Mic13710

Vous faites fausse route. Le numéro attribué n'est pas un port. Postez un exemple de lien anonymisé (nom de domaine remplacé par toto.synology.me) pour qu'on y voit plus clair. Tout à fait d'accord, et pourtant .... Vous êtes têtu ou vous ne comprenez toujours pas comment fonctionne le parefeu. Encore une fois, si aucune règle n'est applicable, c'est la dernière qui bloque. Si vous avez sélectionné la France pour les IP de votre règle, toutes les applications autorisées par cette règle seront joignable à partir de la France (à condition bien entendu que les ports correspondants aient été dirigés vers le NAS il va s'en dire). Si vous avez cliqué sur refuser dans l'interface LAN1, alors tous les pays en dehors de la France seront bloqués sur cette interface. Pas besoin d'une règle supplémentaire. Plutôt que de longs discours, il serait préférable de joindre une copie d'écran de votre parefeu pour qu'on comprenne ce que vous avez fait.

Le fonctionnement du parefeu est comme je l'ai décrit dans mes messages à savoir : tout ce qui arrive sur le NAS est autorisé. Ensuite, le parefeu analyse l'interface de réception de la requête, le protocole, le port invoqué, la provenance de l'ip et balaye les règles une à une en commençant par la première. Si une règle n'est pas remplie, on passe à la suivante. Le balayage s'arrête si une règle est remplie, et si elle est autorisée, la requête est transmise au service concerné. Si elle est bloquante, la requête est rejetée. Sinon, on continue jusqu'à la dernière règle. A ce stade, rien n'est bloqué et tout est autorisé puisqu'il n'y a aucune règle bloquante. C'est donc la dernière règle dont je parle qui assure le blocage de toute requête qui n'a pas été couverte par une des règles. D'où l'importance de l'ordre des règles, la dernière étant toujours une règle de blocage. Si vos liens sont en https, ce que je suppose car ce sont en principe les liens générés par DSM (il faut voir l'en-tête du lien pour confirmer), alors il faut autoriser https pour les ip de France si c'est de que vous souhaitez. Ca peut être le 443 (port https par défaut) ou le 5001 (port de DSM qui peut aussi atteindre des services) mais ce n 'est pas forcément valable pour vous car il se peut que le lien utilise file station (port 7001) selon comment et dans quelle application il a été généré, auquel cas c'est ce port qu'il faudra autoriser. Vous seul pouvez le déterminer en analysant un de vos liens. Le blocage géographique c'est là : Vous sélectionnez France pour la règle pour laquelle vous voulez qu'elle s'applique. L'établissement des règles de parefeu sont intimement liées aux différentes applications et à la manière de vous y connecter : quickconnect, IP publique, nom de domaine dédié, reverse proxy, portail de connexion, changement des ports par défaut, etc.. tout ceci a une influence sur le parefeu. Aussi, ne connaissant pas vos paramètres je ne peux que vous donner des généralités. A mon avis, vous n'avez pas besoin de mariaDB s'il s'agit de seulement télécharger des liens, d'autant que vous n'hébergez pas de site web sur le NAS.

Il ne sert à rien de masquer des ip privées. Ni moi ni personne ne peut en faire quelque chose, exceptés ceux qui sont connectés à votre réseau. Pour MariaDB, c'est vous que ça regarde en fonction de ce que je vous ai dit plus haut. Je ne sais pas si votre application le nécessite ou pas. Mais si vous voulez bloquer les ip hors de France, il faut aussi le choisir dans les IP sources. Là, toutes les IP y ont accès. Si vous envoyez des liens de téléchargement, il faut que ces liens puissent s'ouvrir à distance. Il faut donc autoriser le protocole de connexion qui est utilisé. Pour le moment votre parefeu est une passoire et donc qu'il soit activé ou pas ne change rien : tout fonctionne sans blocage. Je ne vais pas le répéter à chaque post et ce sera la dernière fois : il faut impérativement une règle de blocage telle que décrite plus haut. Ne pas le faire inhibe toutes les règles de votre parefeu. Encore une fois, c'est expliqué dans le tuto et il serait judicieux de l'appliquer.

