Ds209 + Freebox + Acc

[CaptainIgloo]

Je pensai que c'

[Dex]

Cot

[PatrickH]

Oui je sais, mais ma d

[CaptainIgloo]

Oui je sais, mais ma démarche étant d'ordre sécuritaire. En effet on peux se rendre compte que compte tenu des questions posées la connaissance du fonctionnement de l'ensemble du réseau et du produit synology il est préférable pour les personnes de ne pas rendre accessible l'interface d'administration par internet. Et oui il faut activer le port supplémentaire pour Filestation qui ne l'est pas par défaut, mais cela reste une case à cocher (car 7000 et 7001 sont les valeurs proposées par défaut).

Dans les prochains jours je vais vous publier quelques statistiques des attaques bloquées et cela uniquement sur le port ...

Mais nous sommes aussi là pour aider et essayer de donner les meilleurs conseils, ensuite aux personnes de faire leur choix en connaissance de cause

Et pour finir si vous vouslez gèrer des login depuis internet utilisez uniquement du HTTPS sinon tous vos mots de passes (et ceux de vos amis) vont circuler en clair sur la toile.

Patrick

Le post suivant Blocage Auto

Perso, mon syno bloque entre 4 à 10 tentatives de connexions chaque jour ... Paramètre à 3 tentavives pour 10' et blacklist sans purge.

[franckpi]

Je pensai que c'était un forum pour les Synophiles, mais en faite c'est une succusale de l'assistance Free !

C'est pire quand j'ai affaire à un assistant Free, je dois en plus traduire les mots tout ayant wikipedia sur mon portable

Ton interphone dit que quand tu sonnes sur le ca doit sonner dans l'appartement numéro 7000

Maintenant toi, tu pousses le bouton 7000 sur l'interphone et jusqu'à preuve du contraire il n'est relié à rien.

A+

David

PS: pense à configurer le syno pour qu'il utilise le 7000 pour filestation car ce n'est pas le cas sortie d'usine je pense... Seul le 5000 doit être utilisé pour acceder à l'écran d'admin d'où l'on peut aller vers filestation.

J'ai donc mis : 7000/TCP/192.168.x.x/7000 sur mon routeur freebox, ce qui signifie que lorsque je sonne sur le 7000 ça sonne sur le 7000 si j'ai bien compris

J'ai rajouté 7001/TCP/192.168.x.x/7001 car j'ai activé le HTTPS dans les Services Web des services réseaux dans le Synology.

J'ai activé le port 7000 + 7001 dans les paramètres courants de File Station dans le Partage de fichiers.

Je tape l'adresse sur mon portable en wikifree :

http:// mon IP Freebox = rien !

https://mon IP Freebox = rien !

Le Parefeu du Syno autorise ces ports, donc c'est pas ça.

Pfffffffff ! Pleaaaase aidez-moi !!!

Faut dire que tu as compliqué les chose en introduisant le port 7000 alors qu'on avait déjà du mal avec le 20, 21, , 5000...

De mémoire le 7000 n'est pas activé par défaut et si ses utilisateurs ne sont pas admin en passant par le 5000 ils pourront acceder à filestation et acceder à la partie admin permettant de changer leur mot de passe, ce qui peut être source de tâches d'administration complémentaires j'en conviens...

Alors concentrons-nous sur le 7000 ou 7001 car c'est bien dans ces dossiers où je veux que les gens arrivent via Internet

[Dex]

C'est pire quand j'ai affaire à un assistant Free, je dois en plus traduire les mots tout ayant wikipedia sur mon portable

Note qu'il y a des explication sur la redirection de ports dans wikipedia, ils parlent d'immeubles aussi mais pas d'appart

J'ai donc mis : 7000/TCP/192.168.x.x/7000 sur mon routeur freebox, ce qui signifie que lorsque je sonne sur le 7000 ça sonne sur le 7000 si j'ai bien compris

J'ai rajouté 7001/TCP/192.168.x.x/7001 car j'ai activé le HTTPS dans les Services Web des services réseaux dans le Synology.

J'ai activé le port 7000 + 7001 dans les paramètres courants de File Station dans le Partage de fichiers.

Je tape l'adresse sur mon portable en wikifree :

http:// mon IP Freebox = rien !

https://mon IP Freebox = rien !

On va y arriver tu peux le faire oui tu peux, concentre toi 2 minutes

Par défaut quand tu tapes http://machinchose sans le savoir tu fais "'>http://machinchose: parce que comme dit plus haut le port par défaut http c'est le , le ftp c'est le 21, le https c'est le 443.

C'est parce que en générale, dans tous les immeuble monsieur http habite l'appart et que madame https le 443 donc on ne le précise pas.

Donc soit tu tapes http:// mon IP Freebox:7000 ou https:// mon IP Freebox:7001.

