Mic13710

Pour commencer, il ne faut pas permettre à DSM d'écrire dans le parefeu. S'il vous le propose lors de l'installation d'une application, vous en prenez note et vous refusez. C'est vous et vous seul qui devez gérer le parefeu. En effet, il arrive que certaines règles automatiques viennent en contradiction d'autres et ça devient rapidement le bazar (ce que vous avez). Ne mettre que votre ip est bien entendu possible mais bien trop restrictif car les autres usagers de votre réseau privé risquent de se faire bloquer alors que le risque d'attaque venant de ce réseau est faible à nul, à moins que vous n'ayez aucune confiance en votre famille ou vos amis. Et si votre IP change, la règle devient caduque. Vous devez autoriser au moins la plage d'adresse de votre réseau privé (par exemple 192.168.x.0/24) à utiliser tous les ports. Vous pouvez aussi la réduire, selon votre besoin. C'est votre choix. S'il y a d'autres applications utilisant d'autres plages privées (VPN, Docker entre autres), il faut aussi mettre en place des règles pour ces plages. Ceci est clairement expliqué dans le tuto. Je ne vois pas de ligne tous dans vos captures. Ce qu'il faut c'est une règle en toute dernière ligne du profil pour tous les protocoles, tous les ports et toutes les IP qui refuse le trafic. C'est obligatoire pour ne pas avoir un parefeu qui ne sert...à rien. Le parefeu n'a rien à voir avec le système, DSM en l’occurrence. Il ne gère que le trafic rentrant. Donc, si vos requêtes externes ont besoin de maria db, alors oui, il faut l'autoriser. C'est vous qui devez définir quelle application ou quel service doit être joignable de l'extérieur étant bien entendu que le trafic local n'est lui pas limité grâce aux règles du réseau privé énoncées ci-dessus.

Pourquoi tous ces profils ? Je ne comprends pas. Le principe : on autorise ce que l'on veut et si on veut la France uniquement, on l'autorise explicitement. Et en dernier il faut impérativement une règle qui bloque ce qui n'a pas été autorisé. Sans cela, le parefeu est une passoire. Donc un seul profil, vous créez les règles d'autorisation, les règles peuvent bien évidemment couvrir plusieurs applications. Et vous rajoutez une dernière règle bloquante. Les règles sont balayées de la première à la dernière. Si une règle n'est pas applicable, on passe à la suivante. Ainsi de suite. Si une règle autorise, on arrête la lecture du parefeu.

Vous trouverez les réponses à vos questions dans le tuto sur la sécurisation de nos NAS.

Je vous invite à aller faire un tour du côté des tutoriels et surtout de mettre en pratique celui concernant la sécurisation de nos NAS. on y parle entre autre de nom de domaine et de certificat.

On ne peut pas synchroniser deux comptes différents sur le NAS à partir d'une même session sur le PC. Pour cela, il faut créer une session par utilisateur.

Pas de problème donc.

Si l'ip de votre PC (pas celle du serveur bien évidemment) est dans la liste des permissions, vous pouvez faire autant d'erreurs que vous voulez, vous ne serez pas bloqué. C'est un peu le principe. La conséquence : il ne faut mettre d'autres ip que celles de confiance ... Pour info, on ne peut mettre que des ip dans la liste, pas de restriction par les ports.

Oui.

@Nodisco59 lorsque je vous ai proposé d'ouvrir un nouveau sujet, ce n'est pas pour continuer sur celui-ci. Selon votre dernière capture il semblerait que la 5967 soit installée. Il suffit d'installer les updates et comme je vous l'ai dit, vous pouvez essayer de passer directement au dernier car en principe il intègre les précédents. Au pire, le NAS ne l'acceptera pas et si c'est le cas, vous pouvez essayer les updates précédentes jusqu'à ce que le NAS l'accepte.

Bonjour Gilles, soyez le bienvenu sur ce forum. Si ce n'est pas encore fait, je vous invite à aller consulter le tuto sur la sécurisation de nos NAS. C'est un préalable incontournable.

Le seul chemin d'accès pour la 5967-1 est celui que je vous ai donné. Je viens d'essayer et il se télécharge sans problème. Si DSM vous dit que le fichier n'est pas le bon, c'est bien possible et je n'ai pas de solution à vous proposer. Normalement, quand ce sont des updates, la dernière intègre les précédents. Mais il faut d'abord que la version de base (5967) soit installée. Or c'est cette version qui semble être indisponible des serveurs pour plusieurs modèles de NAS. Si vous ne l'avez pas encore installée, alors il va falloir interroger les membres dans un message dédié pour trouver quelqu'un qui aurait encore le .pat en sa possession.

