Equivalent reverse proxy pour smb

[MagJ]

Bonjour !

J'ai changé le port public de SMB sur deux de mes trois NAS suite à des tentatives de connexion incessantes sur le 445 par défaut. Tentatives qui échouent car sur SMB1, mais ça ne fait pas propre dans les journaux ! 😉

Pour simplifier la vie de mes utilisateurs, je voudrais avoir le même fonctionnement qu'avec un reverse-proxy : si ils tapent smb://smb.monndd.fr, ils arrivent automatiquement sur le port qui va bien sur le NAS.

J'ai fait un test par acquis de conscience, mais le reverse proxy ne gère que du HTTP (ou alors j'ai raté quelque chose ?). Du coup, ma configuration est-elle possible à mettre en place et si oui, comment ?

[.Shad.]

Salut, non ce n'est pas possible par un proxy inversé.
Si je comprends bien, tu exposes publiquement le port SMB de ton NAS ? Ce n'est pas une bonne pratique.

Si tu veux partager l'accès à un dossier partagé, tu peux utiliser le protocole WebDAV qui est fait pour ça, et qui permet de monter un lecteur réseau distant directement depuis l'explorateur Windows par exemple. WebDAV est disponible dans DSM, et peut écouter sur un port sécurisé.

L'autre solution c'est que tes utilisateurs utilisent un serveur VPN (paquet proposé par DSM également) pour se connecter aux dossiers partagés de ton NAS comme s'ils étaient sur le réseau local. Mais c'est plus contraignant pour les utilisateurs, et un peu plus complexe à mettre en place de ton côté.

Je recommanderais dans un premier temps l'utilisation de WebDAV : https://kb.synology.com/fr-fr/DSM/tutorial/How_to_access_files_on_Synology_NAS_with_WebDAV

[MagJ]

Il y a 16 heures, .Shad. a dit :

Si je comprends bien, tu exposes publiquement le port SMB de ton NAS ? Ce n'est pas une bonne pratique.

Justement, non : j'expose un port autre qui est redirigé par le routeur (NAT) sur le 545 du NAS. C'est la contrainte de devoir ajouter le port à la fin du chemin que je voudrais enlever à mes utilisateurs et pouvoir surtout changer le port public comme ça me chante (par exemple s'il est attaqué à son tour).

 

Il y a 16 heures, .Shad. a dit :

Si tu veux partager l'accès à un dossier partagé, tu peux utiliser le protocole WebDAV

J'ai regardé le lien. Ça pourrait être très intéressant effectivement car, du coup, je pourrais faire du reverse proxy. J'avoue que je n'avais pas du tout pensé à WebDAV ! Jusqu'à maintenant, mes utilisateurs (internes et externes) étaient en AFP. Je suis en train de passer tout le monde en SMB suite à l'abandon annoncé d'AFP par Apple soi-même.

La gestion des droits est propre avec WebDAV ? Quel est l'avantage (ou l'inconvénient) par rapport à SMB ?

[.Shad.]

@MagJ Je ne connais pas en détail le protocole, mais je sais que SMB est mal optimisé pour une utilisation distante, car pas prévu pour initialement. WebDAV permet également d'utiliser la corbeille des dossiers partagés. Comme tu le dis, WebDAV peut transiter par le proxy inversé.

Il est intégré nativement dans Windows et macOS. Il existe aussi des applications dédiées qui permettent une configuration plus poussée. C'est un paquet Synology donc peu de chance qu'il disparaisse du jour au lendemain.

Le fait de décaler le port au niveau du routeur ne te protège pas des masses, à peine un peu plus si tu as décalé sur un port non réservé (49152–65535).

[MagJ]

Il y a 6 heures, .Shad. a dit :

Le fait de décaler le port au niveau du routeur ne te protège pas des masses, à peine un peu plus si tu as décalé sur un port non réservé (49152–65535).

C'est justement ce que j'ai fait et, en réalité, je ne l'ai fait pour le smb que parce que j'avais des attaques sur le port 545 sur un des NAS. Jusqu'à présent, je ne m'étais pas trop posé la question.

Merci beaucoup pour ces éléments de réponse. Je pense que je vais creuser du côté de WebDAV du coup...