serveur synology: pare-feu bloque accès dossier partagé

Télémac

Télémac

Membre expert
Club iGen
1 Février 2001
2 952
34
xplanepilotecontrole.nexgate.ch
Bonjour

J'ai lu les tutos sur les forums et espace assistance Synology et posé les questions ci-dessous. Aucune réponse n'a été apportée me permettant de régler cette question. Aussi j'espère trouver la solution par ici. Le scénario. Un utilisateur se connecte à mon site web. Au départ des liens suivants sur mon site WEB, un visiteur qui m'aura fait la demande préalable pourra télécharger un dossier stocké sur mon Nas DS 723. Il sélectionne un fichier sur mon site . cliquer sur un rectangle proposant une étiquette par exemple +51+004 ou encore

Le site le dirige vers mon serveur directement dans le dossier partagé contenant le fichier. Le serveur lui demande un mot de passe. L'utilisateur le saisi.

Le serveur lui autorise le téléchargement du fichier. L'utilisateur doit ensuite avoir la possibilité de télécharger les autres fichiers du même dossier au départ de mon site web sans re-saisir le mot de passe tant qu'il reste connecté. Chaque dossier partagé possède un mot de passe différent contenant une cinquantaine de fichiers en moyenne.

Je joints le visu de la procédure ci-dessus.

Visu demande telechargement.jpg

Mon problème est au niveau du pare feu et surement des permissions à accorder. J'ai utilisé les tutos sur les forums et assistance Synology concernant la configuration du pare-feu. Or si j'active le pare-feu, la personne n'aura pas accès au dossier partagé ( qui contiendra une centaine de dossier téléchargeable après clic sur un des rectangles du site web). Le pare-feu désactivé le dossier peut être téléchargé.

Question comment configurer le pare-feu et les permissions pour permettre le téléchargement à des utilisateurs qui n'ont pas de compte sur mon serveur?

Merci pour vos réponses à un débutant non informaticien sur serveur.
 
Dernière édition par un modérateur:
Dans un premier temps, je conseille très fortement de :

Comment puis-je personnaliser l'alias, le port ou le domaine pour des services Synology spécifiques? - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com


Ensuite, sur ton site, précise explicitement le protocole HTTPS dans tes liens de partage, par exemple :
https://xplane-pilote-controle.ddnsfree.com:5000/sharing/1N4vLLGPC

Côté NAS, les liens de partage de File Station me semblent une bonne piste pour ne pas devoir créer des comptes à tous les visiteurs :

Comment puis-je partager des fichiers à l'aide de File Station ? - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com
Dans ce cas-là, je te conseille d'utiliser un port différent pour File Station et pour DSM :

Comment puis-je personnaliser l'alias, le port ou le domaine pour des services Synology spécifiques? - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com
Tu pourras ainsi plus facilement limiter les tentatives d'intrusion à DSM en en restreignant le port, sans gêner le fonctionnement de File Station sur son propre port.


Enfin, il faudra ouvrir ce port utilisé pour File Station dans le pare-feu du NAS afin de le rendre accessible :

Comment configurer le pare-feu dans DSM? - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com

Je conseille très fortement de :
  • restreindre la connexion à ce port aux seules adresses IP française (même si la géolocalisation n'est pas parfaite et peut se contourner avec un VPN) pour limiter les tentatives d'intrusion des malandrins du monde entier
  • interdire toute connexion externe sur tous les autres ports (sauf si tu as d'autres besoins d'accès à distance à ton NAS)


Surtout, ouvrir son NAS publiquement doit se faire en suivant de nombreuses règles et conseils de de sécurité qu'il faut bien lire, bien comprendre, et bien appliquer :

Guide de démarrage rapide concernant les mesures de sécurité - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com
Notamment bien blinder ton compte administrateur (ne pas garder "admin" actif, y mettre un bon mot de passe, activer l'authentification à double facteur, ...) :

Comment désactiver le compte admin par défaut et dupliquer ses données et paramètres sur un autre compte administrateur ? - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com
Et toujours suivre au mieux les conseils de sécurité de l'application éponyme :

Conseiller de sécurité | DSM - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com
 
Dernière édition:
Merci pour les réponses

Pour information mon serveur est toujours éteint. Il sera en fonction 5 heures par semaines et que sur demande. Demande émanant uniquement des membres d'un forum français. Le serveur est sous mes pieds et je n'ai pas besoin d'y accéder par l'extérieur ou par internet. Si je ne suis pas à la maison il est éteint.

