Hors-Sujet Du Topic Firewall

[Gloutozor]

Gloutozor > Dis nous carrément quels ports tu veux ouvrir et à qui, on fera le tri ensuite.

Pour exemple, voila ma configuration :

Tu noteras que la dernière ligne n'est pas cochée, elle me sert à tout ouvrir pour vérifier que le firewall n'est pas responsable d'un problème de communication.

Les adresses 192.168.1.3 et 192.168.1.4 sont les adresses de mes deux machines autorisées à configurer le NAS.

Les ports 22 et 5000 ne sont ouverts que pour ces deux machines.

Les port 7000 et sont ouverts à tout le monde, y compris de l'Internet.

Le port 26180 est celui de NeufMédiaCenter ouvert seulement à la NeufTV (IP:172.16.255.263) et à la machine sur laquelle j'ai testé l'application. Personne ne peut accéder à ce service à partir d'une autre adresse.

Tu vérifieras ce qu'on t'a déjà dit ici, le masque est 255.255.255.0, ce qui limite le réseau aux adresses 192.168.1.x

MS_Totor :

Sauf le respect que je te porte, c'est vraiment petit !

salut ,

bon je vais essayer d'etre plus clair car la on n'est pas sur les mêmes bases de compréhension de ce que je recherche.

imagine que le firewall n'existe toujours pas , comme avant la beta ok ? comment interdire l'accés au syno , par le syno, au pc 192.168.0.13 ? on ne peut pas bien sur puisqu'il n'y a pas de firewall , jusque la nous somme daccord.

maintenant que dans la beta il y a un firewall , la question reste toujour la même : comment interdire l'accès au syno , par le syno, au pc 192.168.0.13 ?

or vos solution c'est plutôt comment autorisé l'accès au syno au pc 192.168.0.13

sauf que pour ca j'ai pas besoin de règle puisque de base le parefeu du syno sans aucunes regle autorise l'accé au pc 192.168.0.13

j'espère avoir été un peu plus clair , je ne cherche pas a autorisé un accès qui existe de base mais a l'interdire.

les config du genre tout est interdit de base et j'autorise ensuite ce que je veux ne m'intéresse pas , c'est l'inverse que je recherche , au moins je sais que tout fonctionne dans le syno et je n'ai pas besoin de chercher pourquoi telle ou telle fonction ne marche pas.

merci pour une solution si elle existe , sinon tant pis je ferais celle que j'aime pas , mais ca me plais pas ce procédé.

ta derniere ligne ne serra jamais prise en compte vu qu'elle n'est pas activée , autrement dit dans ta config si aucune regles n'est remplie tu n'a pas accé au syno , chacun ses gouts mais j'aime pas ca , ca fé mode parano , mais je comprend ton soucis de sécurité par contre

@ ++

[MS_Totor]

salut

de retour, détendu, cool tranquilou

n'essayes pas de faire fonctionner windows comme un linux, ou un mac etc.... l'inverse est pareil

ta logique actuelle applique là à un firewall windows ou un routeur grand public, pas au firewall du syno, qui est basé sur iptables

si un jour tu as affaire à un vrai firewall utilisé par des pros, comme iptables sous linux (le cas du syno) ou un produit cisco, ou autre firewall professionnel, tu seras confronté aux mêmes interrogations, mêmes limites et mêmes procédures.

par défaut dans ce monde là, après applications des acl/ports autorisé/protocoles, on bloque tout ce qui rentre ou sort, seul le trafic autorisé et clairement déclaré à droit de passage, entrant/sortant

tel qu'est paramétré iptables sur le syno, mais bien entendu modifiables sous SSH, du point de vue syno, tout est permis en sortant , et ne laisse entrer que ce qui est autorisé, le reste est bloqué.....

donc adaptes toi au produit, et au tuto, ce n'est pas lui qui vas s'adapter sous prétexte qu'il y a un bouton qui fait si ou ca, (ce ne sont que des apports des dev, pour essayer de vous aider, bien que je me demandes des fois si certains boutons, ne devraient pas être neutralisés, car mal interprétés ) et que par déduction donc le produit est censé faire si ou ca...qu'il faut crier au manque de fonctions ou déclarer un bug, ceci est une réaction typiquement windoziene pour un habitué des deux mondes.

