Ds* Sur Synology Avec Firewall <-> Freeboxe <-> Iphone En3G <-> Ds*

[Fr]

Bonjour à tous,

je sollicite votre aide sur un sujet qui me donne mal à la tête en ce moment. Ayant essayé plusieurs conf, je n'arrive à rien, malgré tout les post lus.

Je souhaiterais accéder à toute mes applications DS* sur mon iphone à l’extérieur de mon réseau wifi (qui est déjà correctement configuré au travers de mon firewall sur le Syno). Mes accès DLNA et applications sont accessibles et fonctionnelles.

J'ai déjà fait des tests en mettant l'IP actuelle de mon iphone (en 3G) dans le firewall et ports adequates, et ça fonctionne, le soucis c'est que l'IP de mon téléphone change tout le temps dés que je me déconnecte et me reconnecte en 3G. Du coup, l'IP déclarée dans le firewall n'est plus viable et les flux bloqués.

Voici ma configuration :

Synology avec la redirection des ports http => https

Synology avec firewall => ports 5001 et 443 ouvert pour l'IP de ma passerelle freebox (xx.xx.xx.254).

Freeboxe avec redirection des ports 5001 et 443 vers mon Syno (xx.xx.xx.12).

Iphone avec les applications classique DS* en reseau 3G orange.

Pour le moment, je souhaiterais me concentrer en particulier sur l'application DSCAM que je souhaiterais accessible de mon iphone en 3G.

Existe-t-il un moyen détourné pour cette solution sans pour autant ouvrir tous les ports de la freebox ou se passer du firewall.

Merci de votre aide.

Frédéric.

[domlas]

Tu "sécurises" trop !

Tu es dans le cas de quelqu'un qui veut absolument une porte blindée 5 points mais qui voudrait la laisser ouverte pour ne pas s' encombrer avec les clés !

Il est normal qu'en 3G les IP publiques changent à chaque reconnexion. Donc ne la filtre pas dans ton parefeu.

Mais bien mettre des MdP un peu complexes est bien plus important.

Et puis surtout faire de la vraie sécurité sérieuse. Ne pas utiliser les ports standards archi connus (5000, 5001, 7000...), limiter au strict minimum les seules applications devant être consultables à distances, comme l'accès au DSM par exemple. Surtout pour celles qui sont très courantes comme la vidéosurveillance qui est indispensable pour assister en direct au travail d'un bon cambrioleur (toujours cagoulé c'est plus joli sur la photo). Planque bien ton matos, qu'il n'embarque pas tes caméras au passage.

Et puis et bien que cela semble hors sujet, ne jamais trainer sur les sites à haut risques, P2P, téléchargements "gratuits", X, rencontres, jeux...

On est un groupe de 6 ou 7 personnes qui travaillons beaucoup sur le net avec nos synos depuis plus de 12 ans. On a jamais utiliser de https, cryptages, proxy etc. Résultat ? = Zéro emmerdes à ce jour.

Modifié le 1 avril 2015 par domlas

[Fr]

Merci pour ta réponse dolmas,

Je conviens que la solution que j'utilise est un peux sévère ;-),

Suite a tes recommandations j'ai autorisé tous les flux de mon Syno vers ma freebox (la passerelle), mais le constat est le même, je ne peux tjrs pas accéder aux applications de mon Syno depuis mon portable.

AI-je oublié quelque chose ?

Merci.

[domlas]

Je ne sais pas pour toutes les applis mais il a déjà été dit que le https sur VideoStation posait des dysfonctionnements. Comme le https n'a de toute façon aucun avantage sur ce genre de connexion, les données passantes n'ayant aucun caractère "secret défense" autant l'oublier. D'autant que le https ne traverse pas les proxy en général.

[Vinky]

Si tu veux sécuriser l'iP la seule solution c'est de faire un VPN. (Seul celui ci sera accessible de l'extérieur )

Concernant les sites p2p x ou autre, cela n'a absolument aucun lien direct avec la sécurité de ton NAS donc je vois pas du tout le but ? A part si c'est un mot de l'église contre tout ce qui n'est pas moralement correct....

Enfin, la sécurité ne se mesure jamais en durée sans s'être fait pirater.

