serveur synology: pare-feu bloque accès dossier partagé

Télémac

Membre expert
Club iGen
1 Février 2001
2 953
34
xplanepilotecontrole.nexgate.ch
Bonjour

J'ai lu les tutos sur les forums et espace assistance Synology et posé les questions ci-dessous. Aucune réponse n'a été apportée me permettant de régler cette question. Aussi j'espère trouver la solution par ici. Le scénario. Un utilisateur se connecte à mon site web. Au départ des liens suivants sur mon site WEB, un visiteur qui m'aura fait la demande préalable pourra télécharger un dossier stocké sur mon Nas DS 723. Il sélectionne un fichier sur mon site . cliquer sur un rectangle proposant une étiquette par exemple +51+004 ou encore

Le site le dirige vers mon serveur directement dans le dossier partagé contenant le fichier. Le serveur lui demande un mot de passe. L'utilisateur le saisi.

Le serveur lui autorise le téléchargement du fichier. L'utilisateur doit ensuite avoir la possibilité de télécharger les autres fichiers du même dossier au départ de mon site web sans re-saisir le mot de passe tant qu'il reste connecté. Chaque dossier partagé possède un mot de passe différent contenant une cinquantaine de fichiers en moyenne.

Je joints le visu de la procédure ci-dessus.

Visu demande telechargement.jpg

Mon problème est au niveau du pare feu et surement des permissions à accorder. J'ai utilisé les tutos sur les forums et assistance Synology concernant la configuration du pare-feu. Or si j'active le pare-feu, la personne n'aura pas accès au dossier partagé ( qui contiendra une centaine de dossier téléchargeable après clic sur un des rectangles du site web). Le pare-feu désactivé le dossier peut être téléchargé.

Question comment configurer le pare-feu et les permissions pour permettre le téléchargement à des utilisateurs qui n'ont pas de compte sur mon serveur?

Merci pour vos réponses à un débutant non informaticien sur serveur.
 
Dernière édition par un modérateur:
Dans un premier temps, je conseille très fortement de :


Ensuite, sur ton site, précise explicitement le protocole HTTPS dans tes liens de partage, par exemple :
https://xplane-pilote-controle.ddnsfree.com:5000/sharing/1N4vLLGPC

Côté NAS, les liens de partage de File Station me semblent une bonne piste pour ne pas devoir créer des comptes à tous les visiteurs :
Dans ce cas-là, je te conseille d'utiliser un port différent pour File Station et pour DSM :
Tu pourras ainsi plus facilement limiter les tentatives d'intrusion à DSM en en restreignant le port, sans gêner le fonctionnement de File Station sur son propre port.


Enfin, il faudra ouvrir ce port utilisé pour File Station dans le pare-feu du NAS afin de le rendre accessible :

Je conseille très fortement de :
  • restreindre la connexion à ce port aux seules adresses IP française (même si la géolocalisation n'est pas parfaite et peut se contourner avec un VPN) pour limiter les tentatives d'intrusion des malandrins du monde entier
  • interdire toute connexion externe sur tous les autres ports (sauf si tu as d'autres besoins d'accès à distance à ton NAS)


Surtout, ouvrir son NAS publiquement doit se faire en suivant de nombreuses règles et conseils de de sécurité qu'il faut bien lire, bien comprendre, et bien appliquer :
Notamment bien blinder ton compte administrateur (ne pas garder "admin" actif, y mettre un bon mot de passe, activer l'authentification à double facteur, ...) :
Et toujours suivre au mieux les conseils de sécurité de l'application éponyme :
 
Dernière édition:
Merci pour les réponses

Pour information mon serveur est toujours éteint. Il sera en fonction 5 heures par semaines et que sur demande. Demande émanant uniquement des membres d'un forum français. Le serveur est sous mes pieds et je n'ai pas besoin d'y accéder par l'extérieur ou par internet. Si je ne suis pas à la maison il est éteint.

