serveur synology: pare-feu bloque accès dossier partagé
- Créateur du sujet Télémac
- Date de début
je n'ai rien trouvé dans le Nas pour lancer le terminal dans DSM n i dans Terminal & SNMP
Je l'ai fais en direct dans le terminal
ce qui me donne pour le serveur Nas
Local Address Foreign Address
tcp4 0 0 192.......53220 192......1957 ESTABLISHED
tcp4 0 0 192..53218 192.....1957 ESTABLISHED
Il semblerait que le port 1958 utilisé pour le partage n'est pas listé.
@Télémac peux-tu poster des captures d'écran des réglages actuels du NAS :
- Panneau de configuration > Portail de connexion > DSM
- Panneau de configuration > Portail de connexion > Applications
- Panneau de configuration > Sécurité > Pare-feu > Modifier les règles
- Panneau de configuration > Réseau > Général
- Panneau de configuration > Réseau > Interface réseau (en dépliant le chevron de celle(s) qui sont connectées
- Panneau de configuration > Portail de connexion > DSM
- Panneau de configuration > Portail de connexion > Applications
- Panneau de configuration > Sécurité > Pare-feu > Modifier les règles
- Panneau de configuration > Réseau > Général
- Panneau de configuration > Réseau > Interface réseau (en dépliant le chevron de celle(s) qui sont connectées
essaye ce lien stp j'ai changé les ports DSM et redémarrer le serveur
nouveau lien de partage
mot de passe
test01
cela semble fonctionner .
Pare feu activé.
nouveau lien de partage
mot de passe
test01
cela semble fonctionner .
Pare feu activé.
Dernière édition:
second dossier partage
mot de passe
test01
Pare-feu Nas activé
Je vais éteindre le Nas avec tous ces ports ouverts
Je rallume dimanche matin pour vos derniers tests.
mot de passe
test01
Pare-feu Nas activé
Je vais éteindre le Nas avec tous ces ports ouverts
Je rallume dimanche matin pour vos derniers tests.
Dernière édition:
Je ne connais pas le NAS Synology, mais même sans le connaître, dans la méthodologie, j'aurais procédé comme ça.
-Désactiver le Pare-feu du NAS
-Faire marcher le bouzin en local en gardant les ports par défaut sur le NAS (5000 et 5001)
@Télémac sait faire.
-Vérifier (à partir du Mac de Télémac), par netstat, les numéros des ports établis .
En principe, par défaut 5000 et 5001
-Modifier (sécurité) le numéro de port pour l'accès comme ci dessous, sur le port 2531 (pourquoi pas!)
xplanepilotecontrole.synology.me:2531
-Dans la Box, ajouter une règle pour permettre l'accès au NAS à partir de l'extérieur
Supposons que 5001 soit pour la connexion HTTPS
-Si ça marche, on pourra alors si on veut activer le Firewall du NAS et rajouter des règles de sécurité.
-Si on veut accéder depuis l'extérieur au NAS (administration ou autre ...), on pourra configurer des règles dans la Box selon le même principe.
-Désactiver le Pare-feu du NAS
-Faire marcher le bouzin en local en gardant les ports par défaut sur le NAS (5000 et 5001)
@Télémac sait faire.
-Vérifier (à partir du Mac de Télémac), par netstat, les numéros des ports établis .
En principe, par défaut 5000 et 5001
-Modifier (sécurité) le numéro de port pour l'accès comme ci dessous, sur le port 2531 (pourquoi pas!)
xplanepilotecontrole.synology.me:2531
-Dans la Box, ajouter une règle pour permettre l'accès au NAS à partir de l'extérieur
Supposons que 5001 soit pour la connexion HTTPS
-Si ça marche, on pourra alors si on veut activer le Firewall du NAS et rajouter des règles de sécurité.
-Si on veut accéder depuis l'extérieur au NAS (administration ou autre ...), on pourra configurer des règles dans la Box selon le même principe.
Au temps pour moi, je pensais que les liens de partage utilisaient le port File Station (car on génère les liens de partage depuis là) mais apparemment c'est bien le port DSM qui est utilisé dans les liens de partage :
kb.synology.com
kb.synology.com
C'est donc bien le port HTTPS de DSM (défini dans Panneau de configuration > Portail de connexion > DSM) qu'il faut ouvrir dans le pare-feu du NAS et router dans le NAT de la Box.