il n'y pas de bug connu sur le firewall du syno, je peux l'affirmer, par contre il y a des oublis, volontaire des dev de synology, pour vous offrir des fonctions lambda comme autoblock, voir mon tuto, pourquoi j'affirme ? parce que je l'ai décortiqué de long en large, et comparé chaque ligne de code, avec celle d'une distribution professionnelle et noté chaque modif apportée pour offrir le maximum de confort aux utilisateurs de syno, privé ou newbie du monde firewall sous linux

bref le firewall te plait pas, tu ne l'utilise pas, ou tu l'apprends, en suivant le tuto ou en allant sur (google pour apprendre la syntaxe iptables liée à netfilter....bon courage ! )

j'utilise iptables comme beaucoup ici , tous les jours, et n'importe quel utilisateur averti de iptables te diras la même chose

j'envoie un mail aux dev pour modifier certains aspects visuels de la partie firewall, si cela est accepté bien sur, la réponse risque fortement d'être martelée, la documentation sera disponible , quand elle sera finalisée avec le firmware final..

@++

[Gloutozor]

salut

de retour, détendu, cool tranquilou

n'essayes pas de faire fonctionner windows comme un linux, ou un mac etc.... l'inverse est pareil

ta logique actuelle applique là à un firewall windows ou un routeur grand public, pas au firewall du syno, qui est basé sur iptables

si un jour tu as affaire à un vrai firewall utilisé par des pros, comme iptables sous linux (le cas du syno) ou un produit cisco, ou autre firewall professionnel, tu seras confronté aux mêmes interrogations, mêmes limites et mêmes procédures.

par défaut dans ce monde là, après applications des acl/ports autorisé/protocoles, on bloque tout ce qui rentre ou sort, seul le trafic autorisé et clairement déclaré à droit de passage, entrant/sortant

tel qu'est paramétré iptables sur le syno, mais bien entendu modifiables sous SSH, du point de vue syno, tout est permis en sortant , et ne laisse entrer que ce qui est autorisé, le reste est bloqué.....

donc adaptes toi au produit, et au tuto, ce n'est pas lui qui vas s'adapter sous prétexte qu'il y a un bouton qui fait si ou ca, (ce ne sont que des apports des dev, pour essayer de vous aider, bien que je me demandes des fois si certains boutons, ne devraient pas être neutralisés, car mal interpretés ) et que par déduction donc le produit est censé faire si ou ca...qu'il faut crier au manque de fonctions ou déclarer un bug, ceci est une réaction typiquement windoziene pour un habitué des deux mondes.

il n'y pas de bug connu sur le firewall du syno, je peux l'affirmer, par contre il y a des oublis, volontaire des dev de synology, pour vous offrir des fonctions lambda comme autoblock, voir mon tuto, pourquoi j'affirme ? parce que je l'ai décortiqué de long en large, et comparé chaque ligne de code, comparée avec celle d'une distribution professionnelle et noté chaque modif apportée pour offrir le maximum de confort aux utilisateurs de syno, privé ou newbie du monde firewall sous linux

bref le firewall te plait pas, tu ne l'utilise pas, ou tu l'apprends, en suivant le tuto ou en allant sur (google pour apprendre la syntaxe iptables liée à netfilter....bon courage ! )

j'utilise iptables comme beaucoup ici , tous les jours, et n'importe quel utilisateur averti de iptables te diras la même chose

je vais voir avec les dev pour modifier certains aspects visuels de la partie firewall, si cela est accepté bien sur, la réponse risque fort d'être voir la documentation, quand elle sera finalisée avec le firmware final..

@++

merci pour ta réponse.

effectivement je vais laisser tombé l'affaire alors car j'aime pas ces firewall qui bloquent tout et qui fonctionnent avec autorisations , je préfère ceux ou tout passe et qui fonctionnent avec interdiction.

mais bon je vais quand même t'accordé un bon point car dans l'interdiction d'une ip locale d'un pc il suffit de changé l'ip locale du pc en question pour baissé le syno

alors que dans ta solution d'autorisation si l'ip du pc en question n'est pas autorisé y'a rien a faire , sauf éteindre un pc autorisé et lui piquer provisoirement son ip locale

je ne crois pas qu'il y ai de solution idéale , même si on pouvait ajouter le nom du pc en question dans les règles.