Soit, plus propre pour tes visiteurs tu modifies la config de ta freebox en routant sur 7000 -> 80/TCP/192.168.x.x/7000 et 443 sur 7001 et ils n'auront qu'a entrer ton ip soit http://tonip soit https/tonip.

Note que tout cela n'est pas propre au Syno, tu aurais un serveur ftp ou un serveur web sur ton PC ca serait pareil.

A+

David

PS: dans la phase deux, quand tu vas prendre un nom de domaine, tu verras que tu peux rediriger http://monnomdedomaine sur http://ipexterne:leportquetuveux

[PatrickH]

C'est pire quand j'ai affaire

[CaptainIgloo]

soit on reprend

[franckpi]

Bonjour !

Excusez mon retard mais ce temps d'absence était nécessaire à l'extension de ce savoir qui me manquait tant ; à présent, après avoir parcouru des centaines de lignes sur wikipedia et divers forums sur les bases du réseaux, sur les redirections de ports, je reviens vers vous pour vous annoncer que j'ai réussi à voir enfin mon FileStation sur l'extérieur que j'accède par https via le port 7001.

Ma joie est comme la vision d'un feu crépitant lors d'une belle nuit de solstice d'été tandis que je le regarde à travers une fiole d'un bon hypocras bien frais

Mais après la joie vient le doute, car si j'y accède c'est par mon IP publique et là j'avoue que ça m'effraye un peu car j'ai lu qu'on pouvait entrer sur ma machine et faire un peu tout ce qu'on voulait par l'IP de cette même machine ;

d'où ma question : comment cacher son IP directement dans le lien que j'enverrai à mes amis ?

J'aurai pu prendre une Dyndn mais l'IP de Free est fixe donc ce n'est pas possible ! Je sais que le routeur encaisse déjà moult attaques et le firewall du Syno autorise ou refuse certains accès ; le parefeu de mon pc pourrait bloquer définitivement un intrus au cas où, mais l'idée néanmoins que mon IP soit visible ne me fait pas plaisir.

Vos avis et réponses pourraient réduire à jamais mes craintes.

Cdt

[PatrickH]

Content d'apprendre que tu as r

[CaptainIgloo]

Super !

Dans un premier temps tu vas vérifier les ports ouvert sur ton adresse IP publique :

Vas à l'URL suivante http://nmap-online.com/ et remplis les champ comme sur la capture.

Cela va faire un scan des 10000 premiers ports sur ton IP free !

Lance le scan puis attents un peu (8 scans max par 24h).

Le résultat ressemblera (mais pas nécessairement exactement) à cela :

Vérifie la cohérence avec la configuration de redirection de ports de ton modem Freebox et profite pour désactiver la réponse aux Pings.

Cela permet de ne pas être sollicité et détecté par des bots (robots).

Ensuite n'utilise que le HTTPS depuis l'extérieur pour accèder à DSM en mode administration et priviligie systèmatiquement les accès HTTPS en général.

Appliques les conseil de PatrickH, bloquage Auto à 3 tentatives pour 10', et imposse les mots de passe alphanumérique avec maj et min, aisi que plus de 8 caractères.

Idéalement, il faut contre utiliser les ports originaux :

Exemple : le port 21 est référencé pour une service de type FTP. Ce port 21 tu ne l'utilise pas, mais tu permets au port 21000 d'être redirigé vers le port 21 de ton Syno. Ainsi tu utiliseras de l'extérieur avec ton client FTP non pas le port 21 mais le 21000.

Comme cela tu pertubes la logique des failles de sécurité par services et la compréhention de l'attaquant, ou la logique algorythmique du bot.

[Mikaoioi]

Merci de nous avoir fait part de ce screen avec toutes tes r

[CaptainIgloo]

Merci de nous avoir fait part de ce screen avec toutes tes règles NAT Captain, ca facilitera les choses de savoir sur quel port taper

(c'est étrange d'ailleurs, tu as deux ports externes redirigés sur le même d'une IP, deux portes pour une entrée )

Un peu HS : je déplore tout de même le fait qu'il n'y ait pas un port spécial pour audio station, comme c'est le cas pour filestation

(j'aimerais ecouter du son à distance, pas forcément me connecter à DSM pour pouvoir le faire ^^')

Ne prète pas attention au NAT, c'est une capture d'il y a quelques temps. Cela change souvent depuis l'acquisition de mon SYNO.

Pour le son, il doit y doit y avoir moyen de récupérer l'existant DSM depuis une page Web et un Flash player.

Cela est possible de l'iPhone ou l'iPod Touch, il doit y avoir un moyen.

Oui deux ports sur une IP, cela peut avoir son intérêt ...

[PatrickH]

...

(c'est

[franckpi]

Content d'apprendre que tu as r