Aller au contenu

Plus d'accès au SFTP


PPORCH3

Messages recommandés

Salut,

J'ai un DS218play que j'ai passé en DSM 7 et ai changer de box internet, depuis ce moment j'ai n'ai plus accès à mon NAS en SFTP auriez-vous une idée d'où pourrait provenir le problème ?

Quand je suis en local RAS mais depuis l'extérieur cela ne passe pas :

- Ma Box redirige bien le port STFP Interne 22 vers le port externe : 4826 en TCP et j'ai bien activé le SMTP sur mon Nas et mis le port 4826,
- Quand je test le SSH a distance cela fonctionne sans problème (comme le reste, plex, ds file, ...).

Je ne vois pas d'où peux venir le problème ayant l'impressions que tout est OK et comme avant (même si je suppose qu'il s'agit d'un truc "à la con").

Je vous remercie d'avance.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
  • 4 semaines après...
Le 30/09/2022 à 22:41, bliz a dit :

justement, le port n'est pas sélectionné, la copie d'écran que j'avais fait montrait que je ne l'avais pas ouvert, voici quand on ouvre le vpn et le ftp de la façon que c'est indiqué

9cui.png

je vous conseille de lire attentivement ce tuto

 

Bonjour,

Voici mon pare feu,  @.Shad. et le port est le 4826.

image.thumb.png.3e35afd02b033c431410eceb533e7c78.png

Et sur la box internet j'ai bien fait le port forwarding image.png.9c4a7f8148db3159b1620ce6aefa06e5.png

Je vais re regarder le tuto au cas ou 😉

Merci à vous deux 😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

Moi je le comprends dans l'autre sens, le port 22 de la box est NATé sur le port 4826 du NAS.
Du coup @PPORCH3 est-ce que tu as bien modifié le port SFTP dans DSM :

port_sftp_dsm.png

Et est-ce que tu as modifié le port SSH ?

Il y a des redondances dans ton pare-feu, ce qui pourrait être OK s'il t'arrive de désactiver la règle Tous Tous France Autoriser, sinon un petit nettoyage serait utile.

Quel est l'intérêt par contre de caler SFTP sur un autre port que 22 ? Car de toute façon, c'est le port 22 de la box que tu utilises.

Lien vers le commentaire
Partager sur d’autres sites

@.Shad. @bliz Alors le truc c'est que quand je mettais sur le port 22 ma box (en externe) j'avais beaucoup (beaucoup) de tentative de connexion donc je l'ai remplacer par le 4826 et le problème était résolu et tout marchait interne ou externe.

Mais quand je suis passé sous DSM7 l'externe ne marchait plus.

 

Donc normalement cela devrait être : Je me connecte depuis internet sur ma box avec le port 4826, ma box le transmet vers le 22 pour que le nas comprennent (et me laisse passer).

Dans DSM j'ai mis aussi 4826 mais du coup j'ai comme l'impression que c'est pas logique 😅

image.png.0de7bcecb9af9a952650d4b2877981ec.png

Et pour le nettoyage de mon pare-feu je suis preneur des erreur que j'ai fait 😉

 

Et pour SSH :

image.png.6a5a6f3c73f27ae94d24790f91296ed2.png

 

 

Modifié par PPORCH3
Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, bliz a dit :

oui, mais le parefeu du nas est en 4826 au lieu de 22, c'est pour cela que ça ne fonctionne pas, le perefeu te coupe la liaison sftp

Le pare-feu autorise justement le 4826 non ? \/ Comme je n'ai plus renseigner nul part le 22 je vois pas le problème 😅

image.thumb.png.2b83bb8a579bc7cf3a1eea9df7a8871f.png

Lien vers le commentaire
Partager sur d’autres sites

Je ne suis pas sûr que factuellement, DSM puisse avoir SFTP activé et SSH désactivé.

Dans l'absolu c'est faisable et ça se configure dans le fichier sshd_config dans /etc, mais je ne sais pas si DSM le fait réellement.

Si SSH est exposé et activé sur le port 4826 sur le NAS, est-ce que ça fonctionne ?

Pour ton pare-feu, comme je disais plus haut, si tu autorises toutes les connexions françaises sur tous les ports, à quoi servent tes premières règles ?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

Je ne suis pas sûr que factuellement, DSM puisse avoir SFTP activé et SSH désactivé.