les bonne vieilles méthodes ayant fait leurs preuves je vais me retourner sur la solution du dongle ou du numéro de série du dd du pc en question pour lui interdire l'accès.

je sais faire ca en visual basic mais c'est du windows.

encore faut il que je trouve moyen de faire tourner ca sur un syno vu que je comprend pas grand chose a lynux et a ses commandes.

c'est pas gagné mais c'est plus sécurisant qu'un firewall car c'est pas l'ip connue ou un port connu qui valide ou pas la règle mais une donnée inconnue cryptée 512 bits de surcroit cachée dans un dongle ou un disque dur .

@++

[MS_Totor]

oui et non

si tu es un bon administrateur, aucune bécane de ton réseau local ne peut changer d'ip ou d'adresse mac, car les users sur PC ne peuvent pas le faire, utilisateurs ou utilisateurs avec pouvoir.

il y a aussi bien des astuces sous la gestion xp via les polices locales en workgroup

spoof mac ou ip ?

à toi de faire ce qu'il faut pour que jamais cela soit possible au niveau local, et tu ne seras jamais, jamais embêté

sur le syno rien n'empêches d'utiliser des adresses mac au lieu des IP, ces fonctions ne sont pas affichées ou du moins je n'ai pas accès au syno pour confirmer.

ensuite la puissance de iptables est bien plus puissante que la simple façade offerte via la page web,

filtrage par fragmentation tag flag etc...exit les mauvais paquets, tout cela représentent les fonctions manquantes décrites plus haut.

si tu décrivais clairement ce que tu veux faire, je pourrais peut être t'aider car je ne sais pas si tu parles de réseau privé ou pro

ou si il sagit par exemple d'interdire certains accès et à en autoriser d'autres à une seule bécane chez toi.

je viens de mette en place sur un pc particulier, une plage horaire de connexion autorisée, via deux regles sous dos (net) et une via les polices

tout cela pour booster les études d'un jeune neveu, tout est possible.........

[Thorfin89]

Gloutozore >

ta derniere ligne ne serra jamais prise en compte vu qu'elle n'est pasactivée , autrement dit dans ta config si aucune règles n'est remplie tu n'a pas accés au syno , chacun ses gouts mais j'aime pas ca

Évidemment, je la coche juste le temps de faire des test.

Mais tu dois avoir raison, je n'ai jamais accès à mon syno, je fais juste semblant d'écrire dessus et d'héberger mes sites (entre autres).

Nous ne sommes pas paranos mais pragmatiques. Pour une protection digne de ce nom, on commence par tout interdire puis on ouvre au cas par cas. Tu liras ça partout, pour peu que tu veuilles vraiment désintéresser aux problèmes de sécurité.

Maintenant, il y a peut être un problème d'expression française dans ton propos :

comment interdire l'accès au syno , par le syno, au pc 192.168.0.13 ?

Là, au mieux, on comprend que le 192.168.0.13 doit refuser la communication sur demande du syno. Il suffit d'installer un firewall sur cet ordi, et ça n'a rien à voir avec le Firewall du syno.

Si c'est comme je le soupçonne un problème d'expression et que tu veux empêcher l'ordi de rentrer dans le syno, tu bloques tout comme je l'ai fait en cochant l'accès tout en bas dans refuser l'accès, puis tu crées des règles d'ouverture au cas par cas pour les autres. Je ne vois pas l'intérêt de tout ouvrir à l'ensemble des ordis et de tout interdire à un seul.

effectivement je vais laisser tombé l'affaire alors car j'aime pas cesfirewall qui bloquent tout et qui fonctionnent avec autorisations , jepréfère ceux ou tout passe et qui fonctionnent avec interdiction.

On a essayé de te le dire, mais seul les premiers ("qui bloquent tout") mérittent le nom de firewall. Je crois que quelques personnes de compétances on essayé de te le faire comprendre. LIbre à toi de ne pas te fier à l'expérience d'une poignée d'administrateurs résaux pour lesquels la sécurité est un soucis majeur.

[Gloutozor]

Salut Totor,

Merci pour ta réponse.