Comment puis-je partager des fichiers à l'aide de File Station ? - Synology Centre de connaissances
Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com
Comment puis-je personnaliser l'adresse réseau de mes liens de partage de fichiers? - Synology Centre de connaissances
Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com
C'est donc bien le port HTTPS de DSM (défini dans Panneau de configuration > Portail de connexion > DSM) qu'il faut ouvrir dans le pare-feu du NAS et router dans le NAT de la Box.
Je viens de faire un essai à l'instant.
Sur un analyseur réseau, ce que je vois:
La box laisse bien passer la connexion (port 2531).
Au niveau TCP, la connexion sur le NAS est donc bonne.
C'est au niveau sécurité (handshake SSL TLS que ça ne marche pas)
Le navigateur renvoie l'erreur:
À mon avis, la règle du firewall n'envoie pas sur le port HTTPS
On est tout prés.
Ça va marcher
Sur un analyseur réseau, ce que je vois:
La box laisse bien passer la connexion (port 2531).
Au niveau TCP, la connexion sur le NAS est donc bonne.
C'est au niveau sécurité (handshake SSL TLS que ça ne marche pas)
Le navigateur renvoie l'erreur:
Bloc de code:
Ce site ne peut pas fournir de connexion sécurisée
xplanepilotecontrole.synology.me a envoyé une réponse incorrecte.
ERR_SSL_PROTOCOL_ERRORÀ mon avis, la règle du firewall n'envoie pas sur le port HTTPS
On est tout prés.
Ça va marcher
Ouf merci à vous, c'est un début.
Je trouve ou et je dois configurer quoi pour la règle du Firewall sur le Nas?
Je crois qu'il existe une différence entre le pare-feu et le firewall mais rien compris à leur truc chez Synology assistance ( à moins que c'est imputable au traducteur électronique de leur site).
Désolé je suis entre vos mains.
merci encore.
Précisions.
Je ne souhaite pas avoir accès au NAS à partir de l'extérieur pour le gèrer.
Cela se fera chez moi comme retraité je n'ai pas besoin d'accéder d'un autre site.
Les seuls accès nécéssaires sont :
1) téléchargement au départ de mon site:
exemple les membres de macgénération passent par mon site qui les dirrige au serveur. Je ne les connais pas. Ils récupèrent les dossiers à télécharger.
2) les développeurs des objets à télécharger
Eux vont se connecter en FTP pour déposer et échanger leurs travaux dans un dossier partagé sur mon NAS
Les port DSM sont:
capture-decran-5-jpg.294821
bref personne d'autre que moi ne gère le NAS (enfin essaye)
pour Polo35230
j'ai lancé la commande netstat dans le terminal
Je ne sais pas si je peux rendre publique ces informations aussi je me suis autorisé de te les adresser dans conversation.
Je trouve ou et je dois configurer quoi pour la règle du Firewall sur le Nas?
Je crois qu'il existe une différence entre le pare-feu et le firewall mais rien compris à leur truc chez Synology assistance ( à moins que c'est imputable au traducteur électronique de leur site).
Désolé je suis entre vos mains.
merci encore.
Précisions.
Je ne souhaite pas avoir accès au NAS à partir de l'extérieur pour le gèrer.
Cela se fera chez moi comme retraité je n'ai pas besoin d'accéder d'un autre site.
Les seuls accès nécéssaires sont :
1) téléchargement au départ de mon site:
exemple les membres de macgénération passent par mon site qui les dirrige au serveur. Je ne les connais pas. Ils récupèrent les dossiers à télécharger.
2) les développeurs des objets à télécharger
Eux vont se connecter en FTP pour déposer et échanger leurs travaux dans un dossier partagé sur mon NAS
Les port DSM sont:
capture-decran-5-jpg.294821
bref personne d'autre que moi ne gère le NAS (enfin essaye)
pour Polo35230
j'ai lancé la commande netstat dans le terminal
Je ne sais pas si je peux rendre publique ces informations aussi je me suis autorisé de te les adresser dans conversation.
