Aller au contenu

Qu'est-Ce Qui Ne Va Pas Dans Mes R


neodraig

Messages recommandés

Bonjour à tous,

(Enfin) Possesseur d'un NAS Synology depuis quelques jour, après avoir "joueé" avec la bête pour m'habituer à DSM 5.0, j'ai décidé de l'ouvrir au monde extérieur pour pouvoir profiter de toutes ses fonctionnalités (sinon autant acheter un disque USB).

J'ai regardé sur internet (apparemment pas assez bien) pour paramétrer le NAS, mais peu de temps après avoir activé le terminal pour l'accès SSH, je recevais 2 mails (en 2-3h de connexion) de mon NAS me disant qu'il avait bloqué une tentative de connexion SSH. A chaque fois des IP chinoises.

J'ai du coup rajouté des régles au pare-feu et modifié le port 22 pour autre chose (chose que j'avais déjà faite pour le port 5000). Activé la double vérification du compte. Du coup plus de mail de tentatives de connexion.

Le problème c'est que je souhaite faire un rapatriement automatique de mon serveur vers mon NAS (cela utilise RSync il me semble) mais pour que cela marche, il a fallu que je réactive le port 22, du coup nouvelles attaques chinoises.

Pourtant dans mes règles de firewall, j'ai tout interdit provenant de la Chine (ainsi que d'autres pays).

Voici une capture des mes réglages de firewall, en sachant que quand j'ai eu mon attaque chinoise, la première règle était acitvé.

Le problème c'est que si je désactive cette règle, je n'ai pas accès au SSH avec mon adresse publique (en local pas de problème).

Pareil si je n'ai pas la régle ouvert à tous pour le FTP, je n'y ai accès q'uen local.

firewall.PNG

Aussi voici une autre capture des paramètres de DSM qui pourrait être lié au problème

J'ai une Freebox V5 et j'ai attribué une IP fixe au NAS et j'ai aussi redirigé les ports 21 et 22 vers l'IP du NAS.

Services.PNG

Pour résumer je voudrais ne pouvoir autoriser l'accès SSH que entre mon serveur et mon NAS ou bien en local.

Le FTPs je voudrais qu'il soit accessible de partout en France (mais pas des autres pays).

Je voudrais aussi pouvoir accéder à mon NAS (avec quickconnect.to) depuis n'importe où en France, mais pas des autres pays (surtout pas la Chine).

Aussi j'ai regardé le tuto de cette section du forum (et cherché un peu sur le net) mais je ne sais pas quelle est la priorité des règles.

Par exemple si je met une règle qui dit "FTP ouvert à tous" et puis une autre règle "FTP interdit à la Chine", laquelle des règles à la priorité?

Merci pour vos futur conseils.

Modifié par neodraig
Lien vers le commentaire
Partager sur d’autres sites

Bon j'ai une réponse pour ma dernière interrogation concernant la priorité des règles.

Elle s'effectue par leur ordre dans la liste. Donc une règle (en partant du haut) a la priorité sur la suivante.

Du coup c'était normal que les chinois (entre autres) ai accès au SSH quand ma première règle "SSH ouvert à tous" était activée vu qu'elle avait la priorité sur les suivantes (comme le blocage de la Chine au hasard).

Du coup j'ai réorganisé et modifié mes règles et pour le SSH c'est bon, il n'y a que mon serveur et moi en local qui y ai accès ^_^

Pour les autres type de connexions, je n'ai autorisé que la France, du coup je pense que ma "nouvelle" première ligne me semble redondante par rapport à la règle générale de tout refuser.

firewall%202.PNG

Par contre ce que je trouve étrange c'est que j'ai autorisé ma propre IP publique pour tout, mais quand je ne peux accéder ni au SSH ni au FTPs à partir de cette même IP publique.

Si je souhaite accéder au SSH ou au FTPs via l'adresse publique, je suis obligé de créer une règle pour le SSH et le FTP "ouvert à tous".

Et si je créai une régle pour le SSH et le FTP "ouvert pour la France" et bien cela ne marche pas non plus, comme si mon IP n'était pas en France :blink:

Modifié par neodraig
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Quand vous dite "Mon IP publique" de quelle IP s'agit il, celle d'entré de votre réseau local sur lequel se trouve le NAS, ou celle d'unautre réseau à partir duquel vous souhaitez accéder au NAS (exemple smartphone, ...)

Sinon d'un point de vue sécurité il est préférable de n'ouvrir sur internet que les fonctions dont vous aurez réellement besoin (ne pas mettre tous), à moins que les accès soient limités en amont par les règle NAT de votre BOX

Thierry

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Quand je parle de mon adresse publique, je parle d'un adresse du genre 85.523.0.65 sous laquelle j'apparais à l'extérieur du réseau local.

