BlueSpirit Posté(e) le 18 décembre 2013 Posté(e) le 18 décembre 2013 Bonjour, Tout est dans le titre j'aimerai pouvoir spécifier par utilisateur une ip ou un range d'ip qui serait autorisé pour les connexions venant d'internet. Si l'utilisateur essaie de se connecter avec une autre ip que celle qui est configurée la connexion est refusée. Même si ça ne rajoute pas forcément un niveau de sécurité conséquent je trouve que c'est une option qui manque ! En tout cas à l'heure actuelle je ne vois pas de solution permettant de faire cela. 0 Citer
PiwiLAbruti Posté(e) le 18 décembre 2013 Posté(e) le 18 décembre 2013 En tout cas à l'heure actuelle je ne vois pas de solution permettant de faire cela. Il n'y en a effectivement pas. Au mieux tu peux créer une règle dans le pare-feu et y définir les adresses IP autorisées. 0 Citer
marcien Posté(e) le 18 décembre 2013 Posté(e) le 18 décembre 2013 Je fais comme Piwi a dit. Je bloque tous, sauf les IP interne 192.168.0.0 et celles de mes amis x.0.0.0 (je prends large, en cas de changement d'IP). Avec cela, je n'ai presque plus d'attaque ! 0 Citer
BlueSpirit Posté(e) le 19 décembre 2013 Auteur Posté(e) le 19 décembre 2013 Merci pour vos retours...En effet c'est une solution pas mal...la gestion est moins fine mais ça permet de faire quelque chose équivalent. Dommage que DSM ne le propose pas, peut-être un jour ! 0 Citer
CMDC Posté(e) le 19 décembre 2013 Posté(e) le 19 décembre 2013 Je ne pense pas que le blocage par adresse ip soit une bonne chose ; par exemple si, comme moi, vous voyagez et qu'à l'étranger vous avez besoin d'avoir accès à votre NAS vous vous retrouvez marron . Je préfère une politique de sécurité basée sur le ports ; avec , par exemple comme première règle, essayer de bannir les ports en dessous de 1024 qui sont systématiquement scannés , ensuite désactiver des utilisateurs hyper connus comme root et admin etc... etc... 0 Citer
PiwiLAbruti Posté(e) le 19 décembre 2013 Posté(e) le 19 décembre 2013 Tu n'es pas obligé de bloquer tous les services. Dans mon cas le DSM (HTTPS + reverse proxy) est accessible de partout. 0 Citer
CMDC Posté(e) le 19 décembre 2013 Posté(e) le 19 décembre 2013 Tu n'es pas obligé de bloquer tous les services. On est bien d'accord , y'a quand meme un minimun syndical les ports et 443 en font evidemment partie 0 Citer
PiwiLAbruti Posté(e) le 19 décembre 2013 Posté(e) le 19 décembre 2013 J'ai restreint le port au réseau local et VPN pour des raisons de sécurité (identifiants phpMyAdmin en clair par exemple), je n'utilise que le 443 sur des plages IP limitées (une des raisons : ). 0 Citer
BlueSpirit Posté(e) le 19 décembre 2013 Auteur Posté(e) le 19 décembre 2013 J'aurai bien vu une option comme ça au niveau utilisateur mais du coup en aucun cas obligatoire. Si pour l'utilisateur qui essaye de se connecter il n'y a aucune ip spécifiée alors pas de filtrage ! Moi ça m’embête un peu de limiter ça au niveau firewall et ports, c'est plus contraignant. Le but était par exemple de s'assurer qu'un utilisateur se connecte à un service (sftp par ex) du syno uniquement de chez lui (même si les ip sont falsifiables ça a le mérite d'ajouter un niveau de sécurité en plus). Et pour un compte utilisateur ou l'admin a une pleine confiance et qu'il souhaite se connecter de n'importe ou on ne spécifie rien. Cette fonction est souvent dispo dans des serveurs ftp bien aboutis, c'est dommage de pas pouvoir le faire sans que ça soit une règle générale qui s'applique pour tout le monde. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.