Aller au contenu

[Tuto] Reverse Proxy

Kawamashi

Par Kawamashi
dans Tutoriels

 Partager

Messages recommandés

Diabolomagic Contributor

Diabolomagic

Posté(e)
Posté(e) (modifié)

@oracle7

En fait ils sont remplis avec 5000 et 5001, je ne faisais qu'essayer de suivre le conseil de Jeff777.

Par contre, dans domaine je n'ai rien renseigné. Qu'est ce que cela m'apporterait si je le renseigné avec *.synology.me ?

 

EDIT : A une minute prêt j'ai bien l'impression que MilesTeg1 s'est posé la même question, lol

Modifié par Diabolomagic
0
Lien vers le commentaire
Partager sur d’autres sites
  • Réponses 1.8 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Kawamashi
Kawamashi

Bonjour tout le monde,   J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter

.Shad.
.Shad.

Parce que chez toi, de ce que j'en déduis, c'est que NAS1 correspond à la page de login de NAS1, pareil pour NAS2 et NAS3. Donc là tu fais appel au backend, une application, en l'occurrence le bu

oracle7
oracle7

@Diabolomagic Bonjour, Juste un truc à propos du HSTS, c'est est une option pas du tout recommandée (voir le TUTO ReverseProxy) car c'est le navigateur qui enregistre cette information pour

Images postées

oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@MilesTEG1

Bonjour,

C'est l'URL "nas.ndd.tld" que j'utilise ensuite pour mes connexion depuis par exemple les applications DS xxx (avec le port 443 en plus).

Depuis un navigateur web (en local et depuis l'extérieur), j'utilise "dsm.ndd.tld" ce qui me permet de passer par le reverse proxy avec en plus un profil d'accès restrictif (LAN IP restreintes à mon PC et pour depuis l'extérieur VPN obligatoire par exemple) afin se sécuriser encore plus cet accès direct au NAS depuis l'extérieur.

Cordialement

oracle7😉

@Diabolomagic

il y a 20 minutes, Diabolomagic a dit :

Qu'est ce que cela m'apporterait si je le renseigné avec *.synology.me ?

Si tu restes dans la logique expliquée précédemment avec du nas.synology.me et du dsm.synology.me alors normalement pas de soucis.

Cordialement

oracle7😉

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites
MilesTEG1 Veteran

MilesTEG1

Posté(e)
Posté(e)
il y a 10 minutes, oracle7 a dit :

C'est l'URL "nas.ndd.tld" que j'utilise ensuite pour mes connexion depuis par exemple les applications DS xxx (avec le port 443 en plus).

Depuis un navigateur web (en local et depuis l'extérieur), j'utilise "dsm.ndd.tld" ce qui me permet de passer par le reverse proxy avec en plus un profil d'accès restrictif (LAN IP restreintes à mon PC et pour depuis l'extérieur VPN obligatoire par exemple) afin se sécuriser encore plus cet accès direct au NAS depuis l'extérieur.

@oracle7 es-tu sûre que c'est nécessaire ? Car j'arrive bien à accéder à mes services via les appli mobiles avec les noms de domaines qui passent par le reverse-proxy...
Du coup je comprends pas cette option...

0
Lien vers le commentaire
Partager sur d’autres sites
Diabolomagic Contributor

Diabolomagic

Posté(e)
Posté(e)
il y a 1 minute, MilesTEG1 a dit :

@oracle7 es-tu sûre que c'est nécessaire ? Car j'arrive bien à accéder à mes services via les appli mobiles avec les noms de domaines qui passent par le reverse-proxy...
Du coup je comprends pas cette option...

Même situation, tout est fonctionnel et pourtant ce champ est vide.

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@MilesTEG1

Bonjour,

En fait, je m'aperçois que ma configuration avec ce champ renseigné date de mes errements initiaux lorsque j'ai suivi le TUTO de sécurisation et qu'à l'époque je n'utilisais pas encore le reverse proxy. C'est resté comme cela.

La mise en place et l'utilisation du reverse proxy par la suite m'a conduit à appliquer la nuance que j'ai décrite précédemment par rapport aux URL utilisées.

Maintenant, je n'ai aucun soucis comme cela et cela ne me dérange aucunement. Mais, si pour toi cela fonctionne sans ce champ, alors ne changes rien.

Cordialement

oracle7😉

0
Lien vers le commentaire
Partager sur d’autres sites
Jeff777 Veteran

Jeff777

Posté(e)
Posté(e)

 @oracle7 je ne suis pas tout à fait sûr de moi mais il me semble que dans le dernier panneau c'est 80 et 443 qu'il faut mettre. Ceci afin d'avoir des liens compatibles du reverse proxy dans Drive.

Si quelqu'un pouvait confirmer car c'est bien ce que j'ai chez moi et cela fonctionne.

0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e)

@Jeff777

Bonjour,

Pas de soucis pour que cela marche avec les ports 80 et 443 désignés en ports standards du NAS, tu aurais aussi bien mettre par ex 52764 et 46392 que cela aurait aussi fonctionné.

