Ping KO vers NAS

[michel37]

Bonjour la communauté,

Je galère depuis quelques temps vers l'accès extérieur de mon NAS.

Avec le WIFI de la maison, j'accède à toutes les fonctions du NAS et à mon site web.
Avec l'application téléphone DS Finder (en 5G), j'accède également à toutes les fonctions. Mon site web est accessible par téléphone.

Mais on me dit que de l'extérieur ça ne marche pas et en effet, lorsque je ping le NAS c'est KO.

Pour info, j'ai désactivé le pare-feu du NAS.

Quelqu'un pourrait-il m'aider à résoudre ce problème ?

Merci

[PiwiLAbruti]

il y a une heure, michel37 a dit :

Mais on me dit que de l'extérieur ça ne marche pas et en effet, lorsque je ping le NAS c'est KO.

À quoi "on" veut-il accéder ?

Le ping du NAS n'a aucune importance et n'est pas révélateur de son accessibilité. Question sécurité, il vaut mieux que le ping ne fonctionne pas, ça évite les détections basiques.

il y a une heure, michel37 a dit :

Pour info, j'ai désactivé le pare-feu du NAS.

Très mauvaise décision, ton NAS est vulnérable. Voir ce tutoriel : https://www.nas-forum.com/forum/topic/77493-tuto-pas-à-pas-sécurisation-du-nas-pour-dsm-7/

 

Quels sont les ports ouverts sur le routeur/box pour le NAS ?

[michel37]

PiwiLAbruti,

Ne connaissant pas grand chose en SSH, je veux donner l'accès temporairement au NAS via SSH à une personne compétente.

Bien que ce soit activé dans le NAS, cette personne ne peut pas se connecter car le NAS n'est pas accessible. N'y parvenant pas, elle a fait un ping qui revient négatif.

Pour ce qui est de l'ouverture des ports, je posterai une capture écran cet après midi car je ne  suis pas chez moi.

Le pare-feu n'est désactivé que temporairement.

[PiwiLAbruti]

il y a 8 minutes, michel37 a dit :

Le pare-feu n'est désactivé que temporairement.

Il est urgent que tu ré-active le pare-feu du NAS.

[michel37]

Voici les ports ouverts sur ma box SFR

 

[PiwiLAbruti]

Les redirections sont Ok, à condition que 192.168.1.172 est bien l'adresse IP du NAS.

[michel37]

Oui, l'IP est bien celle du NAS.

Voici mon interface réseau, si ca peut aider

 

[PiwiLAbruti]

C'est étrange que l'adresse IP ne soit pas affichée. Dans tous les cas, si l'adresse du NAS change, les redirections ne fonctionneront plus.

Pour résoudre ce souci, suis ce qui est indiqué dans la section Réseau de ce tutoriel : https://www.nas-forum.com/forum/topic/77493-tuto-pas-à-pas-sécurisation-du-nas-pour-dsm-7

Tu as le choix en ajouter une réservation DHCP sur le routeur (recommandé), ou fixer l'adresse IP du NAS.

[michel37]

J'ai fixé l'IP du NAS car ne je comprends par la réservation DHCP

Voila :

 

[PiwiLAbruti]

Pour partir sur de bonnes bases, as-tu appliqué la totalité du tutoriel sur la sécurité donné précédemment ?

[michel37]

Oui j'avais déjà vu ce tuto et je l'ai re-suivi dès que j'ai vu le problème.

[PiwiLAbruti]

As-tu modifié ou ajouté une/des règle(s) de ce tutoriel pour autoriser l'accès SSH distant ?

Au passage, tu devrais modifier le port externe SSH pour une valeur autre que celle par défaut (22), de préférence supérieure à 1024.

[michel37]

Actuellement j'ai temporairement désactivé le FW mais j'avais ça :

 

[PiwiLAbruti]

Reprends la partie pare-feu du tutoriel sur la sécurité, ton NAS est une vraie passoire.

[michel37]

voilà, j'ai reconfiguré comme mentionné dans le tuto :

 

avec ces règles je n'accède plus à mon site web (https://bm4.monsynoprive.ovh)

[PiwiLAbruti]

Maintenant tu peux rajouter une règle autorisant SSH uniquement depuis ton pays de résidence.

As-tu également modifié le port externe (22) sur la box ?

Un fois cela fait, tu pourras communiquer à ton interlocuteur un compte ayant le rôle administrateur, ton adresse IP publique, et le port SSH personnalisé pour qu'il puisse se connecter.

Une fois qu'il aura terminé ce qu'il a à faire, tu pourras désactiver (et non supprimer) la règle de pare-feu pour l'accès SSH.

[michel37]

je n'ai plus accès à mon site. est ce que je dois ouvrir les ports 80 et 443 dans le FW ?

Ma personne de confiance est au USA pour le SSH !!!!

[PiwiLAbruti]

il y a 22 minutes, michel37 a dit :

je n'ai plus accès à mon site. est ce que je dois ouvrir les ports 80 et 443 dans le FW ?

Oui, même s'il est préférable de n'utiliser que le 443.

il y a 23 minutes, michel37 a dit :

Ma personne de confiance est au USA pour le SSH !!!!

Eh bien tu autorises l'accès à SSH depuis les USA (si c'est un accès temporaire). Sinon il vaut mieux autoriser l'accès uniquement depuis son adresse IP s'il peut te la communiquer.

[michel37]

Un énorme merci pour votre patience, c'est vraiment très sympa.

A bientôt

[michel37]

Comment n’autoriser que 2 adresses IP pour la connexion en SSH svp ?

[PiwiLAbruti]

En créant des règles de pare-feu les autorisant.

[michel37]

Merci !

[michel37]

Mon FW, j'ai masqué les 2 IP concernées pour le SSH.

[PiwiLAbruti]

Aucun port ne devrait être autorisé à Tous dans la colonne IP source.

Est-ce que le port tcp/1100 est bien redirigé vers le port tcp/22 du NAS dans la box ? (il ne doit pas y voir de redirection du tcp/22 vers le tcp/22)

Est-ce que le port FTP (tcp/21) est utilisé ? Si oui, par quelle(s) source(s) ?

[michel37]

il y a 9 minutes, PiwiLAbruti a dit :

Aucun port ne devrait être autorisé à Tous dans la colonne IP source.

Pour le 80/443, je pensais pour l'accès site web

il y a 10 minutes, PiwiLAbruti a dit :

Est-ce que le port tcp/1100 est bien redirigé vers le port tcp/22 du NAS dans la box ? (il ne doit pas y voir de redirection du tcp/22 vers le tcp/22)

Je ne peux pas le vérifier maintenant car je ne suis pas chez moi.

il y a 11 minutes, PiwiLAbruti a dit :

Est-ce que le port FTP (tcp/21) est utilisé ? Si oui, par quelle(s) source(s) ?

Je l'ai ouvert pour un accès FTP mais je vais le retirer.