.. aucune bécane de ton réseau local ne peut changer d'ip ou d'adresse mac, car les users sur PC ne peuvent pas le faire, utilisateurs ou utilisateurs avec pouvoir.

ceci pour Linux peut être ou un autre système d'exploitation je te l'accorde volontiers car je ne les connait que trop mal mais je sais qu'il sont effectivement meilleurs que Windows question sécurité cela ne fait aucun doute pour moi.

malheureusement sur Windows je suis obligé de te contredire car le système est tellement foireux qu'il n'y a rien de plus simple que d'aller dans les propriétés des paramètres de cartes réseau pour y changé l'ip locale , que tu soit admin ou simple user.

...à toi de faire ce qu'il faut pour que jamais cela soit possible au niveau local, et tu ne seras jamais, jamais embêté...

sur windows je ne vois pas en tout cas , parfois j'ai envie aussi de dire que c'est vrais que c'est une daube ce système , je m'abstiens car j'ai pas le courage de me mettre a Linux , pourtant je sais très bien que Linux est le meilleur choix , j'ai meme une version dvd ubuntu , je sais pas ce que j'attend pour l'installé , la flemme d'étudier ce système peu être

..sur le syno rien n'empêches d'utiliser des adresses mac au lieu des IP, ces fonctions ne sont pas affichées ou du moins je n'ai pas accès au syno pour confirmer.

la par contre tu m'intéresse car l'adresse mac est une donnée non modifiable , le bleme c'est que je n'ai jamais vu d'adresse mac sur un pc je connais ca sur les box , les modem , routeur , nas , TV , etc mais pas sur un pc ou alors peu être de tres recents pc ??

mon problème serait immédiatement résolu si on pouvait interdire l'accès au syno a un pc grâce a son adresse mac , vu qu'elle est unique et non modifiable (en fait le système d'adresse mac n'est rien d'autre qu'un dongle implanté dans la carte mère du système , une eprom ou puce , contrairement au dongle mobile ou c'est toi même qui décide sur quel pc tu l'insère via les ports série ou mieux en interne sur les ports pci.

...si tu décrivais clairement ce que tu veux faire, je pourrais peut être t'aider car je ne sais pas si tu parles de réseau privé ou pro.

ou si il sagit par exemple d'interdire certains accès et à en autoriser d'autres à une seule bécane chez toi.

privé chez moi oui , je veux interdire l'accès a 2 pc sur 5.

j'ai très bien compris ta formule de tout interdire et d'autorisé ce que l'on veux , malheureusement la faille Windows qui permet d'éteindre ou de débranché le câble réseau d'un pc avec accès autorisé et donc d'emprunté son adresse ip pour la mettre sur un pc non autorisé ne me permet pas d'utilisé ta solution.

mais si les pc avaient une adresse mac alors la c'est LA solution , encore faut il aussi confirmé que le syno gère les adresses mac , je n'ai rien trouvé a ce niveau la non plus.

@++

[Gloutozor]

...Maintenant, il y a peut être un problème d'expression française dans ton propos :

Là, au mieux, on comprend que le 192.168.0.13 doit refuser la communication sur demande du syno. Il suffit d'installer un firewall sur cet ordi, et ça n'a rien à voir avec le Firewall du syno...

non c'est l'inverse , c'est le syno qui doit refuser la communication sur demande du pc et non ce que tu dis "Là, au mieux, on comprend que le 192.168.0.13 doit refuser la communication sur demande du syno"

bien sur que sur le firewall interne au pc ca fonctionne , c'est ce que je faisais déja , mais je voulais le faire aussi sur le syno , en cas de defaillance du firewall du pc, car je me suis déjà fais avoir par un vers qui a réussi a désactivé les firewall Avira et même G-data.

...tu bloques tout comme je l'ai fait en cochant l'accès tout en bas dans refuser l'accès, puis tu crées des règles d'ouverture au cas par cas pour les autres....

comme je le disais a notre ami Totor je suis conscient que c'est sans doute la meilleur solution mais je suis sur Windows et les failles de ce système ne me permet pas de faire confiance aux règles "autorisées" , je préfère les règles "interdire" même si je vous l'accorde sont moins pratiques , je suis d'accord avec vous sur ce point, sachant que tout mes pc sont équipés de firewall Avira ou G-data avec eux la fonction exclusive tout interdire sauf ce que j'ai expressément autorisé , un peut votre système en somme , sauf que moi j'utilise un logiciel complet pour faire ca. pour ce qui est de la protection du syno rien ne change comme quand il n'avait pas de firewall , ce qui se trouve dedans est plusieurs fois cryptés , peu m'importe si quelqu'un réussi a s'y introduire , il ne saura pas quoi prendre ou quoi lire car il n'y a absolument rien de compréhensible dans mes sauvegardes.

je le répète je comprend très bien ton point de vue , j'y viendrais sans doute si je ne trouve pas de solution.

