Autoriser des domaines via un htaccess

[StephWe]

ok, je comprend mieux pourquoi Fenrir trouvait mes questions étranges et avait du mal car via n'importe quel domaine j'avais déjà accès au DSM si j'ajoutais le port dans l'URL . La faute à *.synology.me  qui ma influencé à vouloir faire pareil sans ajouter de port. Ayez confiance, je vais y arriver.

Oui en effet, il serait judicieux de changer le port et de forwarder vers le port 5001.
J'ai regardé les ports utilisés sur le syno : https://www.synology.com/fr-fr/knowledgebase/faq/299
Il n'y aura aucun soucis avec les autres applications si je fais ce changement de port ?

 

[loli71]

Il n'y aura aucun problème pour te connecter au DSM non, ni à lancer les applications depuis le DSM.

Il faut juste éviter les ports 5000 et 5001 sur internet qui commencent à être scannés régulièrement comme le port 22 pour le SSH ;-)

[StephWe]

Donc, je fais (par exemple) les modifications suivantes sur le routeur pour forwarder le port 5001 ?

Name : Forwarde 5001 TCP
Protocol : TCP
Public start port : 7301
Public end port : 7301
LAN start port : 5001
Local IP Address : 192.168.1.333

Name : Forwarde 5001 UDP
Protocol : UDP
Public start port : 7301
Public end port : 7301
LAN start port : 5001
Local IP Address : 192.168.1.333

[loli71]

Oui tu peux faire cela, la seule chose, c'est que tu n'as pas besoin de forwarder le 5001 en UDP ;-)

Et ensuite depuis internet, tu utilises https://dsm.site3.com:7301/ pour accéder au DSM en https

[StephWe]

Super merci ;), je viens de forwarder les port 5000, 5001 et 22 sur le protocole TCP et j'ai testé via l’extérieur. Cela fonctionne parfaitement. Je voudrais vous remerciez tous pour vos aides. Le forum est vraiment génial et tout le monde est réactif.

Ma prochaine étape est d'installer nodeJS et de créer une tache pour le rendre autonome. Je vais très certainement rencontrer des soucis. Si c'est le cas, je créerais un autre topic pour vous sollicitez 

A++ 

[gaetan.cambier]

Il y a 7 heures, loli71 a dit :

Tu peux aussi choisir un autre port moins connu côté internet (pour plus de sécurité)

se cacher n'est en aucun cas une securité ! c'est comme mettre la clé de sa maison sous le paillasson et croire que personne ne la trouvera

tu te protegera des scripts kiddies mais pas des vrai hacker !

[StephWe]

Vrais, si l'on est une cible. Les solutions que l'on ma proposées sont un minimum quand on veut laisser des ports ouverts. Le port ssh pourrait quand à lui rester fermer continuellement et l'activer si besoin est. Mais j'imagine qu'il y a toujours un chemin . Donc, tu as plus que raison.

[Fenrir]

Il y a 7 heures, StephWe a dit :

ok, je comprend mieux pourquoi Fenrir trouvait mes questions étranges

C'est surtout parce que tu me parlais de "tes" sites, pas de l'interface du nas

--------------

Pour vos histoires de ports :

Changer les ports n'a qu'un seul intérêt (et des montagnes d’inconvénients), ça permet de compliquer très légèrement la vie de ceux qui cherchent un type précis de faille (synolocker par exemple).

Mieux vaut laisser les ports par défaut et n'ouvrir que ce dont on a besoin, par exemple pourquoi ouvrir le port 5000 (ou 5001) du Synology (ce qui donne accès à TOUT) si c'est juste pour utiliser (au hasard) AudioStation depuis Internet ?

• si c'est pour un usage mono utilisateur (ou un nombre limité), un vpn c'est parfait
• si c'est pour plusieurs utilisateurs ou que le vpn n'est pas utilisable, les reverses proxies viennent à la rescousse

Plutôt que de changer les ports, les utilisateurs feraient mieux de :

• mettre des mot de passe correctes sur tous les comptes
  • 8 caractères alphanum+maj+symbole ce n'est PAS un mot de passe sécurisé
  • 10 caractères alphanum+maj (sans les symboles) c'est environ 1000 fois plus sécurisé et plus facile à retenir, donc moins de chance de le retrouver sur un post-it et moins pénible à changer de temps en temps
• configurer les options de sécurité (pare feu, autoblock, filtrage géographique, ...)
• faire des sauvegardes oob

[gaetan.cambier]

Le mdp sur un postit ou sous le clavier, pas mal de personnes aime bien cette solution

En parlant sécurité c'est moi qui suis parano ou on aurait du avoir une security update du dsm pour openssl mais on a toujours rien ?

[Fenrir]

il y a 24 minutes, gaetan.cambier a dit :

En parlant sécurité c'est moi qui suis parano ou on aurait du avoir une security update du dsm pour openssl mais on a toujours rien ?

si tu parles des CVE-2015-3194 et CVE-2015-3195 (les autres ne touchent pas la v1.0.1), elles sont difficilement exploitables et ne présentent que peu de risques sans un accès local => tu es parano

[gaetan.cambier]

il y a 24 minutes, gaetan.cambier a dit : En parlant sécurité c'est moi qui suis parano ou on aurait du avoir une security update du dsm pour openssl mais on a toujours rien ?

si tu parles des CVE-2015-3194 et CVE-2015-3195 (les autres ne touchent pas la v1.0.1), elles sont difficilement exploitables et ne présentent que peu de risques sans un accès local => tu es parano

Au passage, j'ai remarqué dans le changelog que les version 0.9.8 et 1.0.0 ne seront plus mise a jours

Pour les prochaine faille de sécurité, ça va être la joie dans pas mal d'administration qui sont toujours sur ses versions.