Personnellement, je ne recommande pas le renouvellement journalier de docker. Ca n'avait déjà que peu de justifications avec les premières versions docker (je ne l'ai jamais mis en pratique et ne m'en porte pas plus mal), ça n'en a plus aucune avec container manager qui facilite grandement la mise à mise à jour des containers. Il suffit d'aller de temps en temps vérifier l'état des versions et faire les mises à jour si besoin. Ce n'est pas parce qu'une version est remplacée par une nouvelle qu'elle ne fonctionne plus. J'ai certains NAS qui tournent avec de très anciennes versions et les renouvellements se font très bien. Donc, oubliez cette partie du tuto qui n'a aucun intérêt.

Pour commencer, il ne faut pas permettre à DSM d'écrire dans le parefeu. S'il vous le propose lors de l'installation d'une application, vous en prenez note et vous refusez. C'est vous et vous seul qui devez gérer le parefeu. En effet, il arrive que certaines règles automatiques viennent en contradiction d'autres et ça devient rapidement le bazar (ce que vous avez). Ne mettre que votre ip est bien entendu possible mais bien trop restrictif car les autres usagers de votre réseau privé risquent de se faire bloquer alors que le risque d'attaque venant de ce réseau est faible à nul, à moins que vous n'ayez aucune confiance en votre famille ou vos amis. Et si votre IP change, la règle devient caduque. Vous devez autoriser au moins la plage d'adresse de votre réseau privé (par exemple 192.168.x.0/24) à utiliser tous les ports. Vous pouvez aussi la réduire, selon votre besoin. C'est votre choix. S'il y a d'autres applications utilisant d'autres plages privées (VPN, Docker entre autres), il faut aussi mettre en place des règles pour ces plages. Ceci est clairement expliqué dans le tuto. Je ne vois pas de ligne tous dans vos captures. Ce qu'il faut c'est une règle en toute dernière ligne du profil pour tous les protocoles, tous les ports et toutes les IP qui refuse le trafic. C'est obligatoire pour ne pas avoir un parefeu qui ne sert...à rien. Le parefeu n'a rien à voir avec le système, DSM en l’occurrence. Il ne gère que le trafic rentrant. Donc, si vos requêtes externes ont besoin de maria db, alors oui, il faut l'autoriser. C'est vous qui devez définir quelle application ou quel service doit être joignable de l'extérieur étant bien entendu que le trafic local n'est lui pas limité grâce aux règles du réseau privé énoncées ci-dessus.

Pourquoi tous ces profils ? Je ne comprends pas. Le principe : on autorise ce que l'on veut et si on veut la France uniquement, on l'autorise explicitement. Et en dernier il faut impérativement une règle qui bloque ce qui n'a pas été autorisé. Sans cela, le parefeu est une passoire. Donc un seul profil, vous créez les règles d'autorisation, les règles peuvent bien évidemment couvrir plusieurs applications. Et vous rajoutez une dernière règle bloquante. Les règles sont balayées de la première à la dernière. Si une règle n'est pas applicable, on passe à la suivante. Ainsi de suite. Si une règle autorise, on arrête la lecture du parefeu.

Vous trouverez les réponses à vos questions dans le tuto sur la sécurisation de nos NAS.

Je vous invite à aller faire un tour du côté des tutoriels et surtout de mettre en pratique celui concernant la sécurisation de nos NAS. on y parle entre autre de nom de domaine et de certificat.

On ne peut pas synchroniser deux comptes différents sur le NAS à partir d'une même session sur le PC. Pour cela, il faut créer une session par utilisateur.

Pas de problème donc.

Si l'ip de votre PC (pas celle du serveur bien évidemment) est dans la liste des permissions, vous pouvez faire autant d'erreurs que vous voulez, vous ne serez pas bloqué. C'est un peu le principe. La conséquence : il ne faut mettre d'autres ip que celles de confiance ... Pour info, on ne peut mettre que des ip dans la liste, pas de restriction par les ports.

Oui.

@Nodisco59 lorsque je vous ai proposé d'ouvrir un nouveau sujet, ce n'est pas pour continuer sur celui-ci. Selon votre dernière capture il semblerait que la 5967 soit installée. Il suffit d'installer les updates et comme je vous l'ai dit, vous pouvez essayer de passer directement au dernier car en principe il intègre les précédents. Au pire, le NAS ne l'acceptera pas et si c'est le cas, vous pouvez essayer les updates précédentes jusqu'à ce que le NAS l'accepte.

Bonjour Gilles, soyez le bienvenu sur ce forum. Si ce n'est pas encore fait, je vous invite à aller consulter le tuto sur la sécurisation de nos NAS. C'est un préalable incontournable.

