.Shad. Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 (modifié) Tu devrais regarder dans les logs nginx du NAS, je ne suis pas chez moi donc je ne peux pas vérifier, mais de souvenir ça doit être en SSH dans /etc/nginx/logs ou quelque chose d'approchant. EDIT : ou dans /var/log peut-être, avec DSM 7 beaucoup de logs y ont été rapatriés. Modifié le 22 août 2022 par .Shad. 0 Citer
PiwiLAbruti Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 il y a 39 minutes, _DR64_ a dit : Celui-ci fonctionne depuis le LAN mais pas par VPN. Une idée ? La résolution du nom en VPN pointe bien vers l'adresse IP privée du NAS ? 0 Citer
_DR64_ Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 (modifié) C'est bon avec le sous réseau 10.0.0.0/8 ça fonctionne 😉 Merci ! Je vais même surement voir pour attribué des IPs virtuelles sur la en 192.168.64.201 à 210 ça simplifiera encore plus. Edit : J'ai dis une bêtise ce n'est pas possible de faire ça puisque que je suis sous le même sous réseau que le principal. J'ai donc changé en 10.0.0.0/24 ça fait un peu moins d'IPs et c'est plus propre à mon gout. Merci @.Shad. et @PiwiLAbruti Modifié le 22 août 2022 par _DR64_ 0 Citer
PiwiLAbruti Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 Selon le nombre de clients VPN connectés en simultané, tu peux même descendre sur un /29 (6 adresses disponibles) ou un /30 (2 adresses disponibles). 0 Citer
_DR64_ Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 @PiwiLAbruti : C'est pas faux, je vais descendre à 6 🙂 merci 0 Citer
bibou64 Posté(e) le 19 octobre 2022 Posté(e) le 19 octobre 2022 Hello, Concernant la configuration du firewall, qu'est-ce qui est autorisé précisement dans le screenshot ci-dessous ? Je ne suis pas sur de comprende à quoi correspondent ces plages d'IP. Merci. 0 Citer
Jeff777 Posté(e) le 19 octobre 2022 Posté(e) le 19 octobre 2022 il y a 55 minutes, bibou64 a dit : qu'est-ce qui est autorisé Bonjour, Sont autorisées, dans l'ordre des règles, les requètes provenant: des VPN des container dockers des périphériques de tes réseaux internes En gros tu accèdes à ton nas uniquement en VPN 0 Citer
PiwiLAbruti Posté(e) le 19 octobre 2022 Posté(e) le 19 octobre 2022 il y a une heure, bibou64 a dit : Je ne suis pas sur de comprende à quoi correspondent ces plages d'IP. Les trois réseaux utilisés dans les règles de pare-feu sont des réseaux privés pouvant correspondre aux usages indiqués par @Jeff777. https://fr.wikipedia.org/wiki/Réseau_privé En France, l'écrasante majorité des réseaux locaux configurés par défaut sur les box des opérateurs sont 192.168.0.0/24 ou 192.168.1.0/24, ils appartiennent donc à 192.168.0.0/16 (qu'on pourrait même réduire à 192.168.0.0/23). Tu pourrais finalement désactiver les deux autres règles comportant les réseaux 10.0.0.0/8 et 172.16.0.0/12. Si tu veux approfondir le sujet des adresse IPv4 : https://fr.wikipedia.org/wiki/Adresse_IP Ce tutoriel commence à dater et ne tient pas compte d'IPv6 alors qu'il est utilisé chez tous les opérateurs et est bien moins prise de tête qu'IPv4. Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6). 1 Citer
Jeff777 Posté(e) le 19 octobre 2022 Posté(e) le 19 octobre 2022 il y a 36 minutes, PiwiLAbruti a dit : Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6). J'ai également fc00::/7 mais j'avoue ne plus savoir à quoi ça correspond 🙄 0 Citer
oracle7 Posté(e) le 19 octobre 2022 Posté(e) le 19 octobre 2022 @Jeff777 Bonjour, Regardes le tableau d'adressage IPv6 du lien wiki sur les adresses fourni précédemment par @PiwiLAbruti Cordialement oracle7😉 1 Citer