Ensuite au sein du réseau mes différents équipements (PCs, NAS...) ont une adresse de type 192.168.0.XX

En fait avec les règles que j'ai établis je ne peux pas me connecter sur mon adresse publique (85.523.0.65) vers mes services en utilisant l'adresse 85.523.0.65. Si j'utilise l'adresse en 192.168.9.XX, là je peux me connecter sans problème (SSH, FTP, DMS).

Là je viens d"essayer de me connecter à DMS en utilisant 85.523.0.65:5000 et là ça bloque.

Quand j'utilise mon smartphone en 3G, pas de problème cela marche (normal j'ai autorisé la France pour le http).

Bon après pour mon utilisation, cela marche comme je veux, mais je voulais juste savoir pourquoi je ne pouvais pas me connecter à ma propre adresse publique (sans avoir à tous autoriser) alors que j'ai une règle qui normalement lui donne accès à tout, c'est bizarre :wacko:

Lien vers le commentaire
Partager sur d’autres sites

Je pense qu'il y a une incompréhension :

Votre adresse IP externe est l'adresse qui identifie le point d'entrée de votre réseau sur Internet

L'adresse IP source indiquée dans une règle de Firewall est l'adresse IP Internet de l'appareil que vous voulez autoriser ... elle ne peut pas être la votre !

Le NAS et le serveur sont ils sur le même réseau local ? (je suppose que oui)

Dites moi si ce que je pense de votre besoin est correct :

Accès interne

- Vous voulez autoriser tous les accès au NAS à partir d'appareils connectés à votre réseau local (192.168....)

Accès externe

- Vous voulez bloquer toutes les connexions provenant d'adresses IP des pays Brésil, Chine, ....

- Vous voulez autoriser les accès à un certain nombre de services pour toutes les adresses IP (autres que celles indiquées au dessus)

- Vous voulez refuser l'accès à tout le reste des services et adresses IP

Si ma vision est juste vous avez vos 3 règles :

Port Protocole IP source Action

Tous Tous 192.168...... Autoriser

Tous Tous Brésil, Chine,... Refuser

Cocher les services souhaités Tous Tous Autoriser

Si aucune règle -> Refuser

Maintenant si vous voulez limiter l'accès externe à votre seul smartphone cela pose problème car son adresse IP dépendra de l'emplacement d'appel.

Thierry

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Désolé pour ma réponse tardive. Cela fait plusieurs jours que je suis sur le paramétrage de mon serveur pour rapatrier mes données sur mon NAS, mais comme je suis un noob en Linux et bien ça prends beaucoup de temps et je n'ai pas vu le temps passer.

En tout cas merci beaucoup pour la réponse.

En fait mon soucis essentiel s'était de n'autoriser le port 22 que entre moi et mon serveur, mais ça c'est fait.

Quand à mon problème de me connecter à mon NAS avec mon adresse publique, et bien cela marche depuis aujourd'hui suite à la mise à jour de DSM 5.1.

Par contre j'avais créé un rapatriement automatique de des données de mon serveur vers mon NAS avec Rsync en créant un clé sur mon serveur pour autoriser la connexion SSH à mon NAS avec la commande suivante

ssh-keygen -t rsa
ssh-copy-id -i ~/.ssh/id_rsa.pub root@<adresse de mon_NAS>

mais là cela ne marche plus :angry:

Comme il y a eu une mise à jours de DSM, faut-il que je recréai une clé, ou bien cela viens d'ailleurs?

Edit: cela viens bien d'ailleurs car en faisant "ssh root@<adresse de mon_NAS>, mon serveur a bien accès au NAS.

La mise à jours à du changer quelque chose, mais à quel niveau?

Modifié par neodraig
Lien vers le commentaire
Partager sur d’autres sites

Bon il y a un problème avec le pare-feu depuis cette mise à jours DSM 5.1 :(

Là je viens de recevoir à nouveau un mail de mon NAS me disant qu'un chinois a essayé de se connecter dessus.

Pourtant dans les règle par défaut tous et en refusé et le SSH n'est ouvert qu'entre mon serveur et mon NAS (voir screenshot plus haut). En plus j'ai une règle pour bloquer certains pays (redondante surement), comme si le pare-feu été désactivé (edit: dans ce cas là pourquoi mon serveur ne peux plus se connecter à moi ?)

D'ailleurs c'est peut-être pour ça que j'ai pu m'auto-connecter à mon adresse public alors qu'avant cela ne marchait pas (et que je ne recevais plus de mail de tentative de connexion).

Modifié par neodraig
Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.