Voici pour le contexte d'utilisation. Dans l'ordre que tu cites je vais revoir les liens vers l'assistance Synology que j'ai déjà lu mais il y a trop d'informations pour savoir quoi adapter. J'ai suivi et appliqué les différents tutos mais je suis coincé. Je vais reprendre le tout en suivant les étapes selon ta chronologie

Questions: comment restreindre aux IP françaises? (j'ai aussi des membres en Belgique et en Suisse)

restreindre la connexion à ce port aux seules adresses IP française
Cliquez pour agrandir...

il faut utiliser un nom de domaine. J'en ai un chez O2switch : xplane-pilote-controle.eu. Je peux l'utiliser et comment?

merci
 
Dernière édition par un modérateur:
Télémac a dit:
comment restreindre aux IP françaises? (j'ai aussi des membres en Belgique et en Suisse)
Cliquez pour agrandir...
Dans les règles de pare-feu, lors de la création ou la modification d'une règle, tu peux restreindre par adresse IP ou par emplacement (= un groupe d'adresses IP géo-localisées comme émanant d'un état).
Donc dans ton cas tu cocheras uniquement France, Belgique, Suisse, et tu n'autoriseras que ces adresses IP là à se connecter, et ce uniquement à ce port défini plus haut pour File Station.
 
Salut,

Après toutes les infos données par @Bicus :coucou: , j'ajoute mon grain de sel...

Côté Pare-feu, si ça marche en le désactivant , c'est que dans celui-ci, quand il est activé, il y a une règle qui bloque l'accès au partage de fichiers.

Comme on ne sait pas comment il est configuré, tu peux essayer de rajouter un règle en PREMIERE position dans la liste pour autoriser l'accès aux fichiers.

-Dans la section Ports: mettre Personnalisé et renseigner les ports 5000 et 5001
-Dans la section IP Source: mettre Tous dans un premier temps. Après, tu pourras détailler si tu veux plus de sécurité.
tu peux aussi renseigner le lieu.
-Dans la section "Action", tu mets Autoriser, bien sûr.

Pare-feu | DSM - Synology Centre de connaissances

Le Centre de connaissances de Synology offre une assistance complète, fournit des réponses aux questions fréquemment posées, des étapes de dépannage, des tutoriels logiciels et toute la documentation technique dont vous avez besoin.
kb.synology.com kb.synology.com
C'est pour la version 7.2
Si tu es en version DSM 6, Change la version en haut de la colonne de gauche.
Activer les notifications devrait aussi des informations en cas de blocage dans le pare-feu

Je pense (mais pas sûr) que ça pourrait marcher :siffle:
 
Télémac a dit:
Salut merci

je suis en DSM 7.+

Notification déjà activé
Configuration de mon pare-feu actuellement


Voir la pièce jointe 294699


Résultat bloqué

Voir la pièce jointe 294701
Cliquez pour agrandir...
Pour du HTTP et HTTPS (comme File Station) le protocole autorisé devrait être TCP, pas UDP. Modifie la règle puis ré-essaye ?

J'y pense soudain, on n'a pas du tout parlé de routage de port dans le modem (et donc de fixer l'adresse IP du NAS, soit manuellement soit via un serveur DHCP) !
Quelle est ta Box / modem / moyen de connexion à Internet ?
 
J’ai peut-être une question stupide, mais pourquoi s’embêter autant pour essayer de hoster un fichier de cette manière extrêmement contraignante sur le NAS, alors qu’il serait bien plus simple de simplement le stocker sur ton serveur où il y a le site web? (Avec un mot de passe même si tu veux)
 
Alors oui, le firewal autorise tous les ports et toutes les adresses IP locales commençant par 192.168.x.y
Pour les adresses IP publiques, Il faut bien sûr rajouter TCP dans la 2ème règle pour que l'accès aux fichiers puisse se faire


Télémac a dit:
Le pare-feu désactivé le dossier peut être téléchargé.
Cliquez pour agrandir...
Dans ton post #1, tu dis que ça marche quand le pare-feu est désactivé. C'est bien en passant par internet?

-Si c'est le cas, et si tu n'as rien configuré dans la Box, c'est que le NAS a configuré tout ça dans celle-ci via UPnP.
Donc, après la modification de la règle, ça va marcher.

-Si ce n'est pas le cas, comme l'a dit @Biscus, il va falloir configurer l'accès dans la Box
Il faudra configurer la table NAT/PAT pour ouvrir les ports TCP 5000 et 5001, et les diriger vers l'adresse IP locale du NAS
 
edenpulse a dit:
J’ai peut-être une question stupide, mais pourquoi s’embêter autant pour essayer de hoster un fichier de cette manière extrêmement contraignante sur le NAS, alors qu’il serait bien plus simple de simplement le stocker sur ton serveur où il y a le site web? (Avec un mot de passe même si tu veux)
Cliquez pour agrandir...
Merci à tous pour votre assistance

Je loue mon espace Web chez o2switch.