Juste ce qui m'interpelle c'est que le port 80 est le port par défaut et essence, de tout ce qui circule sur internet en HTTP alors du coup mettre ce port 80 pour accéder au NAS qui reste de toutes façons un équipement très particulier pour lequel l'on s'efforce de sécuriser au maximum ses accés, est juste pas forcément très approprié à mon humble avis. Mais cela n'engage que moi.

A ce moment là, la logique de restreindre  l'accès au NAS via un port spécifique peut paraître alors simplement un peu plus sécure qu'un port ouvert aux quatre vents comme le port 80. Le raisonnement est aussi valable pour le port 443 même si celui-ci est par essence lui, dédié aux communications sécurisées SSL et cryptées TLS sur HTTPS. Mais ce n'est que mon avis.

Du coup, quitte à cacher les ports 5000 et 5001 on pourrait se dire : autant alors prendre des ports "éxotiques" a priori plus difficile à deviner pour un malveillant. Mais là, de toutes façon avec un simple "nmap" on peut facilement savoir quels sont les ports utilisés par le NAS. Donc quel bénéfice en fin compte ...

C'est justement  @Mic13710 qui a dit aussi dans un autre fil, je le cite :

Citation

Il est en effet inutile de changer les ports par défaut. Ce qu'il faut soigner, ce sont les protections des accès. Mais rien ne vous empêche de le faire si vous pensez que c'est bien. L'utilité est franchement questionnable car si vous faites une commande « nmap » sur votre IP publique, vous verrez en quelques secondes tous les ports accessibles depuis chez le lieu de la commande, donc que DSM soit sur le port 5000 ou 57485, cela ne change rien. Une commande « curl » renseignera également directement sur le contenu de la page renvoyée par votre @IP sur ce port. Donc aucun intérêt, mais ce n’est que mon avis …

Là pour le coup, c'est un argumentaire imparable !!! Rester dans le standard est finalement plus simple pour l'utilisation courante sous réserves de prendre toutes les dispositions annexes pour limiter et filtrer les accès.

Cordialement

oracle7😉

 

1
Lien vers le commentaire
Partager sur d’autres sites
dany25 Newbie

dany25

Posté(e)
Posté(e) (modifié)

Oui je viens de voir ta réponse oui, c'est sûr que finalement tout cela n'est finalement pas top ! 😀

Bon j'y suis arrivé sauf que let's encrypt me dit que j'ai dépassé le nombre autorisé ... 🙂 
mis à part cela Je trouve cela intéressant, puis-je faire un dossier unique avec un mot de passe unique pour par exemple le partager seulement ce dossier avec une personne sans que cette personne n'est acces a mon nas complet. Ou je dois-je faire cela directement dans l'application drive ou file station ?

Capture d’écran 2021-02-23 à 17.17.21.png

Capture d’écran 2021-02-23 à 17.36.26.png

Modifié par dany25
0
Lien vers le commentaire
Partager sur d’autres sites
oracle7 Grand Master

oracle7

Posté(e)
Posté(e) (modifié)

@dany25

Bonjour,

Il y a 2 heures, dany25 a dit :

par exemple le partager seulement ce dossier avec une personne sans que cette personne n'est acces a mon nas complet.

Je crois que le plus simple est que tu crées sur ton NAS un utilisateur spécifique pour cette personne et que tu donnes les droits d'accès au dossier partagé de ton choix à cet utilisateur et que enfin tu lui refuses tout le reste.

Cela se passe dans "Utilisateur / Modifier / Permissions".

Mais attention, là on devient HS du présent sujet.

PS Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

Modifié par oracle7
0
Lien vers le commentaire
Partager sur d’autres sites
dany25 Newbie

dany25

Posté(e)
Posté(e)

Bonjour a tous,

Quand j'essaye de me connecter à mon interface générale avec mon adresse de chez OVH a la place de mon IP j'ai cette page. Après si je me connecte avec mon adresse OVH a "mes documents" par exemple cela fonctionne.
Pourquoi l'adresse OVH  ne fonctionne pas pour l'interface générale ?

Bonne journée

Capture d’écran 2021-03-02 à 08.39.46.png

0
Lien vers le commentaire
Partager sur d’autres sites
.Shad. Grand Master

.Shad.

Posté(e)
Posté(e) (modifié)

D'accord, mais c'est quoi ce port 1414 ? Ca n'a pas beaucoup de sens si tu utilises un proxy inversé, à moins qu'il n'écoute sur ce port-là, mais ce serait quand même exotique.

Je t'invite à relire le tutoriel, et à nous faire des impressions d'écran de :

- tes redirections au niveau de la box
- tes règles de pare-feu
- les ports utilisés pour les applications Synology (Portail des applications)
- les entrées de proxy inversé (Portail des applications -> Proxy inversé)
- le contenu de l'entrée de proxy inversé correspondant à DSM

Modifié par .Shad.
0
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.