E-Raw

Bonjour, J'ai l'impression que cela ne fonctionne plus depuis mise à jour de mon NAS en DSM 6.1.4-15217 U2. Même la commande synouser -–setpw root qui permettait d'ajouter un password au compte root pour l'accès SSH ne fonctionne plus. Pourriez-vous me dire si quelqu'un d'autre rencontre le même problème? Merci!

Piwi, Est-ce que tu parles de faire de la redirection avec iptables basée sur dport et sport? du PBR quoi?

Pour être plus précis et explicite, cette option n'est "pas utile" pour le type d'utilisation que l'on en fait (anonymiser sa connexion et/ou utiliser des services géographiquement bridés type netflix etc....). Par contre cette option est bien utile dans le cas ou le Syno client VPN se connecte sur un un réseau d'entreprise par exemple. Ca équivaut a connecter le Syno dans le LAN de l'entreprise par l'intermédiaire d'un VPN. Avec cette configuration, le syno vit sa vie sur votre LAN mais devient aussi accesible depuis le reseau de l'entreprise, sans que tout le traffic de votre Syno ne passe par le LAN de l'entreprise. Dans notre cas par contre, c'est comme si internet était l'entreprise et qu'on était à poil sans aucune protection. Il y a aussi une chose a noter qui n'est pas négligeable, c'est qu'en général votre fournisseur d'accès internet ferme certains ports pour limiter les risques pris par les utilisateurs non-avertis. Les port 23,25,,135,137,138,139,443,445 et les proxy 1080, 1555, 2001, 2280, 2281, 2282, 2283, 2284, 2285, 3128, 8080, 8081, 9000. Quand vous vous connectez sur un VPN, plus aucun port n'est fermé! Donc si vous ne vous protégez pas, quelqu'un peut tout bonement taper votreippubiquevpn et acceder a vos partages windows (CIFS) de votre Syno. Puis vu que c'est plus facile d'activer le compte invité pour ne pas devoir taper de mot de passe de temps en temps, il aura accès a tout sans rien devoir pirater (et ce n'est pas de la fiction, il suffit de faire un scan sur un range d'ip appartenant à un provider de VPN et vous verrez, c'est édifiant! à noter quand même que le scan d'une machine qui ne vous appartient pas est illégal!) ... et il y a encore bien d'autres choses a prendre en compte, mais ça ne s'arrete jamais vu que la technologie évolue. Pensez sécurité!

Bonjour Argenos, Content que tu aies sauté le pas! Pour ce qui est des points dont tu parles: Normalement lorsque le VPN se déconnecte, l'instance tun0 disparait et donc iptable fait le ménage puisque l'interface n'existe plus. Quand je parle de déconnexion, c'est betement quand tu le coupe manuellement ou quand il se déconnecte ou bout d'un temps. C'est parfaitement normal d'avoir le volume de l'interface tun0 dans eth0. En fait tun0 n'est rien d'autre qu'une interface virtuelle, elle crée un tunnel tout aussi virtuel a travers eth0 dans ton cas. Ce qui veut dire que le traffic passe physiquement par eth0. Tu verras également que si tu te connecte en local sur ton syno et que tu echange de gros volumes de données, le compteur grimpera sur eth0 mais pas sur tun0 puisque ca ne passera pas par le tunnel. Ca reprensente les packets/bytes qui sont rejetés. Sont rejetés: tout les packets qui ne correspondent a aucune des règles définie en dessous. Par exemple, si le port 22 n'est pas ouvert (ACCEPT)et que quelqu'un essaye de se connecter sur le port 22, le compteur DROP grimpera et la personne fera un timeout. La plupart des "attaques" (on devrait plutot appeller ça des tentatives) sont faites au hasard sur des ports standards, pour ma part le SSH est le plus visé. Pour logguer ces tentatives il suffit d'activer le blocage auto: Panneau de configuration ->Blocage auto dans la partie Services réseaux. Je te conseille 5 tentatives sur 5 minutes et l'expiration a un jour. Tu verras les logs de ces bloquages dans Journeaux système. Il faut toujours garder a l'esprit que moins il y a de breches, plus la personne qui essaye de rentrer mettra de temps. Ensuite toujours privilégié les authentification cryptées (SSH, SSL/HTTPS,...) plutot que des authentification en clair. le Syno ne doit JAMAIS être exposé sur internet en HTTP simple! Pour être certain, aller voir dans le Panneau de configuration -> Paramètres de DSM -> onglet Service HTTP. HTTPS doit être activé ainsi que la redirection automatique. Il y a encore bien d'autres sujets a aborder sur la sécurité mais c'est déjà pas mal... Bon amusement!

Bonjour Christophe, Pour ce qui est de l'édition sous Windows d'un fichier Linux/Unix je te conseille Notepad++ qui est open source et gratuit. Il permet de passer d'un format à l'autre et inversément. De plus pour une utilisation avancée, il permet d'ouvrir directement les fichiers sur ton Syno (ou tout autre machine qui supporte FTP,SFTP,...) par l'intermédiare d'une des fonctions avancées. Ca évite bien des déboires! Bien à toi

Bonjour Argenos, J'arrive une guerre en retard... on ne sait jamais, peut-être que tu repasseras. Oui les mêmes dangers s'appliquent à un PC connecté sur un VPN. Et pour te donner une idée du risque, si tu as un dossier partagé sur le PC connecté au VPN, il suffit que quelqu'un de tape "TonIpVPN" pour voir ce que tu partage (si le compte guest est activé, il n'a même pas besoin de mot de passe!) Pour ce qui est d'adapter le tuto aux non-initiés... ça prendrait des dizaines de page si on veut vraiment couvrir tous les cas. L'idéal serait de comprendre les principes fondamentaux de linux/unix. Les lignes de commande ça fait peut-être peur mais ça ne fait pas mal et c'est très puissant. Pour commencer je te conseille de consulter ces sujets: Comprendre le fonctionnement du SSH/Telnet Comprendre le système de fichier Unix/Linux (si tu viens du monde Mac ça sera encore plus facile) pour pouvoir retrouver tes jeunes. Dans la même partie, les droits d'acces/execution sur les fichiers. Connaitre les fonctions de base de vi (editeur en ligne de commande) ça sauve la vie (au sens strict du terme ) Pour ce cas précis de tutoriel, il faut comprendre les principes de base de routage au layer 3 (routage IP) et donc tout ce qui s'y rapporte, ainsi que le NAT et le port forwarding. Si tu rames au début, te tracasse pas, c'est normal, on est tous passés par la! Courage!