Voici pour le contexte d'utilisation. Dans l'ordre que tu cites je vais revoir les liens vers l'assistance Synology que j'ai déjà lu mais il y a trop d'informations pour savoir quoi adapter. J'ai suivi et appliqué les différents tutos mais je suis coincé. Je vais reprendre le tout en suivant les étapes selon ta chronologie

Questions: comment restreindre aux IP françaises? (j'ai aussi des membres en Belgique et en Suisse)

restreindre la connexion à ce port aux seules adresses IP française

il faut utiliser un nom de domaine. J'en ai un chez O2switch : xplane-pilote-controle.eu. Je peux l'utiliser et comment?

merci
 
Dernière édition par un modérateur:
comment restreindre aux IP françaises? (j'ai aussi des membres en Belgique et en Suisse)
Dans les règles de pare-feu, lors de la création ou la modification d'une règle, tu peux restreindre par adresse IP ou par emplacement (= un groupe d'adresses IP géo-localisées comme émanant d'un état).
Donc dans ton cas tu cocheras uniquement France, Belgique, Suisse, et tu n'autoriseras que ces adresses IP là à se connecter, et ce uniquement à ce port défini plus haut pour File Station.
 
Salut,

Après toutes les infos données par @Bicus :coucou: , j'ajoute mon grain de sel...

Côté Pare-feu, si ça marche en le désactivant , c'est que dans celui-ci, quand il est activé, il y a une règle qui bloque l'accès au partage de fichiers.

Comme on ne sait pas comment il est configuré, tu peux essayer de rajouter un règle en PREMIERE position dans la liste pour autoriser l'accès aux fichiers.

-Dans la section Ports: mettre Personnalisé et renseigner les ports 5000 et 5001
-Dans la section IP Source: mettre Tous dans un premier temps. Après, tu pourras détailler si tu veux plus de sécurité.
tu peux aussi renseigner le lieu.
-Dans la section "Action", tu mets Autoriser, bien sûr.

C'est pour la version 7.2
Si tu es en version DSM 6, Change la version en haut de la colonne de gauche.
Activer les notifications devrait aussi des informations en cas de blocage dans le pare-feu

Je pense (mais pas sûr) que ça pourrait marcher :siffle:
 
Salut merci

je suis en DSM 7.+

Notification déjà activé
Configuration de mon pare-feu actuellement


Voir la pièce jointe 294699


Résultat bloqué

Voir la pièce jointe 294701
Pour du HTTP et HTTPS (comme File Station) le protocole autorisé devrait être TCP, pas UDP. Modifie la règle puis ré-essaye ?

J'y pense soudain, on n'a pas du tout parlé de routage de port dans le modem (et donc de fixer l'adresse IP du NAS, soit manuellement soit via un serveur DHCP) !
Quelle est ta Box / modem / moyen de connexion à Internet ?
 
J’ai peut-être une question stupide, mais pourquoi s’embêter autant pour essayer de hoster un fichier de cette manière extrêmement contraignante sur le NAS, alors qu’il serait bien plus simple de simplement le stocker sur ton serveur où il y a le site web? (Avec un mot de passe même si tu veux)
 
Alors oui, le firewal autorise tous les ports et toutes les adresses IP locales commençant par 192.168.x.y
Pour les adresses IP publiques, Il faut bien sûr rajouter TCP dans la 2ème règle pour que l'accès aux fichiers puisse se faire


Le pare-feu désactivé le dossier peut être téléchargé.
Dans ton post #1, tu dis que ça marche quand le pare-feu est désactivé. C'est bien en passant par internet?

-Si c'est le cas, et si tu n'as rien configuré dans la Box, c'est que le NAS a configuré tout ça dans celle-ci via UPnP.
Donc, après la modification de la règle, ça va marcher.

-Si ce n'est pas le cas, comme l'a dit @Biscus, il va falloir configurer l'accès dans la Box
Il faudra configurer la table NAT/PAT pour ouvrir les ports TCP 5000 et 5001, et les diriger vers l'adresse IP locale du NAS
 
J’ai peut-être une question stupide, mais pourquoi s’embêter autant pour essayer de hoster un fichier de cette manière extrêmement contraignante sur le NAS, alors qu’il serait bien plus simple de simplement le stocker sur ton serveur où il y a le site web? (Avec un mot de passe même si tu veux)
Merci à tous pour votre assistance

Je loue mon espace Web chez o2switch.