Dans l'absolu c'est faisable et ça se configure dans le fichier sshd_config dans /etc, mais je ne sais pas si DSM le fait réellement.

Si SSH est exposé et activé sur le port 4826 sur le NAS, est-ce que ça fonctionne ?

Pour ton pare-feu, comme je disais plus haut, si tu autorises toutes les connexions françaises sur tous les ports, à quoi servent tes premières règles ?

Pour le SSH j'ai suivie ce que vous aviez mis plus haut et l'ai désactivé.

Je viens de le réactivé et de le mettre en 4826 aussi mais pareil ça passe pas.

Ok pas faux je vais décochez les premières.

image.thumb.png.c59ba72ae55345381a6a048d423e3822.png

Avec et sans SSH sur le 4826 cela ne marche pas.

Lien vers le commentaire
Partager sur d’autres sites

Donc tu confirmes que :

  • sur la box : 4826 redirigé vers le 4826 du NAS
  • sur le NAS, le service SSH est activé sur le port 4826
  • sur le NAS, le SFTP est activé sur le port 4826

Est-ce que tu utilises une connectivité IPv6 par hasard ?

Tu peux vérifier ton IP via https://ip.lafibre.info

Lien vers le commentaire
Partager sur d’autres sites

Le 08/10/2022 à 15:47, .Shad. a dit :

Donc tu confirmes que :

  • sur la box : 4826 redirigé vers le 4826 du NAS
  • sur le NAS, le service SSH est activé sur le port 4826
  • sur le NAS, le SFTP est activé sur le port 4826

Est-ce que tu utilises une connectivité IPv6 par hasard ?

Tu peux vérifier ton IP via https://ip.lafibre.info

Alors :

- Oui

- Oui

- Oui

Elle était activé (même si j'en ai pas spécialement besoin), j'ai essayé en l'a désactivant mais pareil.

Lien vers le commentaire
Partager sur d’autres sites

Et tes autres redirections de port fonctionnent ? En l'état, si tout ce que tu dis est vrai, je sèche.

Seule hypothèse restante pour moi, ton FAI t'a attribué une IP partagée et le port 4826 ne fait pas partie de ceux disponibles. Essaie peut-être la même chose avec le port disons 54826.

Lien vers le commentaire
Partager sur d’autres sites

il y a 45 minutes, .Shad. a dit :

Et tes autres redirections de port fonctionnent ? En l'état, si tout ce que tu dis est vrai, je sèche.

Seule hypothèse restante pour moi, ton FAI t'a attribué une IP partagée et le port 4826 ne fait pas partie de ceux disponibles. Essaie peut-être la même chose avec le port disons 54826.

J'en ai marre de moi...

En regardant le tableau sur la box du NAT/PAT j'ai reregarder mon WOL qui n'a jamais eu de problème j'ai (re)vu que j'utilisé un DDNS.

Et dans l'appli (sur mon tel) du coup en remplacent mon adresse Synology (par le DDNS) ça à marcher, donc je vous ai fait perdre votre temps pour rien je suis vraiment désolé du dérangement...

 

Lien vers le commentaire
Partager sur d’autres sites

Essaie déjà de désactiver SSH pour voir si SFTP fonctionne toujours.
Et de deux, le compte admin doit impérativement être désactivé, c'est l'étape n°1 maintenant quand tu réinstalles DSM.
Car forcément tu auras des bots qui testeront de se logger sur un compte "admin" ou "root".
Et ce qui pose problème dans ton pare-feu c'est surtout l'ouverture de ton NAS à la France entière, faut pas croire que des bots il n'y en a pas en France, et qu'il n'y en a que dans les pays dont tu as refusé les connexions. 🙂 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, .Shad. a dit :

Essaie déjà de désactiver SSH pour voir si SFTP fonctionne toujours.
Et de deux, le compte admin doit impérativement être désactivé, c'est l'étape n°1 maintenant quand tu réinstalles DSM.
Car forcément tu auras des bots qui testeront de se logger sur un compte "admin" ou "root".
Et ce qui pose problème dans ton pare-feu c'est surtout l'ouverture de ton NAS à la France entière, faut pas croire que des bots il n'y en a pas en France, et qu'il n'y en a que dans les pays dont tu as refusé les connexions. 🙂 

Oui ça c'est bon, je l'ai remis en 22 et désactivé.

