S

[PiwiLAbruti]

Je parle surtout de bloquer tout le trafic entrant sur l'interface VPN puis de définir des règles entrantes spécifiques aux services utilisés. Ce n'est pas de la redirection mais du filtrage.

Malheureusement Synology ne permet pas ce paramétrage vital dans le pare feu du DSM, d'où la seul alternative restante : iptables.

Modifié le 10 mai 2013 par PiwiLAbruti

[Alphi]

Et bien, je découvre ce problème !!!!

Donc en gros si mon neurone a bien imprimé :

NAS ----- Vpn = Nas derrière mon routeur local en DMZ (c'est juste l'adresse public qui change)

PC ------ VPN tiers = PC derrière mon routeur local en DMZ (c'est juste l'adresse publique qui change)

PC ------- VpN de mon syno = PC accessible via l'adresse publique du nas et tjs comme si en DMZ

Correct ?

[darphboubou]

Bonjour,

Ne connaissant rien au monde linux, pourriez-vous m'indiquer comment mettre ce script en place? faut-il passer par le mode console etc???

[Arakiss64]

Merci pour ce tuto très intéressant (et effrayant!)...

Mais ne suffit-il pas de restreindre l'accès aux différents réperoires du diskstation, voire même les cacher à toute personne étrangère ?

Panneau de configuration / Dossiers partagés :

[Arakiss64]

Aucune réponse, je suppose donc que j'ai dit une bêtise

Du coup, j'ai mis les mains dans le cambouis et j'ai pigé pas mal de trucs. Mais il me reste quelques interrogations :

-il semble que depuis le dsm5.0, la commande s04crond.sh n'est plus dans /usr/syno/etc.defaults/rc.d du coup je n'arrive pas à stopper crond afin de faire le test décrit dans le tuto

-j'ai tenté un /usr/syno/sbin/synoservicecfg --restart crond mais rien n'y fait : /usr/syno/etc.defaults/rc.d/S04crond.sh stop ne marche pas. (not found)

Jusque là j'avais réussi à créer mon script et mon cron dans crontab (déjà pas mal vu que je suis parti de zéro il y a 2 jours ) Mais je me demande quel port je dois éditer dans le script :

cette ligne là ? $iptables -A INPUT -i $interface -p tcp --destination-port 51511 -j ACCEPT

(En partant du principe que 51511 est le port que j'ai défini dans le DSM pour le service BT) (d'ailleurs dois-je plutôt indiquer le port que j'utilise pour le client vpn ?)

merci d'avance !

dernière question :

un iptables -L -v me donne ceci :

Syno> iptables -L -v
Chain INPUT (policy ACCEPT 6816 packets, 1820K bytes)
pkts bytes target prot opt in out source destination
3461 1342K DOS_PROTECT all -- eth0 any anywhere anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 6788 packets, 1279K bytes)
pkts bytes target prot opt in out source destination

Chain DOS_PROTECT (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN icmp -- eth0 any anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
0 0 DROP icmp -- eth0 any anywhere anywhere icmp echo-request
4 160 RETURN tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
0 0 DROP tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
83 4748 RETURN tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10000/sec burst 100
0 0 DROP tcp -- eth0 any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN

Que dois-je en déduire svp ???

[Vinc]

Petite mise à jour: la version en béta actuellement 5.1 de DSM permet désormais de configurer le firewall aussi sur la connection VPN

[maxou2600]

Bonjour, je suis équipé de DSM 5.0 . J'ai une question : cette ligne ci permet d'autoriser le port 5001 ?

$iptables -A INPUT -i $interface -p tcp --destination-port 5001 -j ACCEPT

Maintenant, je souhaite passer par le VPN pour Download Station (que pour ça) Je fais comment ?

Car si je mets le VPN pour tout, je ne peux plus y accéder via l'exterieur etant donné que l'ip est la même pour tous ceux connectés sur le même VPN.

Donc ce que je voudrais, c'est faire en sorte que Download Station passe par le VPN et que tout le reste passe par l'ip de mon opérateur (par exemple que je puisse accéder au NAS Grâce a DynDNS).

Merci d'avance

[pluton212+]

Pour quelle(s) raison(s) vouloir faire passer DownloadStation par le VPN (et pas le reste du trafic)?

[maxou2600]

parce que si je fais passer le reste du trafic, je ne peux plus accéder à mon syno depuis l'exterieur (En gros le VPN où je suis, tout le monde a la même IP, donc la redirection vers le syno n'est pas possible)

Après je dis Download Station mais ça peut être tout le reste évidemment, mais faudrait que l'IP WAN reste celle de mon opérateur (et non celle du VPN).

Genre par exemple avoir l'ip de mon opérateur en principal (DynDNS, autres) et l'ip du VPN pour le reste.

Peut être qu'avec le PID des applis a rediriger on pourrait rediriger vers tun0 (qui serait la connexion open VPN) et tout le reste resterait sur l'ip opérateur (mais là mes connaissances se limitent...).

Merci d'avance

[pikeupe]

Petite mise à jour: la version en béta actuellement 5.1 de DSM permet désormais de configurer le firewall aussi sur la connection VPN

slt

est comment on fait je serais intéressée

merci

[stev84]

Pour rendre le tout automatique, il faut utiliser crontab. Dans mon cas, le script est exécuté toute les minutes. Il y aura donc maximum une minute ou le NAS sera exposé lors de chque reboot/reconnection.

Pour ma part j'ai ajouté le lancement du script dans le fichier /etc/fw_security/sysconf/iptables_security.sh

Ce script est appelé à chaque changement de config/connexion de vpn, etc... donc pas le temps d'être exposé aux menaces!!! (même pour une minute)

Il suffit d'éditer la fonction start() et d'ajouter le chemin vers le script :

start() {

fw_security_dump

modules_reload

[ -f $SZF_RULES_SECURITY_DUMP ] && ipv4_rule_apply $SZF_RULES_SECURITY_DUMP

[ "yes" != "${V4ONLY}" -a -f $SZF_RULES_6_SECURITY_DUMP ] && ipv6_rule_apply $SZF_RULES_6_SECURITY_DUMP

#load VPN rules

/usr/local/scripts/vpn_iptables.sh

return 0

}

et ça marche au poil!

Modifié le 3 janvier 2015 par stev84

[Guiloo]

Petite mise à jour: la version en béta actuellement 5.1 de DSM permet désormais de configurer le firewall aussi sur la connection VPN

ça veut dire qu'il n'y aura plus besoin de ce script avec la 5.1 ?!

[Vinc]

ça veut dire qu'il n'y aura plus besoin de ce script avec la 5.1 ?!

Ça ne change rien au soucis ! Synology n'a finalement pas implémenté dans la 5.1 les foctionnalités annoncés justement pour le routage entre VPN et connection native

[Guiloo]

Ça ne change rien au soucis ! Synology n'a finalement pas implémenté dans la 5.1 les foctionnalités annoncés justement pour le routage entre VPN et connection native

Ah dommage ! Merci pour l'info !