C'est que vous n'avez pas bien cherché : https://web.archive.org/web/20230129191538/https://global.download.synology.com/download/DSM/criticalupdate/update_pack/5967-1/synology_x86_1010%2B.pat

Le nombre de baies et le montage des disques dans un groupe ce n'est pas ce qui doit vous tranquilliser. Ce n'est qu'un support de stockage comme un autre, voire même plus fragile dans le cas du RAID, qui ne constitue en aucun cas une garantie quelconque pour les données. Je dirais même que plus il y a de disques dans un groupe et plus les risques de pannes augmentent. Une gestion normale des données ne se fait pas sans une VRAI sauvegarde périodique sur un support déconnecté de la source et stocké dans un autre lieu. Pour rappel, le RAID ou SHR n'est pas une sauvegarde. C'est seulement une continuité de service en cas de défaillance d'un des disques (RAID1, 5, SHR), de 2 disques (RAID6, SHR2).

Bonjour @Pat13480, soyez le bienvenu dans la communauté. Nous sommes (presque) voisins... 😉

Salut @PiwiLAbruti, chez moi le lien fonctionne. Je ne peux rien dire pour la lenteur, je viens tout juste de rentrer de vacances 🤪

Alors je ne comprends pas que le NAS refuse tous les disques. Il devrait au moins accepter les disques approuvés. Avez-vous essayé de commencer l'installation avec un seul disque ? Si DSM est installé sur les disques, il faudrait aussi tenter un reset de niveau 2 pour relancer son installation. https://kb.synology.com/fr-fr/DSM/tutorial/How_to_reset_my_Synology_NAS_7#t2

Est-ce que vous avez supprimé toutes les partitions (il y en a 3) ?

Oui mais attention aussi à la version de DSM ! Vous ne pouvez pas monter des disques avec une version de DSM supérieure à celle qui est installée sur le NAS. Par exemple, si vos disques sont issus d'un NAS DSM6.x, vous ne pouvez pas les migrer vers un NAS avec un DSM4.x ou 5.x. La migration des disques a ses contraintes et la version DSM en est une. La seule manière de procéder c'est de formater les disques (ce qui bien entendu sous entend la perte des données). Ce qui suppose donc de faire appel à vos sauvegardes pour restaurer les données après la création du nouveau groupe de stockage sur le 1812. Une autre possibilité serait de chercher un NAS plus récent susceptible d'embarquer une version DSM équivalente ou plus récente que celle de votre 1813.

Parce que vous les avez installés avant qu'ils ne soient retirés des listes et déclarés incompatibles. Les disques en fonctionnement ne sont pas affectés, mais si vous tentez de les réutiliser sur un autre NAS, ça coince. Les DD ne gardent en mémoire leur ancienne installation que s'ils ont des partitions encore présentes. Un disque issu d'un ancien NAS synology formaté n'a aucune chance d'être reconnu par un autre NAS synology. Votre seule solution c'est de suivre le lien que je vous ai donné. Si vous ne le faites pas, vous n'avancerez pas. Le NAS refusera vos disques qui ne sont plus approuvés.

Le problème de vos disques c'est que certains (EFAX) sont des SMR qui ne sont plus acceptés sur les Synology car cette technologie pose de sérieux problèmes sur les groupes. Donc, même en formatant, vous aurez toujours cet avertissement. Vous pouvez passer outre et faire accepter vos disques par le NAS, mais il faut pour cela installer un script qui va leurrer DSM. GitHubGitHub - 007revad/Synology_HDD_db: Add your HDD, SSD and...Add your HDD, SSD and NVMe drives to your Synology's compatible drive database and a lot more - 007revad/Synology_HDD_dbA vos risques et périls car les disques SMR sont la maillon faible de votre groupe.

Si ça peut te rassurer, moi non plus. Exact. De plus, on ne peut pas supprimer ces nouveaux flux.