Le compte Admin est déjà désactivé pourtant.

Ducoup tu me conseille de supprimer celle-ci ? image.png.aa062530a8c66abd575df4bcd077f02c.png

Lien vers le commentaire
Partager sur d’autres sites

Non, je te conseille de poser sur le papier dans un premier temps ce que tu veux faire.
Un pare-feu travaille de façon séquentielle, l'ordre a une importance ; supposons que tu essaies d'accéder à Plex depuis la France, la connexion va être autorisée par la règle n°1, mais supposons que cette règle n'existe pas, l'accès sera quand même autorisé par la règle que tu as encadrée. Or, un pare-feu ne doit idéalement pouvoir répondre positif à plusieurs lignes, mais à une seule.

Est-ce que Plex et SSH sont les seuls services que tu exposes publiquement ?

Si oui, tu peux supprimer cette règle, et interdire tous les pays en dernière règle à la place des pays dits "dangereux". Ainsi, si un accès doit se faire, il doit être autorisé avant cette dernière règle, qui s'assurera que tout ce qui n'a pas été autorisé auparavant sera interdit.

Mais si tu utilises un VPN, ou un proxy inversé, il te faudra intercaler des règles supplémentaires.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

il y a 41 minutes, .Shad. a dit :

Non, je te conseille de poser sur le papier dans un premier temps ce que tu veux faire.
Un pare-feu travaille de façon séquentielle, l'ordre a une importance ; supposons que tu essaies d'accéder à Plex depuis la France, la connexion va être autorisée par la règle n°1, mais supposons que cette règle n'existe pas, l'accès sera quand même autorisé par la règle que tu as encadrée. Or, un pare-feu ne doit idéalement pouvoir répondre positif à plusieurs lignes, mais à une seule.

Est-ce que Plex et SSH sont les seuls services que tu exposes publiquement ?

Si oui, tu peux supprimer cette règle, et interdire tous les pays en dernière règle à la place des pays dits "dangereux". Ainsi, si un accès doit se faire, il doit être autorisé avant cette dernière règle, qui s'assurera que tout ce qui n'a pas été autorisé auparavant sera interdit.

Mais si tu utilises un VPN, ou un proxy inversé, il te faudra intercaler des règles supplémentaires.

En fait à part le SFTP, accéder à DSM depuis l'extérieur, DS File/Photo et Plex je pense pas avoir besoin d'autre chose.

Et j'utilise aussi Synology Mail Server pour envoyer des mails.

Et non pas de VPN, etc...

Donc normalement si je supprime cette règle, que j'ajoute le truc pour DSM, DS File/Photo je suis plus censé avoir de tentative de connexion car tout sera bloqué ?

Et pour le pare-feu je ne peux pas mettre plus que 15 pays donc je suppose qu'il faudrait faire ça :image.png.b2c4c72ed5b2490efa18e401ab925dce.png

Modifié par PPORCH3
Lien vers le commentaire
Partager sur d’autres sites

Le 11/10/2022 à 11:41, PPORCH3 a dit :

DS File/Photo

Si tu y accèdes depuis DSM il te suffit d'ouvrir le port 5001 et associer un certificat valide à DSM.
Mais je te conseille plutôt d'utiliser un proxy inversé si tu exposes ton NAS publiquement, voir le tutoriel :

Le 11/10/2022 à 11:41, PPORCH3 a dit :

Et pour le pare-feu je ne peux pas mettre plus que 15 pays donc je suppose qu'il faudrait faire ça :

Oui c'est bien ça. Toutes les autorisations doivent être placées avant cette règle qui met fin à toute possibilité d'intrusion.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 13/10/2022 à 08:48, .Shad. a dit :

Si tu y accèdes depuis DSM il te suffit d'ouvrir le port 5001 et associer un certificat valide à DSM.
Mais je te conseille plutôt d'utiliser un proxy inversé si tu exposes ton NAS publiquement, voir le tutoriel :

Oui c'est bien ça. Toutes les autorisations doivent être placées avant cette règle qui met fin à toute possibilité d'intrusion.

Nickel je te remercie, en mettant la règle de refus global je n'ai plus de tentative de connexion.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.