Petit Probleme D'acces Sans Dmz

[emontet4]

Bonjour à tous , je ne sais pas ce qui s'est passé cette nuit mais ce matin je me rend compte que je ne peux plus accéder a mon interface synology de l’extérieur .

Pour que ca remarche je suis obligé de mettre le dmz.

Pouvez vous svp m'aider a trouver ce qui ne va pas afin de pouvoir retirer mon dmz?

Je vous remercie par avance.

ps : J'ai une livebox hd.

[domlas]

Ta livebox n'aurait-elle pas subi une mise à jour automatique (et non annoncée) dans la nuit ?

Il se pourrait bien que les ports d'accès aient été chamboulés (remis à l'état d'origine).

Dans la box va dans "réglages avancés" >>> NAT/PAT

Tu dois y trouver une ligne indiquant que le port 5000 est redirigé vers le nom du syno.

Autre possibilité :

dans le syno en état d'origine l'accès internet "classique" par le port est automatiquement redirigé vers le port 5000 du syno (donc la page accès DSM) si le service WEB n'est pas activé.

Si tu as activé le service WEB ce port est alors dirigé vers ce service WEB.

Dans ce cas il faut créer dans le NAT/PAT de la box une règle qui le renvoie vers le nom du syno.

MAIS SURTOUT ET AVANT TOUT referme le DMZ. Un DMZ actif laisse l'accès à tout le monde partout dans ton syno. Surtout aux malfrats...

Un peu comme si tu avais une super porte blindée pour entrer chez toi mais que tu la laisserais grande ouverte et mettant en plus un panneau "ENTREE LIBRE" !

Modifié le 13 mars 2015 par domlas

[emontet4]

Merci Domlas,

Effectivement en vérifiant ma liste de port dans nat/pat j'ai vu mes ports habituels donc je ne me suis pas douté une seule seconde que le 5000 n'etait plus la. Je l'ai réactivé. Tout refonctionne. Merci 1000 fois.

[domlas]

Parfait. Peut être une mise à jour de la box non signalée ? Ca arrive souvent chez Orange.

Maintenant le port 5000 (comme le 5001 aussi) est dangereux. Il est connu de tout le monde et bien sûr surtout des bandits.

D'autant qu'il ne devrait pas être utile dans un syno bien paramétré d'avoir besoin de l'accès au DSM depuis internet.

Il y a bien d'autres moyens moins risqués de consulter les seuls fichiers voulus depuis le net.

[emontet4]

cela veut il dire que nous pouvons changer ce port 5000 afin de securiser plus?

[domlas]

Pas exactement. Bien sûr on peut choisir un autre port d'entrée dans le routeur (le 12345 par exemple) et le faire ressortir vers le syno par le port sortie 5000.

Mais en fait il ne devrait pas y avoir besoin d'accéder au DSM par Internet sauf très rares cas particuliers comme par exemple délégation de la gestion du syno à un administrateur extérieur.

Sinon les accès de "travail normal" (accès aux documents comme la musique, les photos ou des documents de travail) devraient se faire par le biais d'applications comme photo station, vidéo station etc.

C'est vrai depuis Internet mais aussi en utilisation sur réseau interne. Seul l'administrateur devrait avoir accès au DSM et seulement pour y faire les réglages et paramètres dus syno et rien d'autre, aucun "travail" sur les fichiers.

Les utilisations courantes ne devraient se faire que par le poste de travail >>> réseau >>> nom du syno et les dossiers partagés autorisés.

Parce que si tout le monde a systématiquement accès au DSM pour aller chercher ses fichiers ce "tout le monde" a aussi directement accès à toutes les manettes du syno.

Imagine alors un monsieur mal intentionné ! ! !

[emontet4]

En ce qui me concerne un seul acces admin le reste est parametre en utilisateur mais qui n'a aucun acces au réglages.

Juste pour que les utilisateurs puissent avoir acces aux films et aux musiques.

administrateur en connexion en 2 etapes

Vraiment dangereux?

[domlas]

Non mais c'est encore plus sûr de supprimer l'accès 5000 si on n'en a pas besoin.

[emontet4]

Merci Dolmas