Pour ma part j'ai ce script qui tourne depuis plusieurs années et qui a été créé par Superthx. Je ne le retrouve pas dans les tutos. Il se met à jour toutes les 24h : #!/bin/bash # Script tutoriel de nas-forum.com par Superthx ### PARAMETRAGE ### # Fréquence de lancement de ce script en heures (exemple 24 si journalier) Freq="24" # adresses des sites source entre guillemets séparées par un espace Liste_Url=("https://lists.blocklist.de/lists/") # Pour la liste de www.blocklist.de # Liste Choix: {all} {ssh} {mail} {apache} {imap} {ftp} {sip} {bots} # {strongips} {ircbot} {bruteforcelogin} Choix="all" #Fichier personnel facultatif listant des IP (1 par ligne) à bloquer Filtre_Perso="filtreperso.txt" # Pour trace facultative des IP non conformes au format IP #Choix: {0}: sans trace, {1}: dans fichier log, {2}: dans fichier spécifique Trace_Ano=2 File_Ano="anoip.txt" # à renseigner si option2 (sinon ne pas modifier) ### CONSTANTES ### Version_Script="v0.3.2" db="/etc/synoautoblock.db" marge=60 ### FONCTIONS ### raz_ip_bloquees(){ sqlite3 $db <<EOL delete from AutoBlockIP where ExpireTime > 0; EOL } tests_initiaux(){ echo -e "\nDemarrage du script $0 version $Version_Script: $(date)" if [[ $# -gt 0 ]]; then if [[ "$1" == "raz" ]]; then raz_ip_bloquees echo "Le blocage des IP non bloquées définitivement a été supprimé" else echo "Parametre $1 incorrect!\nSeul parametre autorisé: 'raz'" echo "Abandon du script" exit 1 fi fi } plage_blocage(){ start=`date +%s` block_off=$((start+Freq*3600+$marge)) echo "Horodatage du blocage des IP: $start" sqlite3 $db <<EOL drop table if exists Var; create table Var (name text primary key, value text); EOL `sqlite3 $db "insert into Var values ('stop', $block_off)"` } raz_fil_ano(){ if [ -f $File_Ano ]; then rm $File_Ano fi if [[ $Trace_Ano == 2 ]]; then echo -e "\nDemarrage du script (version $Version_Script): $(date)" > \ $File_Ano fi nb_invalide=0 } acquisition_ip(){ if [ -f $Filtre_Perso ];then cat "$Filtre_Perso" > listeip.txt else touch listeip.txt touch $Filtre_Perso fi for url in "${Liste_Url[@]}"; do host=`echo $url | sed -n "s/^https\?:\/\/\([^/]\+\).*$/\1/p"` case $host in lists.blocklist.de) #/bin/curl -s "$url$Choix.txt" >> listeip.txt curl -s "$url$Choix.txt" -o tmp.txt if [[ $(egrep -io "DOCTYPE" tmp.txt) != "DOCTYPE" ]];then sort -ufo listeip.txt tmp.txt listeip.txt else echo "Echec chargement IP depuis le site $host" fi ;; mariushosting.com) url2=${url:0:45}"$(date '+%Y/%m')"${url:52} curl -s $url2 -o tmp.txt if [[ $(egrep -io "DOCTYPE" tmp.txt) != "DOCTYPE" ]];then sort -ufo listeip.txt tmp.txt listeip.txt else url2=${url:0:45}"$(date '+%Y/%m' -d "$start_date-15 days")"\ ${url:52} curl -s $url2 -o tmp.txt if [[ $(egrep -io "DOCTYPE" tmp.txt) != "DOCTYPE" ]];then sort -ufo listeip.txt tmp.txt listeip.txt else echo "Echec chargement IP depuis le site $host" fi fi ;; *) echo "Le traitement pour $url n'est pas implanté" ;; esac done rm tmp.txt nb_ligne=$(wc -l listeip.txt | cut -d' ' -f1) echo "Traitement d'une liste de $nb_ligne adresses IP" } deblocage_ip(){ `sqlite3 $db \ "delete from AutoBlockIP where ExpireTime > 0 and ExpireTime < $start"` } maj_ip_connues(){ sqlite3 $db <<EOL drop table if exists Var; create table Var (name text primary key, value text); EOL `sqlite3 $db "insert into Var values ('stop', $block_off)" `sqlite3 $db <<EOL drop table if exists Tmp; create table Tmp (IP varchar(50) primary key); .mode csv .import listeip.txt Tmp alter table Tmp add column ExpireTime date; alter table Tmp add column Old boolean; update Tmp set ExpireTime = (select value from Var where name = 'stop'); update Tmp set Old = ( select 1 from AutoBlockIP where Tmp.IP = AutoBlockIP.IP); update AutoBlockIP set ExpireTime=( select ExpireTime from Tmp where AutoBlockIP.IP = Tmp.IP and Tmp.Old = 1) where exists ( select ExpireTime from Tmp where AutoBlockIP.IP = Tmp.IP and Tmp.Old = 1); delete from Tmp where Old = 1; drop table Var; EOL rm listeip.txt } tracer_ip_incorrecte(){ ((nb_invalide++)) case $Trace_Ano in 1) echo "$nb_invalide:IP non traitée (format IP incorrect): $ip" ;; 2) echo "$nb_invalide : $ip" >> $File_Ano ;; *) ;; esac } hex_en_dec(){ [ "$1" != "" ] && printf "%d" "$(( 0x$1 ))" } maj_ipstd(){ ipstd='' if [[ $ip != '' ]]; then # si format IPV4 (approximatif) if [[ $ip =~ ^([0-9]{1,3}\.){3}[0-9]{1,3}$ ]]; then ipstd=$(printf "0000:0000:0000:0000:0000:FFFF:%02X%02X:%02X%02X" \ ${ip//./' '}) elif [[ $ip != "${1#*:[0-9a-fA-F]}" ]] ; then ip6=$ip echo $ip6 | grep -qs "^:" && $ip6="0${ip6}" if echo $ip6 | grep -qs "::"; then sep=$(echo $ip6 | sed 's/[^:]//g') absent=$(echo ":::::::::" | sed "s/$sep//") rempl=$(echo $absent | sed 's/:/:0/g') if [[ ${ip6: -1} != ":" ]];then rempl=$(echo $rempl | sed 's/.\{1\}$//') fi ip6=$(echo $ip6 | sed "s/::/$rempl/") fi blocks=$(echo $ip6 | grep -o "[0-9a-f]\+") set $blocks ipstd=$(printf "%04X:%04X:%04X:%04X:%04X:%04X:%04X:%04X" \ $(hex_en_dec $1) $(hex_en_dec $2) $(hex_en_dec $3) $(hex_en_dec $4) \ $(hex_en_dec $5) $(hex_en_dec $6) $(hex_en_dec $7) $(hex_en_dec $8)) else tracer_ip_incorrecte fi if [[ $ipstd != '' ]]; then printf '%s,%s,%s,%s\n' "$ip" "$start" "$block_off" "$ipstd" >> \ newip.csv fi fi } import_nouvelles_ip(){ newip=`sqlite3 $db "select IP from Tmp where IP <>''"` for ip in $newip; do maj_ipstd done if [ -f newip.csv ]; then sqlite3 $db <<EOL drop table Tmp; create table Tmp (IP varchar(50) primary key, RecordTime date, ExpireTime date, IPStd varchar(50)); .mode csv .import newip.csv Tmp insert into AutoBlockIP select IP, RecordTime, ExpireTime, 1 ,IPStd, NULL, NULL from Tmp where IPStd is not NULL; drop table Tmp; EOL rm newip.csv fi } informations(){ ajt=`sqlite3 $db "select count(*) from AutoBlockIP where RecordTime = $start"` if [[ $nb_invalide -eq 0 ]]; then echo "$ajt IP ont été ajoutées" else echo "$ajt IP ont été ajoutées et $nb_invalide ignorée(s)" fi borne=$(($start+$marge+30)) block=`sqlite3 $db "select count(*) from AutoBlockIP where DENY = 1 and (ExpireTime = 0 or ExpireTime > $borne)"` echo "La liste de blocage mise à jour va bloquer $block IP" } ### SCRIPT ### cd `dirname $0` tests_initiaux $1 plage_blocage raz_fil_ano acquisition_ip deblocage_ip maj_ip_connues import_nouvelles_ip informations echo -e "Fin du script exécuté en $[$SECONDS/60]mn $[$SECONDS%60]s" exit 0

