Aller au contenu

Accés au Synology de l'extérieur & table de routage (NAT)


Jean-Marc D.

Messages recommandés

Bonjour,

J'ai mis en place un site Web que j'appelle ici 'mon_site_web.com'. Il tourne par le biais de Webstation sur le Synology.
J'ai un nom de domaine 'mon_site_web.com' enregistré chez un registrar. CNAME-record pointe sur le nom  de domaine 'mon_site_web.synology.me'  et A-record pointe sur l'IP de 'mon_site_web.synology.me' (DDNS Synology)

* J'ai defini dans la table de routage de mon routeur l'IP interne du NAS ainsi que le port 80 en externe/interne.
* Aucun autre routage est défini dans le NAT de mon routeur.

- Le fait qu'uniquement le port 80 soit ouvert dans la table de routage du routeur me laisse dire qu'il n'est pas possible à un utilisateur extérieur de se connecter au NAS. Il ne peut juste accéder aux pages Web du site.
Ai-je raison?

- Si j'avais ouvert le port pour le DSM (5000 ou 5001) au niveau du routeur (table de routage) avec par exemple un port externe 12300 et un port interne 5000 ou 5001, le risque d'intrusion aurait été plus élevé. Si l'utilisateur externe devine le port externe de 12300, en tapant l'URL suivant: mon_site_web.com:12300 ; il ne reste alors plus que le login (utilisateur/mot de passe) à franchir (si non utilisation de la vérification en 2 étapes)
Donc, tant qu'on n'a pas de route port externe->port 5000/5001 dans la table de routage NAT (du routeur), il n'est pas possible de subir une intrusion vers le NAS, est-ce correct?

Lien vers le commentaire
Partager sur d’autres sites

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

mon_site_web.com

Même s'il ne s'agit que d'un exemple, il ne faut pas utiliser le caractère _ dans un nom de domaine ou un nom de machine.

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

* J'ai defini dans la table de routage de mon routeur l'IP interne du NAS ainsi que le port 80 en externe/interne.

Ce n'est pas la table de routage, mais la table de translation (nat/pat/forward)

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

Le fait qu'uniquement le port 80 soit ouvert dans la table de routage du routeur me laisse dire qu'il n'est pas possible à un utilisateur extérieur de se connecter au NAS. Il ne peut juste accéder aux pages Web du site.
Ai-je raison?

Ça dépend du reste, si par exemple l'upnp est activé sur ta box ou que tu utilises QuickConnect, les autres services peuvent être accessible.

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

Donc, tant qu'on n'a pas de route port externe->port 5000/5001 dans la table de routage NAT (du routeur), il n'est pas possible de subir une intrusion vers le NAS, est-ce correct?

Non, pour les raisons précédemment expliquées plus toutes les failles potentielles de ce qui tourne sur ton port 80 (le serveur web et le code de ton site).

À titre d'exemple, si ton site permet des injections (SQL ou autre), il n'y a même pas besoin de login ou de mdp pour accéder à l'ensemble du nas.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Merci pour ces indications (et ces corrections).

Je ne  possède pas de 'box' mais un digitable cable modem. Dans ma table de translation, juste un forward pour le port 80. Pas d'autre service activé par le biais du DSM. Mon site est à lecture 'simple', pas d'injection SQL possible.

Je souhaite utiliser le paquet Git Server, ce qui nécessite une activation de protocole SSH. Je ne souhaite utiliser Git que dans un environnement local (LAN). Donc si j'active SSH, est-ce que l'accés sera bien restreint à une utilisation locale, tant que je ne rajoute pas un forwarding dans le NAT? Bref, SSH activé et pas de forwarding dans la NAT: pas d'intrusion de l'extérieur possible par ssh? 

Lien vers le commentaire
Partager sur d’autres sites

Tutoriel très instructif.

"Même si vous n'avez pas l'intention de vous en servir, activez le SSH. En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local. "
Peut-être un peu plus d'explications sur la dernière remarque ? (je pense aux autres qui vont consulter ton tutoriel)

Lien vers le commentaire
Partager sur d’autres sites

Je vois difficilement comment être plus clair, mais si tu fais la remarque c'est que je ne le suis pas encore assez ...

Je recommande d'activer le service SSH, mais de régler le parefeu du NAS de telle sorte que seules les adresses IP privées (celles de ton réseau domestique) soient autorisées

(c'est mieux ?)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.