Dernière édition:
Perso, je désactiverais le Firewall du NAS et je ferais marcher sans passer par lui dans un premier temps.
D'ailleurs, pour la redirection de ports au niveau des accès extérieurs, il ne fera rien de plus que la table NAT/PAT de la Box.
Là où il sera efficace, c'est si tu veux contrôler au niveau local (pour les adresses en 192.x.y.z).
Il y a tjs le pb HTTPS. Tu n'es pas sur le bon port.
Vérifie la règle dans la Box.
Pour ceux que ça intéresse, la trace montre que la connexion TCP au NAS se fait bien, mais que la "Poignée de mains SSL-TLS" échoue
Dernière édition:
Rien de confidentiel dans la liste.
Dans ta copie d'écran, je vois que le port DSM HTTPS est 2531.
Si dans la Box, tu as mis cette règle:
Alors, ça ne peut pas marcher.
La box reçoit la connexion sur le port 2531 externe (côté internet), et elle le remplace par 5001 pour le faire suivre sur le NAS.
Donc, dans le NAS, il faut mettre 5001 dans le port DSM HTTPS
Firewall = coupe-feu = pare-feu (selon les traductions) = c'est bien la même chose
Ou à l'inverse : router dans la Box le port externe entrant 2531 vers le port interne 2531 du NAS, et laisser le port 2531 en port HTTPS dans les réglages de DSM du NAS.
Je me répète, mais c'est une bonne pratique de sécurité que de ne pas utiliser les ports par défaut du NAS : le port 5000 et 5001 seront parmi les premiers testés par des malandrins pour y accéder.
On est bien d'accord que la Box doit renvoyer la connexion entrante sur le même port interne que celui spécifié pour le protocole HTTPS de DSM dans les réglages du NAS : ça ne pourra pas fonctionner si la Box toque à la porte n°5001 mais que le NAS l'attend dans la chambre n°2531.
Donc on choisi une bonne fois pour toute la chambre pour héberger le HTTPS du NAS (je suggère de garder le port 2531) et on s'assure que tout ce petit monde a bien le bon n° de port afin de toquer à la bonne porte de la bonne chambre !
Je suis d'accord avec toi.
Il y a plein de façon de mettre en place des politiques de sécurité.
Bien sûr, ta solution tient la route. On parle de la même chose.
Et c'est vrai qu'il faut en choisir une, et s'y tenir pour être cohérent tout le long du chemin.
En entreprise, en principe, la solution n'est pas de la mettre sur chaque machine (trop compliqué à maintenir), mais sur un matériel dédié juste derrière (ou dedans) le routeur d'accès pour contrôler ce qui rentre ou sort sur internet.
Oui, mais dans le cas où on mets la règle ci dessous dans la box, il pourra toujours essayer d'accéder aux ports 5000 et 5001, il n'y arrivera pas . La box n'autorisant que le port 2531 pour les connexions venant d'internet
Le port 5001 n'étant accessible qu'in interne, sur le LAN de Télémac.
Mais c'est vrai qu'il ne faut pas utiliser les ports par défaut utilisés par les applis les plus courantes (les well known ports) et ceux des bases de données.
2351 n'est pas le meilleur choix. Un numéro plus loin dans la liste (à 5 chiffres serait plus sécurisant)
Dernière édition:
Pour information comme le montre mes copies d'écrans, dans le NAS DSM j'ai 2530 en HTTP et 2531 en HTPPS.
Ce sont des chiffres pour nos tests qui remplace 5000 HTTP et 5001 HTTPS par défaut.
Une fois terminé je passe a nouveau à du 5 chiffres.
la box configuration ( j'ai modifié le port interne 2530 en 2531)
pour information serveur_Xplane est le nom du Nas
merci de tester le lien de partage ci dessus.
Ce sont des chiffres pour nos tests qui remplace 5000 HTTP et 5001 HTTPS par défaut.
Une fois terminé je passe a nouveau à du 5 chiffres.
la box configuration ( j'ai modifié le port interne 2530 en 2531)
pour information serveur_Xplane est le nom du Nas
merci de tester le lien de partage ci dessus.
Sujets similaires
