Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Pour le port 80, tu as deux choix :

Soit tu autorises le port 80 uniquement pour les États Unis et tu le fais quelques jours avant le renouvellement du certificat jusqu'à ce qu'il soit renouvelé.

Soit tu crées une règle pout autoriser uniquement le port 80 sur les deux IP des serveurs de Let's Encrypt. Cette dernière est plus sécurisée mais plus chiante car les IP ne sont pas fixées dans le temps et peuvent changer.

Dans les deux cas, si tu ne le fais pas, Let's Encrypt ne pourra pas communiquer avec ton NAS et donc ne renouvellera pas le certificat tous les trois mois.


Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat :biggrin:

si je n'oublie rien, Il faut donc que :

- je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http"

- j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied")

- j'ajoute ces ip dans mon pare-feu

Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, kroman_fr a dit :

C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat :biggrin:

si je n'oublie rien, Il faut donc que :

- je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http"

- j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied")

- j'ajoute ces ip dans mon pare-feu

Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ?

Voici les deux adresses IP à autoriser dans le pare-feu du nas et ton routeur uniquement sur le port 80 :

64.78.149.164

66.133.109.36

Modifié par InfoYANN
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, j'ai essayé d'appliquer le tutorial le mieux possible, mais je rencontre quelques soucis ^^'

Pour le "faux admin", je n'arrive pas à lui enlever les permissions sur le dossier photo. Tout est grisé pour ce dossier et je suis forcé de lui laisser les permissions en lecture/écriture. Comment puis je y remédier ?

Dans le menu du pare feu, je n'arrive pas à créer des plages de ports comme tu l'as fait. 255.0.0.0 m'est entre autre retourné comme une valeur erronée.

Pour la création de certificat avec LetsEncrypt, ils me demandent de renseigner un nom de domaine, mais de quel domaine parlent t'ils ? Est ce qu'il s'agit de monuser.synology.me ?

 

Je vous souhaite en avance un très joyeux Noël à toutes et tous !!!

Lien vers le commentaire
Partager sur d’autres sites

Merci InfoYann

D'accord, je ne savais pas que les droits se géraient par PhotoStation, je viens de regarder. Bizarrement je ne peux pas modifier mes utilisateurs sous PhotoStation, l'option modifier reste grisée

Je ne comprends pas ce que tu veux dire par "c'est la passerelle 255.0" ?

Donc je dois renseigner ce nom de domaine ? Le point bizarre est que lorsque j'essaie d'accéder à mon NAS via cette adresse, ça ne fonctionne pas, pourtant le service DDNS semble bien configuré et l'adresse semble bien validée dans mon compte Synology

Lien vers le commentaire
Partager sur d’autres sites

Pour le nom de domaine, je ne sais pas car j'utilise un vrai nom de domaine provenant de chez OVH. Je ne sais pas bien comment fonctionne le service de Synology.

Pour Photo Station, essaie d'aller d'abord dans les paramètres puis Photos puis Permission d'accès. Ensuite, tu vas dans Comptes utilisateur et tu gères les droits sur les comptes activés.

Pour les IP locales à entrer, voici un exemple :

 

87636120171224103536.jpg

Lien vers le commentaire
Partager sur d’autres sites

Merci InfoYann

Pour le nom de domaine, je vais continuer de chercher une solution. Aucun des domaines ne marche donc je doit surement mal m'y prendre ^^'

Dans paramètres > Photos > Permission d'accès, j'ai juste la possibilité de cocher/décocher "public", "privé" ou "mot de passe". Rien d'autre ne m'est proposé. Dans Comptes utilisateur et tu gères les droits sur les comptes activés

Merci pour les IP effectivement c'est beaucoup plus clair et je m'y prenais vraiment mal

Lien vers le commentaire
Partager sur d’autres sites

Pour photostation, il faut t'y connecter avec un compte admin (je parle bien de photostation, pas de dsm). Une fois connecté tu devrais voir un menu paramètres avec plein de choses dedans.

Je n'utilise plus cette application, donc je ne peux pas faire de tuto dessus, mais s'il y a un volontaire, ça serait grandement apprécié.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous, j'ai revu les règles de sécurité (coté parefeu uniquement) sur mon NAS ainsi que sur mon routeur.

Est ce que ça vous parait suffisamment restrictif (ou trop) ? J'ai viré l’accès aux adresses privée de classe A et B, cela devrait être sans conséquence, enfin je pense... :-/

Sur le  routeur :

2018-01-04_101226.thumb.jpg.1bbfc8335891252e2d19fdb12825fabf.jpg

Sur le NAS :

2018-01-04_101238.jpg.a3c6ca814026109c25978ea438f1b853.jpg

Par avance, merci !

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

Sur le routeur :

  1. ok
  2. TCP uniquement, pas besoin d'UDP
  3. ok, mais tu en as besoin depuis tous les pays ?
  4. ok, mais tu en as besoin depuis tous les pays ?
  5. inutile comme indiqué par @PiwiLAbruti, mais pas gênant (au moins c'est explicite)

Sur le nas :

  1. ok
  2. inutile, déjà couvert par la règle 1
  3. aucune idée car tu utilises les applications, mieux vaut utiliser explicitement le n° de port (443 si tu es cohérent)
  4. ok, mais tu en as besoin depuis tous les pays ?
  5. ok
Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour votre expertise !  C'est vrai que maintenant que vous le dites certaines de mes règles me paraissent un peu (beaucoup) bêbêtes...
Je vais me mettre au boulot dés ce soir, j'avoue que passer le serveur VPN sur le routeur m'est passer par la tête mais j'avais finis par conclure, "pourquoi toucher qqch qui marche ?"
Suite à la remarque de Piwi je vais très certainement faire le nécessaire et passer le serveur VPN sur le routeur, par contre pour le coup, n'est il pas également préférable de migrer le serveur DNS également sur le routeur ?

Modifié par Diabolomagic
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Diabolomagic a dit :

[...], n'est il pas également préférable de migrer le serveur DNS également sur le routeur ?

Le DNS primaire pourrait fonctionner sur le routeur et le secondaire sur le NAS, ça augmenterait la disponibilité du service DNS sur ton réseau.

Lien vers le commentaire
Partager sur d’autres sites

Pas bête, merci pour l'astuce !

C'est fait, par contre je me suis permis une petite question si cela ne vous dérange pas :

http://www.nas-forum.com/forum/topic/55206-tuto-dns-server/?page=12&tab=comments#comment-1319341839

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.