@++

[jlg42]

la par contre tu m'intéresse car l'adresse mac est une donnée non modifiable , le bleme c'est que je n'ai jamais vu d'adresse mac sur un pc je connais ca sur les box , les modem , routeur , nas , TV , etc mais pas sur un pc ou alors peu être de tres recents pc ??

j'ai un doute sur "l'adresse mac est une donnée non modifiable" car j'utilise "Technitium MAC Address Changer" http://www.technitium.com/

[Dex]

la par contre tu m'intéresse car l'adresse mac est une donnée nonmodifiable , le bleme c'est que je n'ai jamais vu d'adresse mac sur unpc je connais ca sur les box , les modem , routeur , nas , TV , etc mais pas sur un pc ou alors peu être de tres recents pc ??

L'adresse mac est une donnée modifiable selon le type de carte réseau utilisée...On peut par exemple le faire sans pb sur un eeepc 901 ou sur la carte de mon PC fixe actuel, je ne sais pas par contre si en etant pas administrateur cela est possible (pas testé).

Ouvrir les connexions reseau, choisir la bonne et choisir modifier, choisir le bouton configurer puis l'onglet avancé. De mémoire l'entrée est locally administered address, a ce niveau on peut soit mettre une nouvelle adresse mac soit choisir absent et donc utiliser celle de la carte.

J'utilise systematiquement les mac adresses pour associer des adresses Ip fixes à mes équipements quand cela est necessaire. Mon syno, par exemple, est en dhcp et c'est au niveau du routeur que je lui attribue tjs la même IP.

A+

[MS_Totor]

salut

je trouve que l'on dérive complétement du sujet qui est le firewall du syno et rien d'autre

ceci devient un débat sécuritaire sur windows, qui n'a plus rien à voir avec le sujet que j'ai ouvert et qui contient en particulier un tuto

merci de ne pas dévier de ce sens et d'ouvrir votre topic si vous voulez débattre de ces choses entre vous

MS_Totor

[Gloutozor]

Jlg42 et dex je suis d'accord avec vous mais la vous utilisez des adresses mac dans la zones inscriptible de l'éprom ainsi vous pouvez modifier effectivement les données , moi je parle de celle en mémoire morte , non modifiable.

celle dont quand tu retourne l'appareil en question tu vois dans l'étiquette du constructeur le numéro de série de l'appareil et son adresse mac , celle la n'est pas modifiable a ma connaissance.

maintenant si entre temps il existe des logiciels qui peuvent modifier le mac du constructeur alors pourquoi pas aussi modifier le numéro de série ? on ne pourrait plus faire aucune protection par mac dans ce cas non ?

la ca craint grave s'il s'avère que c'est possible car si c'est modifiable il ne reste plus grand chose a par le dongle mobile ou le numéro de série crypté d'une pièce quelconque d'un pc qu'ont voudrait interdire.

@++

salut

je trouve que l'on dérive complétement du sujet qui est le firewall du syno et rien d'autre

ceci devient un débat sécuritaire sur windows, qui n'a plus rien à voir avec le sujet que j'ai ouvert et qui contient en particulier un tuto

merci de ne pas dévier de ce sens et d'ouvrir votre topic si vous voulez débattre de ces choses entre vous

MS_Totor

ok , déso totor et 1000 excuses car effectivement je me suis écarté du sujet sans trop m'en rendre compte

@++

[jac2904]

Gloutozor, sache que quel que soit le système, ( Windows, Linux, ... ) il est toujours possible de modifier son adresse ip ou mac sans le moindre problème.

C'est pour ça qu'en entreprise, on met des "policies" système qui empèchent les utilisateurs de faire ce genre de modification.