PiwiLAbruti Posté(e) le 19 octobre 2022 Posté(e) le 19 octobre 2022 fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné qu'il est utilisé dans des configurations professionnelles/spécifiques. Tu peux donc retirer la règle qui l'utilise. Pour information fe80::/10 est l'équivalent de 169.254/16 (adresses automatiques non routable). 3 Citer
bibou64 Posté(e) le 6 novembre 2022 Posté(e) le 6 novembre 2022 Hello à tous, J'ai appliqué les rules recommandées par le firewall, mais j'obtiens ceci comme alerte. Faut-il bien ajouter ces exceptions ? Merci. 0 Citer
manitou153 Posté(e) le 21 janvier 2023 Posté(e) le 21 janvier 2023 Bonjour à tous Quelqu'un peut-il m'éclairer sur la configuration du pare-feu SVP ? J'ai configuré l'interface LAN1 pour qu'elle n'accepte les requêtes que du réseau local et refuse tout le reste. Il n'y a rien de configuré dans les autres interface. J'ai un VPN mais il est déconnecté. Et pour autant je ping et curl encore google depuis un terminal connecté en SSH à mon NAS. J'ai une box Orange derrière mon NAS. Merci pour votre aide. 0 Citer
.Shad. Posté(e) le 21 janvier 2023 Posté(e) le 21 janvier 2023 (modifié) Le pare-feu de DSM ne bloque que les connexions entrantes. Le NAS lui peut accéder à tout ce qu'il veut, il ne filtre rien en sortie, c'est le comportement par défaut pour tous les pare-feu, c'est plus souvent dans les entreprises ou sur les hotspots publics que tu trouveras du filtrage en sortie. Vu que tu inities le ping depuis le NAS, ça fonctionne, car le tunnel est établi entre ton NAS et ta destination. Modifié le 21 janvier 2023 par .Shad. 0 Citer
manitou153 Posté(e) le 21 janvier 2023 Posté(e) le 21 janvier 2023 Merci @.Shad. c'est très clair. Je n'avais pas en tête que quand tu es à l'initiative de la connexion, le retour était possible. 0 Citer
Dimebag Darrell Posté(e) le 22 février 2023 Posté(e) le 22 février 2023 Bonjour tout le monde, Avez vous déjà entendu parler de ceci : CSP Wildcard Directive Application Error Disclosure CSPstyle-src unsafe-inline En attendant de vous lire, Merci 0 Citer
oracle7 Posté(e) le 22 février 2023 Posté(e) le 22 février 2023 @Dimebag Darrell Bonjour, Quel rapport avec la sécurité d'un NAS Synology ??? Rien que CSP , sauf erreur de ma part, est relatif la sécurité d'un site Web : https://developer.mozilla.org/fr/docs/Web/HTTP/CSP Cordialement oracle7😉 0 Citer
Dimebag Darrell Posté(e) le 22 février 2023 Posté(e) le 22 février 2023 J'ai effectué un test de vulnérabilité et j'ai eu ces 3 points qui ont été remontés suite au test (https://hostedscan.com/) 0 Citer
PiwiLAbruti Posté(e) le 22 février 2023 Posté(e) le 22 février 2023 Les erreurs CSP sur un domaine wildcard sont souvent causées par le chargement de ressources externes (images, scripts, feuilles de style, ...) avec un sous-domaine différent de celui du site, comme par exemple un site www.domain.tld qui chargerait du contenu externe depuis static.domain.tld. Il y a plusieurs façons de résoudre/contourner cette anomalie (facilement trouvable via un moteur de recherche). Hors-sujet Le but de ce type de site, comme beaucoup d'autres qui pullulent depuis quelques années, est d'établir des rapports de l'état de santé d'internet en générant des statistiques d'accessibilité et de vulnérabilité. Ce sont des données qui se vendent très bien actuellement. La déclaration de confidentialité de ce site est peu bavarde à ce sujet, on vous promet seulement que les données sont chiffrées, que les clauses avec les tiers (dont les hébergeurs) sont très strictes, … bref, que vos données sont sécurisées. Pour