Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Les règles sont lues de la première à la dernière. Tant qu'une règle n'est pas applicable, le parefeu continu la lecture, jusqu'à la dernière règle. Si cette dernière ne bloque pas tout le trafic, alors le parefeu laissera passer tout ce qui n'a pas été autorisé précédemment. D'où l'importance de cette dernière règle. D'où l'importance aussi de placer les nouvelles règles AVANT celle-ci, faute de quoi elles ne seront pas lues.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, 

Merci pour le tuto mais je dois bien admettre que je nage complètement.

  1. qu'est ce qui fait que le NAS est accessible depuis l'extérieur ? Pour l'instant quand je veux utiliser une iApp sur IOS depuis l'extérieur, je n'ai pas d'accès.
  2. je n'ai pas ouvert de port et pourtant quand je fais un scan sur l'IP du NAS, depuis mon mac sur le même réseau donc, j'ai ces ports qui apparaissent comme ouvert. Est-ce bien raisonnable et utile : 

    Open TCP Port: 80     http

    Open TCP Port: 443    https

    Open TCP Port: 548    afpovertcp

    Open TCP Port: 1852   virtual-time

    Open TCP Port: 3261   winshadow

    Open TCP Port: 3263   ecolor-imager

    Open TCP Port: 3264   ccmail

    Open TCP Port: 3493   nut

    Open TCP Port: 3689   daap

    Open TCP Port: 4662   oms

    Open TCP Port: 5000   commplex-main

    Open TCP Port: 5001   commplex-link

    Open TCP Port: 5566   udpplus

    Open TCP Port: 6011

    Open TCP Port: 6690

    Open TCP Port: 32400

    Open TCP Port: 32469

    Open TCP Port: 49170

    Open TCP Port: 50001

    Open TCP Port: 50002

Merci d'avance pour votre aide précieuse !

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Chris_B a dit :

qu'est ce qui fait que le NAS est accessible depuis l'extérieur ?

Les ports externes redirigés vers le NAS.

Et pour les ports ouverts du NAS, si vous avez bien rempli le parefeu avec les règles de base, c'est tout à fait normal puisque ces premières règles autorisent tout le trafic sur votre réseau privé sans restriction.

Lien vers le commentaire
Partager sur d’autres sites

Donc ces ports sont ouverts uniquement en interne ?

Je n'ai rien ouvert pour l'instant dans le router.

J'ai juste activer le parefeu mais je n'y ai pas saisi de règles.

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
Lien vers le commentaire
Partager sur d’autres sites

En fait dans le parefeu le profil est celui par defaut. Ce qui explique, j'imagine, tous ces ports ouverts ?

 

Ce que je comprends pas dans le tuto des règles c'est :

  1. à quoi correspondent dans mon réseau les adresse ip 10.0.0.0, 172.16.0.0 et 192.168.0.0 ? Cela comprend automatiquement les ip suivantes ?
  2. pourquoi les ports sont sur TOUS ?
Lien vers le commentaire
Partager sur d’autres sites

Il n'y a pas de profil par défaut. La liste est vide au départ. S'il y a des règles enregistrées, c'est que vous avez installé des paquets qui ont eux mêmes créé leurs règles.

Tous les ports sont ouverts parce que vous n'avez pas encore mis de règle de blocage. Relisez le tuto de Fenrir sur ce point.

Lien vers le commentaire
Partager sur d’autres sites

Disons que Fenrir a fait le tuto large pour "tout le monde" et toutes les plages possibles. Au moins un débutant est sûr d'avoir la bonne plage d'autorisé et ne se pose pas la question de savoir si il aura la même configuration que son routeur.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

merci @fenrir pour ce tuto. j'ai pas tout pris en compte mais c'est bien de passer les themes /zone de paramétrage en revue et de se reposer les bonnes questions avec 'security' en tete. .

Lien vers le commentaire
Partager sur d’autres sites

Le 01/12/2016 à 19:33, Fenrir a dit :

ex04.png

Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas.

Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...).

 

Salut,
Je viens d'activer mon reverse proxy (ça fonctionne pico bello 😉 )et pour le partage j'ai donc appliqué la recommandation de vider ces champs.
Et bien chez moi, le partage ne fonctionn eplus.
Mais en mettant dans le <Nom d'hôte ou IP statique> la valeur que j'ai entrée dans mon reverse proxy pour accéder à mon DSM ça fonctionne.

Serait-ce lié aux dernières mises à jour de DSM ?

Lien vers le commentaire
Partager sur d’autres sites

En omettant les ports, ce sont les 5000 et 5001 qui sont utilisés. Comme j'utilise le serveur DNS avec le reverse proxy et que je ne passe que par le 443 pour mes accès externes, ça permet d'avoir des liens de partage plus propres (sans indication de port). Les 5000 et 5001 ne sont utilisés qu'en interne pour accéder au DSM.

Lien vers le commentaire
Partager sur d’autres sites

Il y a tellement de combinaisons de conf (avec ou sans DNS, avec ou sans netbios, avec ou sans reverse proxy, avec ou sans les ports par défaut, avec ou sans QC, avec ou sans VPN, ...) que je ne peux pas gérer tous les cas de figure 😛

=>l'important c'est de comprendre la portée des réglages et de savoir qu'ils existent en cas de problèmes 🙂

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.