Et pour info, dans les propriété de ta connexion réseau tu devrais trouver ton adresse mac, mais bon moi j'utilise toujours un "ipconfig /all" en invite de commande pour l'avoir.

Donc je pense qu'il ne faut pas la jouer trop paranoïaque quand même, déjà protégé tes partages en mettant des droits d'utilisateurs c'est pas mal je pense ( désactiver les comptes guest ect ... ), et ensuite si vraiment tu veux te blinder, tu te la joues avec le firewall.

Et pour ça on a un bel exemple un peu plus haut par thorfin89 ...

[MS_Totor]

----------------------------------

pour Thorfin89

tu peux améliorer tes règles

quelques conseils

-au lieu de créer à chaque fois une règle pour 22, 5000 sur tes deux IP 192.168.1.3 et .4 (4 au total) tu en auras deux

-tu peux et dois ajouter un port potentiellement dangereux, le 1234 (assistant syno, qui peut faire des dégâts, pas de mot de passe à rentrer)

tu peux créer une règle globale par IP d'administration

création d'un nouvelle règle personnalisée, port de destination

chaque port doit être séparé par une virgule

port:22,5000,1234

tu affecte cette règle à 192.168.1.4

idem pour 192.168.1.3

la liaison neufTV est opérationnelle ?

----------------------------------

----------------------------------

pour Gloutozor

j'ouvre un topic section "firewall"

expose tranquillement ce que tu souhaite faire, si possible de façon détaillée, le pourquoi etc...

on essayera de te filer un coup de main pour te dépatouiller

----------------------------------

@++

[Thorfin89]

Ca trôle à mort. Windows est un système qui convient à certains, Linux à d'autres. Certains aiment les deux. On dévie effectivement et ce qui devient ennnuyeux c'est qu'en on lit des affirmations du genre

le bleme c'est que je n'ai jamais vu d'adresse mac sur un pc je connais ca sur les box , les modem , routeur , nas , TV , etc mais pas sur un pc ou alors peu être de tres recents pc ??

D'aussi loin que je me souvienne et au moins à 1998, il y avait des adresses mac sur les PC. Heureusement d'ailleurs, car bonjour le déploiement de stations avec des images disques. Bref !

De même, si une adresse mac n'est pas modifiable, elle est au moins usurpable. Donc, non, on ne peut pas se protéger à l'aide de la mac-adresse

Evitons donc de trop affirmer pour tenter d'avoir raison.

Il y a peut être une solution à ton problème, c'est de créer une règle qui autorise tout à une plage restrainte de ton réseau en jouant sur la masque et de brider par défaut les machines qui sont hors de cette zone.

Exemple :

On crée une règle qui ouvre tout au sous réseau défini par le masque 255.255.255.128 (qui autorise 62 machines) et on donne des adresses dans le haut de la plage pour les machines à brider en accès.

Il est bien évident que ce masque restreint ne sera appliqué qu'à la règle du firewall. Toutes les connexions réseau se faisant avec un masque 255.255.255.0

Qu'en pensez-vous ?

[MS_Totor]

merci bien on sait tout ca

ca vous derrange pas de discuter de tout cela sur le post que j'ai crée, pour eviter les hs

merci

à moins que je fasse appel aux modos, pour nettoyer le tuto ca commence à faire très lourd à suivre

vous êtes bien content quand vous avez un coup de main , respecter à votre tour le boulot des autres

[Thorfin89]

Ms_Totor > merci pour les conseils.

J'ai créé les règles au cas par cas, c'est clair que je pourrais regrouper. J'ai en fait ajouté mon eeepc comme machine d'administration. La dernière règle en 21680 ne demande qu'à être supprimée. Elle servait au test.

Par contre, je n'ai pas compris ta remarque sur le port 1234. Pour le moment il est bloqué tant que je n'ai pas créé de nouvelle règle. Je ne me suis pas encore servi de ce port, tout simplement. Je l'ouvrirai à ma machine d'admin si j'en ai besoin.

La liaison NeufTv marche très bien, grâce à l'aide que j'ai eu ici.

