble) mais pour que cela marche, il a fallu que je réactive le port 22, du coup nouvelles attaques chinoises. Pourtant dans mes règles de firewall, j'ai tout interdit provenant de la Chine (ainsi que d'autres pays). Voici une capture des mes réglages de firewall, en sachant que quand j'ai eu mon attaque chinoise, la première règle était acitvé. Le problème c'est que si je désactive cette règle, je n'ai pas accès au SSH avec mon adresse publique (en local pas de problème). Pareil si je n'ai pas la régle ouvert à tous pour le FTP, je n'y ai accès q'uen local. Aussi voici une autre capture des paramètres de DSM qui pourrait être lié au problème J'ai une Freebox V5 et j'ai attribué une IP fixe au NAS et j'ai aussi redirigé les ports 21 et 22 vers l'IP du NAS. Pour résumer je voudrais ne pouvoir autoriser l'accès SSH que entre mon serveur et mon NAS ou bien en local. Le FTPs je voudrais qu'il soit accessible de partout en France (mais pas des autres pays). Je voudrais aussi pouvoir accéder à mon NAS (avec quickconnect.to) depuis n'importe où en France, mais pas des autres pays (surtout pas la Chine). Aussi j'ai regardé le tuto de cette section du forum (et cherché un peu sur le net) mais je ne sais pas quelle est la priorité des règles. Par exemple si je met une règle qui dit "FTP ouvert à tous" et puis une autre règle "FTP interdit à la Chine", laquelle des règles à la priorité? Merci pour vos futur conseils. Modifié le 2 novembre 2014 par neodraig 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
neodraig Posté(e) le 2 novembre 2014 Auteur Partager Posté(e) le 2 novembre 2014 (modifié) Bon j'ai une réponse pour ma dernière interrogation concernant la priorité des règles. Elle s'effectue par leur ordre dans la liste. Donc une règle (en partant du haut) a la priorité sur la suivante. Du coup c'était normal que les chinois (entre autres) ai accès au SSH quand ma première règle "SSH ouvert à tous" était activée vu qu'elle avait la priorité sur les suivantes (comme le blocage de la Chine au hasard). Du coup j'ai réorganisé et modifié mes règles et pour le SSH c'est bon, il n'y a que mon serveur et moi en local qui y ai accès Pour les autres type de connexions, je n'ai autorisé que la France, du coup je pense que ma "nouvelle" première ligne me semble redondante par rapport à la règle générale de tout refuser. Par contre ce que je trouve étrange c'est que j'ai autorisé ma propre IP publique pour tout, mais quand je ne peux accéder ni au SSH ni au FTPs à partir de cette même IP publique. Si je souhaite accéder au SSH ou au FTPs via l'adresse publique, je suis obligé de créer une règle pour le SSH et le FTP "ouvert à tous". Et si je créai une régle pour le SSH et le FTP "ouvert pour la France" et bien cela ne marche pas non plus, comme si mon IP n'était pas en France Modifié le 2 novembre 2014 par neodraig 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 novembre 2014 Partager Posté(e) le 2 novembre 2014 Bonjour, Quand vous dite "Mon IP publique" de quelle IP s'agit il, celle d'entré de votre réseau local sur lequel se trouve le NAS, ou celle d'unautre réseau à partir duquel vous souhaitez accéder au NAS (exemple smartphone, ...) Sinon d'un point de vue sécurité il est préférable de n'ouvrir sur internet que les fonctions dont vous aurez réellement besoin (ne pas mettre tous), à moins que les accès soient limités en amont par les règle NAT de votre BOX Thierry 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
neodraig Posté(e) le 2 novembre 2014 Auteur Partager Posté(e) le 2 novembre 2014 Salut, Quand je parle de mon adresse publique, je parle d'un adresse du genre 85.523.0.65 sous laquelle j'apparais à l'extérieur du réseau local. Ensuite au sein du réseau mes différents équipements (PCs, NAS...) ont une adresse de type 192.168.0.XX En fait avec les règles que j'ai établis je ne peux pas me connecter sur mon adresse publique (85.523.0.65) vers mes services en utilisant l'adresse 85.523.0.65. Si j'utilise l'adresse en 192.168.9.XX, là je peux me connecter sans problème (SSH, FTP, DMS). Là je viens d"essayer de me connecter à DMS en utilisant 85.523.0.65:5000 et là ça bloque. Quand j'utilise mon smartphone en 3G, pas de problème cela marche (normal j'ai autorisé la France pour le http). Bon après pour mon utilisation, cela