Le seul chemin d'accès pour la 5967-1 est celui que je vous ai donné. Je viens d'essayer et il se télécharge sans problème. Si DSM vous dit que le fichier n'est pas le bon, c'est bien possible et je n'ai pas de solution à vous proposer. Normalement, quand ce sont des updates, la dernière intègre les précédents. Mais il faut d'abord que la version de base (5967) soit installée. Or c'est cette version qui semble être indisponible des serveurs pour plusieurs modèles de NAS. Si vous ne l'avez pas encore installée, alors il va falloir interroger les membres dans un message dédié pour trouver quelqu'un qui aurait encore le .pat en sa possession.

C'est que vous n'avez pas bien cherché : https://web.archive.org/web/20230129191538/https://global.download.synology.com/download/DSM/criticalupdate/update_pack/5967-1/synology_x86_1010%2B.pat

Le nombre de baies et le montage des disques dans un groupe ce n'est pas ce qui doit vous tranquilliser. Ce n'est qu'un support de stockage comme un autre, voire même plus fragile dans le cas du RAID, qui ne constitue en aucun cas une garantie quelconque pour les données. Je dirais même que plus il y a de disques dans un groupe et plus les risques de pannes augmentent. Une gestion normale des données ne se fait pas sans une VRAI sauvegarde périodique sur un support déconnecté de la source et stocké dans un autre lieu. Pour rappel, le RAID ou SHR n'est pas une sauvegarde. C'est seulement une continuité de service en cas de défaillance d'un des disques (RAID1, 5, SHR), de 2 disques (RAID6, SHR2).

Bonjour @Pat13480, soyez le bienvenu dans la communauté. Nous sommes (presque) voisins... 😉

Salut @PiwiLAbruti, chez moi le lien fonctionne. Je ne peux rien dire pour la lenteur, je viens tout juste de rentrer de vacances 🤪

Alors je ne comprends pas que le NAS refuse tous les disques. Il devrait au moins accepter les disques approuvés. Avez-vous essayé de commencer l'installation avec un seul disque ? Si DSM est installé sur les disques, il faudrait aussi tenter un reset de niveau 2 pour relancer son installation. https://kb.synology.com/fr-fr/DSM/tutorial/How_to_reset_my_Synology_NAS_7#t2

Est-ce que vous avez supprimé toutes les partitions (il y en a 3) ?

Oui mais attention aussi à la version de DSM ! Vous ne pouvez pas monter des disques avec une version de DSM supérieure à celle qui est installée sur le NAS. Par exemple, si vos disques sont issus d'un NAS DSM6.x, vous ne pouvez pas les migrer vers un NAS avec un DSM4.x ou 5.x. La migration des disques a ses contraintes et la version DSM en est une. La seule manière de procéder c'est de formater les disques (ce qui bien entendu sous entend la perte des données). Ce qui suppose donc de faire appel à vos sauvegardes pour restaurer les données après la création du nouveau groupe de stockage sur le 1812. Une autre possibilité serait de chercher un NAS plus récent susceptible d'embarquer une version DSM équivalente ou plus récente que celle de votre 1813.

Parce que vous les avez installés avant qu'ils ne soient retirés des listes et déclarés incompatibles. Les disques en fonctionnement ne sont pas affectés, mais si vous tentez de les réutiliser sur un autre NAS, ça coince. Les DD ne gardent en mémoire leur ancienne installation que s'ils ont des partitions encore présentes. Un disque issu d'un ancien NAS synology formaté n'a aucune chance d'être reconnu par un autre NAS synology. Votre seule solution c'est de suivre le lien que je vous ai donné. Si vous ne le faites pas, vous n'avancerez pas. Le NAS refusera vos disques qui ne sont plus approuvés.

Le problème de vos disques c'est que certains (EFAX) sont des SMR qui ne sont plus acceptés sur les Synology car cette technologie pose de sérieux problèmes sur les groupes. Donc, même en formatant, vous aurez toujours cet avertissement. Vous pouvez passer outre et faire accepter vos disques par le NAS, mais il faut pour cela installer un script qui va leurrer DSM. GitHubGitHub - 007revad/Synology_HDD_db: Add your HDD, SSD and...Add your HDD, SSD and NVMe drives to your Synology's compatible drive database and a lot more - 007revad/Synology_HDD_dbA vos risques et périls car les disques SMR sont la maillon faible de votre groupe.

Si ça peut te rassurer, moi non plus. Exact. De plus, on ne peut pas supprimer ces nouveaux flux.