Bonne nouvelle, @rodo37 semble avoir résolu le problème. En tout cas, chez moi c'est rentré dans l'ordre. Les messages fantômes sont maintenant visibles dans "Toutes les discussions". Est-ce que certains rencontrent encore des problèmes d'affichage ?

Pardon ? Bien sûr que si ! Si vous avez autorisé tous les ports pour la plage d'IP privée (c.f. voir le tuto sur la sécurisation de nos NAS), le 9900 (port par défaut) ou tout autre port si vous l'avez modifié renvoie bien vers Surveillance Station. J'ai une règle reverse proxy https:\\cam.ndd qui pointe vers localhost:9900 et ça fonctionne très bien. De même que l'url <IP du NAS>:9900. Je ne peux pas vous aider sur vos problèmes de droits, je ne sais pas où se trouve la base dont vous parlez. Il n'y a rien qui y ressemble dans le dossier @surveillance. Si le problème persiste, il serait peut-être préférable de contacter le support.

Autrement dit, pourquoi faire simple quand on peut faire compliqué. Pourquoi vouloir à tout prix faire une passerelle entre les deux réseaux ? Si vous avez besoin de ports supplémentaires côté tplink, vous rajoutez simplement un switch. Au final, il ne doit rester qu'un seul câble entre votre box et le tplink.