This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Jean-Marc D.

Accés au Synology de l'extérieur & table de routage (NAT)

8 messages dans ce sujet

Bonjour,

J'ai mis en place un site Web que j'appelle ici 'mon_site_web.com'. Il tourne par le biais de Webstation sur le Synology.
J'ai un nom de domaine 'mon_site_web.com' enregistré chez un registrar. CNAME-record pointe sur le nom  de domaine 'mon_site_web.synology.me'  et A-record pointe sur l'IP de 'mon_site_web.synology.me' (DDNS Synology)

* J'ai defini dans la table de routage de mon routeur l'IP interne du NAS ainsi que le port 80 en externe/interne.
* Aucun autre routage est défini dans le NAT de mon routeur.

- Le fait qu'uniquement le port 80 soit ouvert dans la table de routage du routeur me laisse dire qu'il n'est pas possible à un utilisateur extérieur de se connecter au NAS. Il ne peut juste accéder aux pages Web du site.
Ai-je raison?

- Si j'avais ouvert le port pour le DSM (5000 ou 5001) au niveau du routeur (table de routage) avec par exemple un port externe 12300 et un port interne 5000 ou 5001, le risque d'intrusion aurait été plus élevé. Si l'utilisateur externe devine le port externe de 12300, en tapant l'URL suivant: mon_site_web.com:12300 ; il ne reste alors plus que le login (utilisateur/mot de passe) à franchir (si non utilisation de la vérification en 2 étapes)
Donc, tant qu'on n'a pas de route port externe->port 5000/5001 dans la table de routage NAT (du routeur), il n'est pas possible de subir une intrusion vers le NAS, est-ce correct?

Modifié par Jean-Marc D.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

mon_site_web.com

Même s'il ne s'agit que d'un exemple, il ne faut pas utiliser le caractère _ dans un nom de domaine ou un nom de machine.

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

* J'ai defini dans la table de routage de mon routeur l'IP interne du NAS ainsi que le port 80 en externe/interne.

Ce n'est pas la table de routage, mais la table de translation (nat/pat/forward)

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

Le fait qu'uniquement le port 80 soit ouvert dans la table de routage du routeur me laisse dire qu'il n'est pas possible à un utilisateur extérieur de se connecter au NAS. Il ne peut juste accéder aux pages Web du site.
Ai-je raison?

Ça dépend du reste, si par exemple l'upnp est activé sur ta box ou que tu utilises QuickConnect, les autres services peuvent être accessible.

Le 04/01/2017 à 23:03, Jean-Marc D. a dit :

Donc, tant qu'on n'a pas de route port externe->port 5000/5001 dans la table de routage NAT (du routeur), il n'est pas possible de subir une intrusion vers le NAS, est-ce correct?

Non, pour les raisons précédemment expliquées plus toutes les failles potentielles de ce qui tourne sur ton port 80 (le serveur web et le code de ton site).

À titre d'exemple, si ton site permet des injections (SQL ou autre), il n'y a même pas besoin de login ou de mdp pour accéder à l'ensemble du nas.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour ces indications (et ces corrections).

Je ne  possède pas de 'box' mais un digitable cable modem. Dans ma table de translation, juste un forward pour le port 80. Pas d'autre service activé par le biais du DSM. Mon site est à lecture 'simple', pas d'injection SQL possible.

Je souhaite utiliser le paquet Git Server, ce qui nécessite une activation de protocole SSH. Je ne souhaite utiliser Git que dans un environnement local (LAN). Donc si j'active SSH, est-ce que l'accés sera bien restreint à une utilisation locale, tant que je ne rajoute pas un forwarding dans le NAT? Bref, SSH activé et pas de forwarding dans la NAT: pas d'intrusion de l'extérieur possible par ssh? 

Partager ce message


Lien à poster
Partager sur d’autres sites

Tutoriel très instructif.

"Même si vous n'avez pas l'intention de vous en servir, activez le SSH. En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local. "
Peut-être un peu plus d'explications sur la dernière remarque ? (je pense aux autres qui vont consulter ton tutoriel)

Partager ce message


Lien à poster
Partager sur d’autres sites

Je vois difficilement comment être plus clair, mais si tu fais la remarque c'est que je ne le suis pas encore assez ...

Je recommande d'activer le service SSH, mais de régler le parefeu du NAS de telle sorte que seules les adresses IP privées (celles de ton réseau domestique) soient autorisées

(c'est mieux ?)

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant