MilesTEG1

Du coup pour ces évènements marqués comme "Ignorés", j'ai rien à faire, ces attaques ont été bloquées, c'est bien ça ?

Hello par ici. Vu que j'avais fait des règles inutiles dans le parefeu de mon routeur Syno, je me dis que ça doit être aussi le cas pour le NAS. Du coup je viens poster ici une capture des règles que j'ai pour le NAS. Dites moi ce qu'il faut virer ou ajouter 😉 Merci d'avance.

@Einsteinium Donc je vire toutes les règles concernant les IP LAN, c'est ça ? En fait j'ai quasi aucune règle 😄 Je ne comprends pas la 1ère qui a été ajoutée par le routeur lui même quand j'ai fait un certificat LE. Pourquoi elle interdit le port LE qui est le 80 : Bon ça ne doit plus être trop utile vu que j'ai créé un nom de domaine chez synology pour le VPN et le certificat LE qui y est associée ne semble pas être renouvelé de la même manière que quand j'utilisais mon nom de domaine chez ovh... puisqu'il a pu être fait sans que je doive couper la redirection du port 443 et 80 vers mon NAS... Qu'en pensez-vous ?

Oui c'est configuré en refusé 🙂 Merci pour les précisions 🙂 Je vais revoir les règles du parefeu aussi. Par contre, pourquoi je ne vois pas de traces des "attaques" vers mon NAS dans les logs du NAS ? Le parefeu bloque correctement ? (faut que je mette une capture des règles du parefeu du nas.

Haaaa ! Donc de base, tout est ignoré donc bloqué ! Enfin, pour les menaces élevées. Pour les moyennes, alertes, ça fait rien de particulier sauf faire un évènement (ça nous alerte quoi) c'est ça ?

Merci bien 🙂 Je vais aller lire l'article, et je garde les liens en bookmarks ^^ Donc d'après ce que tu dis, "Ne rien faire", ça va laisser passer le traffic/paquet... Et donc, "Alerte", ça bloque ?? Ou ça fait juste un évènement ? Et du coup, le "Ignorer", lui bloque vraiment ?

Ok, merci pour les précisions. Alors le NAS n'est pas en DMZ, c'est le routeur lui même qui l'est sur la livebox. J'ai un AdGuardHome dans un conteneur docker avec une IP macvlan (et une IP virtuelle pour le NAS), et d'autres services en docker. Dans le routeur je ne forwarde quasi aucun port : seuls les 80, 443 et 6690. J'ai configuré le parefeu du routeur comme ça : Sinon dans les paramètres du paquet, je vois ça : à quoi correspond le niveau de charge ? Est-ce là que tu retires des périphériques de la protection comme tu le suggères ? Pour les interfaces surveillées, j'ai fait ça : Mais je ne suis pas sur pour le VPN... Pour la 3G/4G, je peux être amené à brancher mon téléphone dessus pour partager sa connexion 4G, donc je laisse activé. Voilà, mais surtout, ce sont les évènements détectés qui me font un peu peur. Et par exemple ça depuis l'iphone de ma femme : Un peu plus bas dans le détail il y a ça : (ce serait l'application Tous Anti Covid) Mais du coup, que fait le paquet pour ces Alertes ?? Le paquet est transmis, arrêté ? Je ne comprends pas du tout le fonctionnement... Pour les évènements concernant mon alarme, je pense que c'est pour vérifier mon IP et la transmettre au service car un nslookup sur l'IP renvoie ça : Et dans les données utiles je vois mon adresse IP (masquée) : Je pense que c'est pas une menace 😉 Comment j'ajoute ça en "non menace", liste blanche ou autre ?

Bonjour 🙂 J'ai installé le paquet Threat Prevention, et je vous avoue que ce n'est pas limpide d'utilisation pour moi. Première chose, les MAJ automatiques n'étaient pas activées, donc je suis aller voir, et je ne sais pas quelle différence il y a entre les deux sources de MAJ possibles ? J'ai déjà 6 alertes : Que dois-je faire avec ? Je voudrais pas bloquer le fonctionnement des appareils... Merci d'avance pour votre aide 🙂 @Einsteinium @Diabolomagic @cadkey @church @maxou56 @Balooforever Si je clique sur le bouton "Ajouter une stratégie" sur un des évènements j'ai ces possibilités = Du coup, y a rien qui indique un blocage ? Est-ce que Alerte bloque la requète ? Que fait Ignorer ? Et Ne rien faire ? Y-a-t-il une différence entre ces deux derniers ?

Salut @Synchrology Je ne pense pas que ce que tu souhaites faire soit possible. Tu sembles vouloir accéder aux fichiers comme sur un Drive, or Synology C2 n'est absolument pas ça. C2 c'est de la sauvegarde, donc tes données sont certes accessibles, mais faudra télécharger le fichier voulu à la date voulue, et tu ne pourras pas le re-envoyer si tu le modifies... Après ca dépend du forfait que tu prends, mais OneDrive est bien plus intéressant de mon point de vue, mais ce n'est pas une solution de backup à proprement parler. J'ai toujours trouvé Synology C2 un poil cher, et pas assez flexible sur les différentes capacité de forfait... Perso j'aurais besoin de 2To de type Plan I, mais pas moyen, faut prendre un Plan II qui est carrément plus cher... j'ai pas besoin de Sauvegarde horaire... Bref, après si les 100 Go te suffisent et qu'à ce prix là ça te convient... 🙂 Tu ne pourras pas envoyer en direct les vidéos de Surveillance Station dans C2 Backup. Il faut faire une tâche Hyperbackup pour faire une sauvegarde. (mais 100Go ça risque d'être très léger en stockage pour de la vidéosurveillance... et pour des sauvegardes classiques...) Par contre ce que tu peux faire, et que j'avais mis en place (avant d'être à demeure chez moi) c'est une synchronisation en continue vers OneDrive (on a 1To avec un abonnement O365). Pour celà, il faut configurer CloudSync sur un dossier partagé. Puis, dire à Surveillance Station de placer les vidéos dans ce partage. Par contre, faut la fibre pour l'envoi, sinon ça sert à rien.

Yep, j'en ai profité pour bannir tout traffic internet pour mes caméras, mes imprimantes. Et je me demande si j'aurais pas intéret à faire pareil pour les switchs... Qu'est-ce que tu en penses @.Shad. ?

Oui c'est vrai, vu que je n'ai jamais trouvé d'intérêt à Moments, je l'ai désinstaller et je n'ai plus fait de nom de domaine depuis un moment... Et on est d'accord que Photos de DSM7 va remplacer PhotoStation ET Moments ?

@Jeff777 Avec DSM 7, tu as donc Photos qui est apparu dans la liste des applications du Portail des applications ? Car avec DSM6, pas moyen de mettre un autre port pour PhotoStation.

😂 J’ai pour principe de (précaution) tester quand je comprends ce que je fais 🧐😆

ça ajoute le /photo à la fin de l'URL ? que pour celle que je veux ? (je ne suis pas doué avec les expressions régulières...)

Ok, je comprends mieux. Je viens de tester avec le ndd synology qui a du wildcard : http://blabla.nddsyno.me est bien redirigé vers https://blabla.nddsyno.me (j'ai pas d'entrée dans le reverse proxy pour lui, donc j'arrive sur la page de webstation disant : Et ensuite le http://photo.nddsyno.meest bien redirigé vers https://photo.nddsyno.me/photo et https://photo.nddsyno.me est bien redirigé vers https://photo.nddsyno.me/photo J'ai testé avec l'autre nom de domaine, et ça fonctionne pareillement. J'ai même testé http://photo.nddsyno.me/photo qui est redirigé vers https://photo.nddsyno.me/photo Donc ça semble fonctionner correctement 😉 Vois-tu un test à faire pour affirmer/infirmer le tout ?

En fait je comprends pas ce que ça changerait de mettre la redirection HTTP vers HTTPS à la fin plutôt qu'au début... L'objectif est que toutes les URL HTTP soient redirigées vers le HTTPS. De mon point de vue qu'on le fasse avant ou après la réécriture revient au même... non ? Je n'arrive pas à voir ce qui te gène là... (je veux bien l'explication hein 😉 )

Oui voilà 😊 c’est ce que me permet de faire le .htaccess

Dans ce que tu cites, en gras, c'est l'explication des différentes lignes du .htaccess, en mode didactique. Je ne dis pas que dans mon navigateur j'écris l'url avec le /photo...

@.Shad. Je cherche à simplifier au max l'accès, pas forcément pour moi, mais pour les autres qui utilisent le service. Je sais qu'on peut mettre en favoris l'url complète, mais quand tu dois taper l'url si tu n'as pas le favori, c'est plus simple de taper sans le /photo, ou même d'y penser. Ce n'est pas parce que tu n'y vois pas d'intérêt que d'autres n'en ont pas.

Dans la doc du RT : il n'est pas vraiment précisé que c'est dans les deux sens. Mais... si tu paramètres correctement le parefeu du routeur et que tu ne fais pas de transmission de port, rien n'accédera aux caméras depuis l'extérieur. Donc pour moi, tout est OK en bannissant les caméras avec le routeur, tant que ton parefeu est paramétré et que tu n'autorises que le traffic qui est nécessaire avec la transmission de port, et pour le parefeu, faut voir le tuto parefeu du nas, qui s'applique aussi sur le routeur.

Ho !! Super, tu viens de me débloquer la situation 😄 Merci beaucoup 😄 Pour ça, tu n'as pas tout à fait compris ce que je voulais, et ce que le .htaccess fait 🙂 En gros, pour accéder à photostation, il faut ajouter /photo après l'adresse (IP ou nom de domaine), sinon tu arrives sur la page de webstation qui dit qu'il n'y a rien ici : Et ajouter le /photo n'est pas possible via le reverse-proxy de DSM... Ça doit l'être avec SWAG ou un autre, mais pas avec DSM. Du coup faut faire une réécriture de l'URL avec un .htaccess (l'idée n'est pas de moi hein 😉 ). J'ai fait un ajout dans le fichier pour les deux noms de domaines : syno et ovh. RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteCond %{HTTP_HOST} ^photos.mon-ndd-Synology.me$ RewriteRule ^$ https://photos.mon-ndd-Synology.me/photo [L,R=301] RewriteCond %{HTTP_HOST} ^photos.mon-nas.mpn-ndd.ovh$ RewriteRule ^$ https://photos.mon-nas.mpn-ndd.ovh/photo [L,R=301] Alors, je suis loin de comprendre à 100% tout le bazar, mais voilà ce que j'ai compris : Ligne 1 : On active le moteur de réécriture Ligne 2 : On teste la condition du HTTPS en off, si oui, on fait la suite. Ligne 3 : on réécrit toutes les URL [partie (.*) ] qui ne sont pas en HTTPS en https://... Je crois que le [L,R=301] marque la fin de la condition... mais il existe d'autres manières d'après ce que j'ai vu sur internet... Ligne 4 : On test l'url si elle est égale à photos.mon-ndd-Synology.me alors, on fait la ligne suivante Ligne 5 : on réécrit l'url en https://photos.mon-ndd-Synology.me/photo etc... Bon les lignes 2 et 3 pourraient être supprimées, mais en les laissant on a une réécriture correcte des HTTP en HTTPS sans poser de soucis comme ce qui peut être le cas avec la même fonction dans DSM (je ne fait que répéter là, car je n'ai jamais compris quels problèmes engendraient cette fonctionnalité dans DSM...). Bref, voilà ^^

Si je me souviens bien, lorsque tu crées le nom de domaine chez synology (via l'onglet DDNS de "Accès externe"), il y a création d'un certificat LE de manière automatique (y a peut-être moyen de ne pas le faire à ce moment là, mais je crois me souvenir que j'ai validé). Ensuite, il faut recréer le certificat et donc remplacer l'existant pour le nom de domaine synology, en mettant dans "Autres noms de l'objet" : *.mon-ndd.synology.me Il n'y aura donc pas 2 certificats sur le ndd synology, mais bien qu'un seul.

Ha ! En tout cas j'ai rien payé, et Syno n'a pas les corrdonnées de ma CB donc... 😄 Mais pour la petite histoire, quand tu crées un nom de domaine Synology, ce n'est pas là que tu crées le wildcard... et en fait tu ne crées jamais le wildcard, c'est inclus d'office... Par contre, une fois ce nom de domaine Synology créé, le certificat créé en même temps n'est valable que pour ce ndd. Il faut refaire un certificat et dans la zone de texte "Autres noms de l'objet", tu écris : *.mon-ndd.synology.me Et là tous les ndd que tu feras en xxxx..mon-ndd.synology.me auront un certificat valide. C'est ensuite au reverse proxy de rediriger vers le bon service. Tout à fait 😉

Bon pour mon problème avec PhotoStation, la seule solution que j'ai trouvé, c'est de passer par le nom de domaine wildards Synology.me, en mettant photos.monndd.synology.me/photo ça refonctionne sans erreur. Il ne faut pas faire d'entrée dans le reverse proxy. Je vais aller modifier le .htaccess pour refléter ce nouveau nom de domaine. C'est une limitation bien pourrie du reverse-proxy de DSM et/ou de l'application PhotoStation... de ne pas avoir une entrée dans la liste des applications : @.Shad. Tu as pu faire un certificat pour PhotoStation via SWAG ?

Bon par contre, je viens de voir que j'ai un soucis depuis que j'ai revu mes certificats, et que j'ai viré celui du nas.ndd.tld car devenu inutile... Du coup là avec mon nom de domaine photo.monnas.ndd.tld j'ai une erreur de certificat invalide... Logique après avoir regardé les certificats, je n'ai plus de certificat pour ce domaine... ni même inclus dans un autre... ok. J'en crée un, mais je ne vois pas comment affecter ce certificat à PhotoStation... C'est possible ça ? J'ai essayé de refaire une règle dans le reverse-proxy après avoir mis un port sur le HTTPS dans PhotoStation : mais maintenant j'ai ce message (avec ou sans le .htaccess tel que donné précédemment) : Bon du coup, bah je vois plus comment faire... J'apprécierais pas mal un peu d'aide ^^ ____________ Précision : Actuellement j'ai mon nom de domaine chez ovh : monnas.ndd.tld avec des "sous"-domaines comme photo.monnas.ndd.tld ou cameras.monnas.ndd.tld ou plex.monnas.ndd.tld, drive.monnas.ndd.tld etc... Chacun de ces domaines à son certificat dans le NAS. Sauf le monnas.ndd.tld vu que j'ai supprimé l'accès depuis le NET à DSM (passage par le VPN). J'ai créé aussi un nom de domaine chez synology pour les services suivants : (un peu comme @.Shad. a fait, probablement en mieux réalisé chez lui 🙂 ) Merci de votre aide.