Bonjour à tous,

Je viens vers vous pour une demande bien particulière, un fait intervenu hier soir et que je ne parviens pas à expliquer.

D'abord, quelques infos concernant la configuration:

- DS209 avec SSH activé

- site distant de mon domicile (donc IP différente)

- Derrière une freebox parametrée en mode routeur, avec les bonnes redirections de port en ce qui concerne l'accès SSH (22)

Les paramètres du pare-feu:

Pour la 1ère ligne, le masque de sous-réseau est: 255.255.255.0

Pour la 2ème ligne, j'ai masqué mon IP privée (celle de mon domicile). J'ai ajouté cette règle pour que les connexions SSH ne soient possibles que depuis mon domicile, ou dans le LAN.

Hors, ce matin, je constate qu'il y a eu plusieurs attaques SSH dans la nuit, dont les IP ont été bloquées:

Ma question est la suivante: Pour être bloquées, il y a forcément eu x tentatives de login. Comment ces adresses IP ont-elles pu accéder à la commande de login en SSH sans être bloquées par le pare-feu en amont?

NB: J'ai effectué un test de connexion depuis un autre ordinateur, situé sur troisième site (donc encore une IP différente), et je n'ai pas pu accéder à la commande de login, alors que depuis chez moi (IP autorisée au niveau du pare-feu), c'est OK...

Modifié le 19 mai 201411 a par Asaiel

Le service VPN client de DSM ne serait-il pas actif?

Pour moi ton print screen montre plutot une tentative d'acces au port ssh qui est bloqué par le firewall

le firewall du dsm emet des notification, mais c'est desactivable

si il y avais eu tentative de login, on aurait vu que l'ip serait blacklistée après X tentative si l'autoblock est activé

Pour moi ton print screen montre plutot une tentative d'acces au port ssh qui est bloqué par le firewall

le firewall du dsm emet des notification, mais c'est desactivable

Non, le firewall de logge pas les connexions qu'il a bloqué.

L'option de notification qui apparait dans ses parametres ("M’avertir quand des applis ou services sont bloqués par le pare-feu et fournir l’option de débloquer ce service ou cette appli.") ne s'applique que lorsque on active un nouveau package pour prévenir si il y a des ports à ouvrir et proposer de le faire.

si il y avais eu tentative de login, on aurait vu que l'ip serait blacklistée après X tentative si l'autoblock est activé

Ce type de message (mise en blacklist) apparait sous forme de *notification*, pas dans les journaux.

Modifié le 20 mai 201411 a par CoolRaoul

Bonsoir,

Et merci à tous les deux de vos réponses.

CoolRaoul, je te rejoins sur ta dernière réponse. Je suis actuellement en déplacement, mais je vérifierai pour le client VPN dès mon retour, et je vous tiendrai informés.

Bonne soirée à tous,

Le service VPN client de DSM ne serait-il pas actif?

Bonsoir,

Je viens de rentrer, voici les éléments dont je dispose concernant le client VPN:

A priori rien d'actif, sauf à ce qu'il y ait un autre paramétrage?

Alors la je sèche,

Dans cette situation je tenterai un reboot

Bonsoir,

J'ai peut être créé un doublon avec un problème similaire : Cf

Ma conf semble proche de la tienne, et cela a l'air de fonctionner désormais.