kroman_fr

Merci !

C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat si je n'oublie rien, Il faut donc que : - je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http" - j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied") - j'ajoute ces ip dans mon pare-feu Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ?

Merci c'est très réactif :) Je n'avais pas pensé à ça. Je n'ai autorisé que la France et la Belgique dans mon pare-feu (sur le proxy inversé, webdav et le vpn) mais quand mon certificat let's encrypt va expirer, si je n'autorise pas les connexions entrantes depuis les US sur le port 80 (ou ces deux IP), le renouvellement échouera (ou j'ai compris de travers) ? Pour apache, niveau accès c'est ok et je pense être safe grâce à ce tuto mais ensuite niveau config apache / php ? La config par défaut est-elle sécurisée ? D'habitude, sur PC, je désactive les modules inutiles et d'autres éléments, mais là impossible de retrouver le fichier httpd.conf sur apache 2.4...

Merci. Effectivement, je n'avais pas encore installé Web Station. Je rencontre d'ailleurs quelques problèmes avec Apache 2.4 mais qui ne rentrent pas dans le cadre de la sécurité et je vais donc créer un topic à part :) Cependant, je me demandais si comme pour la config par défaut de DSM, la config par défaut de WebStation / Apache 2.x / Php 7 / MariaDB fournie avec les packets nécessitaient des modifications afin d'augmenter la sécurité (vu qu'il répond de l'extérieur à des requêtes sur port 80) ?

Merci pour ta réponse très rapide Ah bon je confonds les deux choses alors. C'est dommage que l'on ne puisse pas faire en sorte que le NAS ne réponde absolument rien si on ne lui fait pas une requête via le port 80/443 autrement qu'en définissant un des sous-domaines enregistrés dans les proxys inversés. Ne peut-on pas faire en sorte de masquer au moins la redirection vers le port DSM (encore une fois ce n'est pas dramatique ce port est de toute façon fermé depuis le net mais bon ça permettrait à un éventuel pirate qui aurait pénétré mon réseau de connaitre facilement le port DSM facilement). D'ailleurs j'ai désactivé l'entête "server" dans les requêtes de réponse HTTP mais dans le corps de la réponse il indique le nom "nginx") Est ce que tu me conseilles de changer le porta 80/443 ou ça n'a aucun intérêt (c'est vrai que c'est plus "propre" que devoir filer son url à ses amis avec un numéro de port exotique)

Merci infiniment pour ce tutoriel. Le meilleur et le plus complet que j'ai trouvé jusqu'à maintenant. Juste une chose à propos du proxy inversé (d’ailleurs je ne sais pas pourquoi ils appellent pas ça virtual hosting) : J'ai mis en place cette fonctionnalité avec 4 sous-domaines (pour video station, audio station, file station et download station) sur le port 80 pour deux d'entre eux et 443 pour les deux autres. Tout fonctionne à merveille et j'y ai accès depuis le net mais j'ai remarqué que lorsque l'on accède à http://monipinternet:80 ou http://monipinternet:443, depuis Internet, mon NAS répond à la requête et renvoie même sur https://monipinternet:portdsmlocal/ (ce qui ne fonctionne pas évidement car je ne laisse pas l'accès à DSM depuis le net) Je souhaite que le NAS ne réponde à aucune requête vers mon IP internet ou vers mon domaine mais uniquement lors de l'accès via mes sous-domaines (lorsque ces sous-domaines sont indiqués dans le champs location de la requête http cliente). Comment faire? PS : voici ce qui se passe lors d'une requête d'un client vers monipinternet:80 ou monipinternet:443 :