Ce n'est pas parce que x année il ne sait rien passé qu'on a une installation sécurise.... (Et c'est valable pour tout, ce n'est pas parce que pendant 15 ans j'ai roulé sans mettre ma ceinture et que je n'ai rien eu qu'elle n'est pas utile)

Modifié le 3 avril 2015 par Vinky

[domlas]

Je n'ai jamais dit qu'en ne "sécurisationnant" pas on n'aurait jamais d'attaque, j'ai constaté à mes dépens qu'ayant voulu une fois seulement, chercher et télécharger un film introuvable de Visconti pour un travail d'étudiant je suis allé sur eMule il y a 10 ou 12 ans je n'ai jamais trouvé le film mais j'ai ramassé je ne sais plus quelle saloperie qui m'a obligé à tout réinstaller.

Premier acte.

Alors comme tout le monde je suis ensuite parti à fond la caisse dans les antivirus etc et j'en ai choppé un autre...Tout ça en à peine un mois !

Second acte.

Du coup j'ai tout viré encore une fois et juré mes grands dieux ne ne plus jamais (mais ce qui s'appelle JAMAIS) aller traîner dans ces coins pires que les bouges de Pigalle. Juste un petit anti-virus gratuit et basta. Depuis (donc une douzaine d'années on est 5 ou 6 personnes à s'échanger des quantités pharaoniques de données surtout depuis 5 ans avec ma fille qui édite un magazine tiré à 10 000 (et bientôt le double) dont je m'occupe du site internet qui gère en moyenne 5 à 8 000 dates de spectacles en permanence et où on s'échange à longueur de nuit des tas de séquences vidéos à monter, des centaines de photos à recadrer, des articles à corriger et mettre en page en appliquant les seules quelques règles simples citées sur le post précédent.

Et, je touche du bois, pas une chiure durant ces 12 dernières années.

Troisième acte.

Alors la "sécurité" ne se mesure peut-être pas au nombres d'années sans s'être fait pirater, je veux bien.

Mais elle ne se mesure certainement pas non plus au nombre de "protections" accumulées quand on se prend quand même deux ou trois bestioles par an.

La raison réelle est certainement à chercher ailleurs. Ce genre de démarche s'appelle le pragmatisme. C'est à dire faire travailler sa cervelle pour comprendre quel est le défaut en cause et y remédier et ne pas écouter tous les conseilleurs de poudre de perlimpimpin et autres grigris surtout quand le résultat est insignifiant.

Dans le même ordre d'idée j'ai un bon pote qui met bien sa ceinture et pourtant se fracasse la gueule 3 ou 4 fois par an. Faut dire que dans l'entourage personne ne monte avec lui. Ce n'est pas la ceinture qui évite l'accident mais de ne pas conduire comme un pied !

La seule chose qu'évite vraiment le bouclage de la ceinture c'est la prune et les points en moins.

En informatique c'est pareil, en n'allant pas traîner ses guêtres au milieu des truands on est sûr de prendre énormément moins de mauvais coup.

parce que quand je vois à longueur de posts que tout le monde s'acharne sur le https mais en laissant bien ouvert les ports 5000, 5001 etc déjà je me marre. C'est comme mettre une super porte blindé" et la laisser grande ouverte.

[Vinky]

Ah ok... Je te trouvais vieux jeu dans tes commentaires mais parler d'emule cest quand même enorme

Bien que ça existe toujours, il faut savoir que le monde du piratage a bien changé.

Aujourd'hui le problème n'est d'ailleurs pas où tu vas mais ce que tu installes... Si tu n'installes rien de farfelu tu n'as rien à craindre. Tu peux te prendre des tas de cochonneries qui vont te pourrir tes navigateurs et autres en passant par des sites tout ce qu'il y a de plus légal (Adobe par exemple cherche a faire installer des trucs non souhaités avec reader) et parfois cest plus que de simple adware....

Personnellement j'ai parfois plus confiance en certains sites de piratage que d'autres comme 01-net...

Enfin le 5001 n'es pas une porte ouverte absolument. Et ce n'est pas lié à la fonction https ou non.

Si tu changes le port et que tu vas sur un wifi non sécurise (type hôtel) alors que tu es en http autant te dire que la t'a carrément laissé les clés sur le comptoir de l'accueil. (Si tu connais Wireshark je te recommande de tester tu verras que tout le monde sans rien faire peut voir ton login et Mdp en clair sur son ordi.

Et si tu me dis que tu ne vas jamais sur ton NAS sur ce genre de connexion es-tu sûr que personne ne le fait dans les utilisateurs ?

Bref, https-5001 cest parfois bien plus securisé que http-903 par exemple...