Ce prestataire n'accepte pas l'hébergement de dossiers partagés.
De plus les dossiers pèsent en moyenne 10Go pour un total de 5To.

pour accéder à mes pages webs les 2 page que vous avez accès pour le test sont protégées sur mon site par un premier mot de passe.
 
Bicus a dit:
Pour du HTTP et HTTPS (comme File Station) le protocole autorisé devrait être TCP, pas UDP. Modifie la règle puis ré-essaye ?

J'y pense soudain, on n'a pas du tout parlé de routage de port dans le modem (et donc de fixer l'adresse IP du NAS, soit manuellement soit via un serveur DHCP) !
Quelle est ta Box / modem / moyen de connexion à Internet ?
Cliquez pour agrandir...
Merci pour l'assistance

Bingo en passant en TCP le fichier se télécharge

J'ai une box/orange connexion internet en filaire pas en Wifi.

Ma box est configurée pour attribuer à chacun de mes appareils (une dizaine) un numéro IP local fixe).
 
Le téléchargement est OK chez moi

Pouvez-vous tester le téléchargement externe en cliquant sur un rectangle portant un numéro sur la carte aux liens ci-dessus?

A ce stade il n'y a pas de mot de passe il n'y a que des fichiers tests à télécharger.
 
Télémac a dit:
Pouvez-vous tester le téléchargement externe en cliquant sur un rectangle portant un numéro sur la carte aux liens ci-dessus?
Cliquez pour agrandir...
Oui, je viens de télécharger une carte de l'Espagne qui pèse 9 Go dézippée
 
Télémac a dit:
Pour les ports 5000 et 5001 faut il les changer?
Cliquez pour agrandir...
C'est très fortement conseillé, comme je l'ai écrit plus haut, je recommande de :
  • désactiver HTTP et ne passer que par HTTPS
  • modifier les ports de DSM par défaut
  • assigner un port distinct à File Station (qui sera le port à ouvrir et router pour que les personnes extérieures puissent télécharger les fichiers ainsi partagés)
 
Bicus a dit:
C'est très fortement conseillé, comme je l'ai écrit plus haut, je recommande de :
  • désactiver HTTP et ne passer que par HTTPS
  • modifier les ports de DSM par défaut
  • assigner un port distinct à File Station (qui sera le port à ouvrir et router pour que les personnes extérieures puissent télécharger les fichiers ainsi partagés)
Cliquez pour agrandir...
Oula, lentement avec les anciens :cool::D

désactiver http et passer en https je cherche .

Modifier les ports de DSM par défaut : j'y vais

File station, port distinct ( il faut comprendre distinct de celui du DSM et du pare-feu) ?

Autres questions :

1) je peux prendre le même port pour DSM et le pare-feu ?

2)dans pare-feu il faut sélectionner toutes les interfaces ou par interface?
 
Télémac a dit:
Pour le changement de ports DSM et sélectionner HTTPS c'est bien ici que cela se passe?
Cliquez pour agrandir...
Oui c'est bien ça : Panneau de configuration > Portail de connexion > DSM.
Tu peux choisir un port pour l'accès HTTPS à DSM (par exemple le port 5101)
Ensuite dans l'onglet suivant Applications, tu peux choisir un autre port pour l'accès via HTTPS à File Station (par exemple 5111)

Du côté du pare-feu, tu n'ouvres que le port 5111. Comme ça tu ne laisses passer que le traffic vers File Station (= tes liens partagés depuis ton site web) tout en limitant les risques d'accès à DSM depuis l'extérieur (car le port 5101 n'étant pas explicitement ouvert dans le pare-feu, il sera bloqué).

Enfin, il te faudra alors modifier tes liens de partage, pour préciser le protocole https:// au début et le port 5111 spécifique à File Station :
https://xplane-pilote-controle.ddnsfree.com:5111/sharing/1N4vLLGPC

Et vérifier à nouveau que tout fonctionne bien depuis l'extérieur pour les visiteurs de ton site
 

Sujets similaires

Télémac
Synology Serveur DS723 configuration dossier partagé anonyme FTP ou Filetation
Réponses
20
Affichages
2K
FAI et réseau Mac
Télémac
Télémac
G
Partage Mac-Windows Impossible de copier, à partir du mac, un fichier du mac sur le PC
Réponses
1
Affichages
2K
FAI et réseau Mac
genou51
G
M
macOS Ventura Partage pérenne pour collaboration de dossiers et fichiers entre 2 sessions
Réponses
19
Affichages
3K
macOS
nommémentnommé
nommémentnommé
kaiy75
VLC et serveur SMB
Réponses
10
Affichages
8K
FAI et réseau Mac
inazuma12
inazuma12
J
Mac OS Big Sur ne reconnais pas NAS Synology
Réponses
25
Affichages
12K
FAI et réseau Mac
Dheborab
D
Haut Bas