[Thorfin89]

merci bien on sait tout ca. ca vous derrange pas de discuter de tout cela sur le post que j'ai crée, pour eviter les hs

merci

Même si je commence mon propos par un agacement face au troll grandissant, il me semble que dans mon propos je propose une solution qui colle tout à fait à ce sujet, sans sortir de la configuration liée au firewall du syno. Ce sont des données que manifestement tout le monde ne maitrise pas, en tout cas pas Gloutozore.

Restons zen !

[MS_Totor]

je suis très zen, mais comme partout il y a ceux qui font des tutos, et ceux qui en ont besoin, posent des questions en rapport, ce qui permet une vie longue et utile au tuto, bien méritée je l'espère vu l'effort de le faire pour les auteurs.

je ne suis pas un guru de iptables, loin de là !

j'ai pris un peu de temps pour transposer les conneries à ne pas faire

les HS, je vire, du moins quand je suis l'admin ou le modo du forum en question

pas de soucis pour ton aide, c'est parfait

pour le port 1234, si tu as un souci d'accès un jour au port 5000, ou ssh, tu feras comment si tu ne t'es pas prévu une porte d'entrée pour l'assistant.....n'oublie pas que c'est la porte d'entrée pour reconfigurer le syno lui même, et qu'il n'y a pas de port console sur ces bestioles

tu seras obligé de faire un double reset

idem dans le tuto, puisque je me suis bien creusé la tronche pour penser au cas les plus probables.. et bloquant.

ensuite perso, pour la lisibilité, je préfère un topic séparé, pour la mise en œuvre au cas par cas, pour ne laisser ici que des rectifications à apporter au tuto lui même...

mais ce topic est temporaire, et sera déplacé quand la version sera stable, quelques jours ou semaines, donc pas stressé du tout, en espérant quand même un petit nettoyage, pour que d'autres puissent m'aider à le compléter, si besoin est..

pour causer tranquille de tout cela je vous propose de basculer ici

http://www.nas-forum...indpost&p=57844

voili voilà

[Thorfin89]

Port 1234 corrigé. Thanks !

[jac2904]

Ceci dit, je ne sais pas si ça le fait, mais une bonne proposition serait de désactiver le firewall ( si possible sans effacer les règles ) en cas de reset non ?

Ca éviterais justement un double reset et puis comme il faut quand même un accès physique à la machine et que ça remet le mot de passe admin à blanc, ça me semble être une bonne chose ...

[MS_Totor]

Ceci dit, je ne sais pas si ça le fait, mais une bonne proposition serait de désactiver le firewall ( si possible sans effacer les règles ) en cas de reset non ?

Ca éviterais justement un double reset et puis comme il faut quand même un accès physique à la machine et que ça remet le mot de passe admin à blanc, ça me semble être une bonne chose ...

salut

je reprends le fil de discussion

un simple reset n'efface pas grand chose,

son rôle unique, est de ré-initialiser l'adresse IP, les DNS, ainsi que le mot de passe du compte "admin", logiquement on ne touche à rien d'autre et heureusement d'ailleurs.

je parle bien sur de tous les autres réglages manuels apportés dans les fichiers de configuration, ou ajout d'utilisateurs etc... ou autres programmes spk, ipg, et autres programmes compilés par la communauté

pour pouvoir faire ce que tu dis, il faudrait pouvoir lancer et/ou pouvoir arrêter un script firewall à injecter dans iptables. (ref google "arnaud iptables") ou compiler un firewall comme shorewall .

hors actuellement, ce n'est pas le principe adopté, synology a préféré voir les choses à sa façon, d'une part limiter les commandes possibles via le panel admin à un usage très basique, et normalement accessible à tous (obligation de lire la doc quand elle sortira) et ajouter autoblock qui intègre ensuite les limites équivalentes à burst de iptables....

adepte de la ligne de commandes, plutôt que des boutons qui peuvent induire en erreurs, je n'aime pas ce fonctionnement.

je ne sais pas si tu me suis, mais c'est le fonctionnement actuel

le script de lancement de iptables est situé au même endroit que le reste des scripts, il faudrait via l'appel de fonction "bouton reset" arrêter ce script et faire un flush des tables, sinon c'est la gaufrade assurée

pas sur qu'ils aient envie de modifier , de suite, "tu peux et doit" poser tes requêtes auprès du support, ou support de la bêta sinon sur ce forum l'idée telle quelle est lettre morte...