marche comme je veux, mais je voulais juste savoir pourquoi je ne pouvais pas me connecter à ma propre adresse publique (sans avoir à tous autoriser) alors que j'ai une règle qui normalement lui donne accès à tout, c'est bizarre 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 novembre 2014 Partager Posté(e) le 2 novembre 2014 (modifié) Je pense qu'il y a une incompréhension : Votre adresse IP externe est l'adresse qui identifie le point d'entrée de votre réseau sur Internet L'adresse IP source indiquée dans une règle de Firewall est l'adresse IP Internet de l'appareil que vous voulez autoriser ... elle ne peut pas être la votre ! Le NAS et le serveur sont ils sur le même réseau local ? (je suppose que oui) Dites moi si ce que je pense de votre besoin est correct : Accès interne - Vous voulez autoriser tous les accès au NAS à partir d'appareils connectés à votre réseau local (192.168....) Accès externe - Vous voulez bloquer toutes les connexions provenant d'adresses IP des pays Brésil, Chine, .... - Vous voulez autoriser les accès à un certain nombre de services pour toutes les adresses IP (autres que celles indiquées au dessus) - Vous voulez refuser l'accès à tout le reste des services et adresses IP Si ma vision est juste vous avez vos 3 règles : Port Protocole IP source Action Tous Tous 192.168...... Autoriser Tous Tous Brésil, Chine,... Refuser Cocher les services souhaités Tous Tous Autoriser Si aucune règle -> Refuser Maintenant si vous voulez limiter l'accès externe à votre seul smartphone cela pose problème car son adresse IP dépendra de l'emplacement d'appel. Thierry Modifié le 2 novembre 2014 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
neodraig Posté(e) le 7 novembre 2014 Auteur Partager Posté(e) le 7 novembre 2014 (modifié) Bonjour, Désolé pour ma réponse tardive. Cela fait plusieurs jours que je suis sur le paramétrage de mon serveur pour rapatrier mes données sur mon NAS, mais comme je suis un noob en Linux et bien ça prends beaucoup de temps et je n'ai pas vu le temps passer. En tout cas merci beaucoup pour la réponse. En fait mon soucis essentiel s'était de n'autoriser le port 22 que entre moi et mon serveur, mais ça c'est fait. Quand à mon problème de me connecter à mon NAS avec mon adresse publique, et bien cela marche depuis aujourd'hui suite à la mise à jour de DSM 5.1. Par contre j'avais créé un rapatriement automatique de des données de mon serveur vers mon NAS avec Rsync en créant un clé sur mon serveur pour autoriser la connexion SSH à mon NAS avec la commande suivante ssh-keygen -t rsa ssh-copy-id -i ~/.ssh/id_rsa.pub root@<adresse de mon_NAS> mais là cela ne marche plus Comme il y a eu une mise à jours de DSM, faut-il que je recréai une clé, ou bien cela viens d'ailleurs? Edit: cela viens bien d'ailleurs car en faisant "ssh root@<adresse de mon_NAS>, mon serveur a bien accès au NAS. La mise à jours à du changer quelque chose, mais à quel niveau? Modifié le 7 novembre 2014 par neodraig 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
neodraig Posté(e) le 7 novembre 2014 Auteur Partager Posté(e) le 7 novembre 2014 (modifié) Bon il y a un problème avec le pare-feu depuis cette mise à jours DSM 5.1 Là je viens de recevoir à nouveau un mail de mon NAS me disant qu'un chinois a essayé de se connecter dessus. Pourtant dans les règle par défaut tous et en refusé et le SSH n'est ouvert qu'entre mon serveur et mon NAS (voir screenshot plus haut). En plus j'ai une règle pour bloquer certains pays (redondante surement), comme si le pare-feu été désactivé (edit: dans ce cas là pourquoi mon serveur ne peux plus se connecter à moi ?) D'ailleurs c'est peut-être pour ça que j'ai pu m'auto-connecter à mon adresse public alors qu'avant cela ne marchait pas (et que je ne recevais plus de mail de tentative de connexion). Modifié le 7 novembre 2014 par neodraig 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
swingrock Posté(e) le 20 janvier 2015 Partager Posté(e) le 20 janvier 2015 (modifié) Bonjour, Je voulais savoir si vous aviez résolu votre problème car je rencontre le même. Si ce n'est pas le cas, je vous propose que nous nous entraidions pour trouver la solution. Résolu pour moi : voir Modifié le 21 janvier 2015 par swingrock 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.