le reste, c'est à vous d'évaluer où vous placez le curseur de confiance. Sur ce type de site prétendant faire de gentils scans sur les adresses qui lui sont fournies en toute confiance par ses visiteurs (désolé, je n'arrive pas le tourner la phrase autrement sans montrer que ça sent mauvais), il y a très souvent une liste des adresses IP des serveurs depuis lesquels les scans sont effectués. Dans le cas présent : https://help.hostedscan.com/help/what-ip-addresses-are-used-for-the-hostedscan-vulnerability-scanners Le domaine scanners.hostedscan.com se résout en 70 adresses IP (une seul adresse en Hollande, tout le reste est aux USA chez Akamai et Amazon). Si le scan réussit, ça veut surtout dire que le NAS est ouvert à toutes ces adresses impliquant éventuellement un défaut de configuration du pare-feu (une limitation géographique étant le minimum). 0 Citer
ers31 Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 bonjour à tous, j'avais suivi le tuto (1er message) l'installation de mon nas, il y a quelques années. Est ce que le tuto a été mis à jour depuis ? En gros est ce que je relis / vérifie tout pour être certain que rien n'a bougé et que mon NAS est toujours aussi bien sécurisé ? 0 Citer
Mic13710 Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 Le tuto date de 2016. Il n'y a pas eu de maj depuis. Néanmoins, à quelques détails près, il est toujours d'actualité. 1 Citer
ers31 Posté(e) le 3 mars 2023 Posté(e) le 3 mars 2023 @Mic13710ok je te remercie donc je suis toujours bon sur ma configuration. Merci d'avoir pris le temps de me répondre. 0 Citer
Fidjial Posté(e) le 22 avril 2023 Posté(e) le 22 avril 2023 Bonjour à tous J'ai bien suivi les tutos et tout se passait bien pour les accès en local et à distance mais depuis quelques jours, je n'accède plus au Nas à distance (DSM, calendriers, contacts, mails...). Après quelques tests, je viens de comprendre que c'est le pare-feu qui bloque l'accès : si je le désactive, l'accès distant est correct. Plus précisément la dernière ligne : Tous qui est habituellement sur Refuser bloque tout ; j'ai mis sur Autoriser pour retrouver l'accès. Qu'est-ce qui peut expliquer cela et comment résoudre ce problème soudain ? Merci par avance 😀 Capture d’écran 2023-04-22 à 12.31.57.pdf 0 Citer
Mic13710 Posté(e) le 22 avril 2023 Posté(e) le 22 avril 2023 En clair, votre parefeu est non seulement une vraie passoire, mais cet aussi le bazar de l’hôtel de ville. Il y a pléthore de règles ouvertes aux quatre vents (pas de limitations géographiques) dont on ne sait pas ce quelles protègent, mais qui auraient pu aisément être combinées en une seule. Si vos accès extérieurs ne fonctionnent pas avec la règle de blocage en bas de page, c'est que votre parefeu fait son travail c'est à dire qu'il ne rencontre pas de règle qui autorise le trafic. Vérifiez que les ports des applications que vous voulez atteindre sont bien autorisés. 0 Citer
Fidjial Posté(e) le 23 avril 2023 Posté(e) le 23 avril 2023 Merci pour ces précieux conseils. J'ai remis un peu d'ordre dans le bazar, je pense, et j'ai trouvé la raison de l'accès impossible : il manquait des règles (encore) pour HTTP/S et reverse proxy et l'interface DSM. Configuration pare-feu.pdf Il y a 13 heures, Mic13710 a dit : Il y a pléthore de règles ouvertes aux quatre vents (pas de limitations géographiques) dont on ne sait pas ce quelles protègent, mais qui auraient pu aisément être combinées en une seule. D'accord, comment améliorer cette configuration alors ? Merci encore 😀 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.