Mais a t'ecouter la meilleure sécurité cest de tout éteindre... Mieux vaut éviter de donner des conseils en sécurité sur un forum dans ces conditions vraiment !

Modifié le 3 avril 2015 par Vinky

[domlas]

Exactement 'tit gars : "si t'installes rien de farfelu..." Tu viens de découvrir la vérité première de la vraie sécurité sérieuse.

Le "vieux jeu" comme tu dis a travaillé en son temps sur du Fortran ou du Cobol puis sur Unix, toute une époque. Puis ensuite sur les débuts des processeurs en automobile avant de finir dans la domotique. La technique, pas mumuse avec le smartphone pour déclencher le carillon westminster de la cuisine. C'est rigolo une fois mais ça ne sert à rien.

[Vinky]

Exactement 'tit gars : "si t'installes rien de farfelu..." Tu viens de découvrir la vérité première de la vraie sécurité sérieuse.

Merci de ne pas prendre de haut... Contrairement à ce que tu dis, je découvre pas la sécurité sur internet, je pense pas avoir beaucoup à apprendre (pour ne pas dire rien) de ta part. Surtout au vu des inepties que je lis régulièrement que tu sors sur le forum (ce n'est pas la première fois que je reprend des choses que tu dis, particulièrement autour de "quickconnect" dont il semble que tu n'es toujours pas vraiment compris son fonctionnement et son intérêt...).

La sécurité de papa/maman qui deviennent parano des outils informatiques et qui du coup n'utilisent pas 1/4 des possibilités juste par crainte et s'estiment en sécurité comme ça, ça va bien... Mais en plus dire à tout le monde que dans ces conditions je suis un as de la sécu, faut vraiment arrêter.

Être bon en sécurité c'est ne rien s'interdire, absolument rien du tout, tout en restant en sécurité.

Le "vieux jeu" comme tu dis a travaillé en son temps sur du Fortran ou du Cobol puis sur Unix, toute une époque. Puis ensuite sur les débuts des processeurs en automobile avant de finir dans la domotique. La technique, pas mumuse avec le smartphone pour déclencher le carillon westminster de la cuisine. C'est rigolo une fois mais ça ne sert à rien.

Si ce que tu dis es vrai (ce dont je ne doute pas) tu ferais mieux de t'y recoller pour faire fortune. Aujourd'hui c'est extrêmement recherché et sur-payé....

Pour le reste, merci de pas juger sans savoir : monter une infrastructure de A à Z pour un système de refroidissement de DATA Center expérimental en UNIX, création de circuit imprimé (conception, réalisation et installation dans l'infra), programmation des micro-processeurs en Assembleur, communication en modbus avec les différents systèmes, création d'un système intelligent de gestion indépendant (ceci a valu le dépot d'un brevet d'ailleurs) etc...

Bref, la technique et l'industrialisation, je connais aussi, donc ne vient pas faire le grand expert sous prétexte qu'à une époque lointaine (qui a plus que changé) tu as fais certaines choses.

Soit on se met régulièrement à jour dans ses connaissances techniques pour rester informés, soit on s'abstient de faire des commentaires de sécurité.

[DaffY]

Cool les gars.... Cool....

Trop de sécurisation tue la communication.

Donc sauf à etre fort knox on peut mettre en place des mesures et les box et quelques options de nos NAS sont la pour ca.

Après on peut même faire du vpn.

Mais plus on ajoute de couches, plus la communication est filtrée décryptée etc...

A chacun de voir le niveau qu'il juge suffisant.

Et venir ici pour savoir comment le mettre en place, et ce faisant, disposer de l'expertise dispensée dans ces posts.

Et comme c'est Pâques .... Sachez que les cloches sont revenues....

Et qu'elles "raisonnent" à nouveau !

:-))

[domlas]

Oui c'est vrai que le post commençait à prendre des proportions...

Premier point : éviter de se laisser entraîner dans la phobie du moment. Eviter aussi les solutions "standardisées" pour beaucoup lancées sur la toile par des marchands. Bien se dire que des solutions "à la chaîne" utilisant les mêmes produits pour tout le monde sont la meilleure entrée pour les filous.

On a le cas avec les alarmes domestiques produites en série à des milliers d'exemplaires identiques et déjà décortiquées par le scambrioleurs avant même d'être mises sur le marché.

Ensuite réduire à nécessaire ce qu'il faut protéger. Est-il absolument nécessaire que la collection de photos du petit dernier soit absolument mise au regard du monde entier ?

[DaffY]

Yes !