Ce prestataire n'accepte pas l'hébergement de dossiers partagés.
De plus les dossiers pèsent en moyenne 10Go pour un total de 5To.

pour accéder à mes pages webs les 2 page que vous avez accès pour le test sont protégées sur mon site par un premier mot de passe.
 
Pour du HTTP et HTTPS (comme File Station) le protocole autorisé devrait être TCP, pas UDP. Modifie la règle puis ré-essaye ?

J'y pense soudain, on n'a pas du tout parlé de routage de port dans le modem (et donc de fixer l'adresse IP du NAS, soit manuellement soit via un serveur DHCP) !
Quelle est ta Box / modem / moyen de connexion à Internet ?
Merci pour l'assistance

Bingo en passant en TCP le fichier se télécharge

J'ai une box/orange connexion internet en filaire pas en Wifi.

Ma box est configurée pour attribuer à chacun de mes appareils (une dizaine) un numéro IP local fixe).
 
Le téléchargement est OK chez moi

Pouvez-vous tester le téléchargement externe en cliquant sur un rectangle portant un numéro sur la carte aux liens ci-dessus?

A ce stade il n'y a pas de mot de passe il n'y a que des fichiers tests à télécharger.
 
Pouvez-vous tester le téléchargement externe en cliquant sur un rectangle portant un numéro sur la carte aux liens ci-dessus?
Oui, je viens de télécharger une carte de l'Espagne qui pèse 9 Go dézippée
 
Pour les ports 5000 et 5001 faut il les changer?
C'est très fortement conseillé, comme je l'ai écrit plus haut, je recommande de :
  • désactiver HTTP et ne passer que par HTTPS
  • modifier les ports de DSM par défaut
  • assigner un port distinct à File Station (qui sera le port à ouvrir et router pour que les personnes extérieures puissent télécharger les fichiers ainsi partagés)
 
C'est très fortement conseillé, comme je l'ai écrit plus haut, je recommande de :
  • désactiver HTTP et ne passer que par HTTPS
  • modifier les ports de DSM par défaut
  • assigner un port distinct à File Station (qui sera le port à ouvrir et router pour que les personnes extérieures puissent télécharger les fichiers ainsi partagés)
Oula, lentement avec les anciens :cool::D

désactiver http et passer en https je cherche .

Modifier les ports de DSM par défaut : j'y vais

File station, port distinct ( il faut comprendre distinct de celui du DSM et du pare-feu) ?

Autres questions :

1) je peux prendre le même port pour DSM et le pare-feu ?

2)dans pare-feu il faut sélectionner toutes les interfaces ou par interface?
 
Pour le changement de ports DSM et sélectionner HTTPS c'est bien ici que cela se passe?
Oui c'est bien ça : Panneau de configuration > Portail de connexion > DSM.
Tu peux choisir un port pour l'accès HTTPS à DSM (par exemple le port 5101)
Ensuite dans l'onglet suivant Applications, tu peux choisir un autre port pour l'accès via HTTPS à File Station (par exemple 5111)

Du côté du pare-feu, tu n'ouvres que le port 5111. Comme ça tu ne laisses passer que le traffic vers File Station (= tes liens partagés depuis ton site web) tout en limitant les risques d'accès à DSM depuis l'extérieur (car le port 5101 n'étant pas explicitement ouvert dans le pare-feu, il sera bloqué).

Enfin, il te faudra alors modifier tes liens de partage, pour préciser le protocole https:// au début et le port 5111 spécifique à File Station :
https://xplane-pilote-controle.ddnsfree.com:5111/sharing/1N4vLLGPC

Et vérifier à nouveau que tout fonctionne bien depuis l'extérieur pour les visiteurs de ton site