Dami1 a dit:il me semble aussi ...Yakatape a dit:Je vois pas pourquoi le ssh est à oublier ? il est certainement plus secure que le ftp / ftps ? il me semble
néanmoins l'user indique que ça ne fonctionne pas pour lui
Ben si justement le SSH marche très bien ! C'est jusque qu'on m'a dit dans cet article qui n'était pas sécurisé...
Yakatape a dit:Pour ma part j'ai fais le test de mon côté n'ayant pas l'usage du FTP sur mon NAS.
J'ai dans un premier temps j'ai fais du PAT au niveau de ma freebox en déclarant uniquement le port FTP (21+990 pour test avec et sans SSL/TLS) vers l'ip LAN de mon NAS.
De l’extérieur cela ne marche pas (donc exactement le même cas que nôtre ami ici présent), mais du réseau LAN all is OK.
J'ai donc modifié les ports passif FTP : 55536 à 55559 puis ajout sur ma freebox :
J'ai configuré mon client filezilla "Connexion Explicite sur TLS", paramétres de transfert en "passif" et "Forcer l'UTF-8".
Pour une meilleur gestion de l'ouverture des ports je ne conseille pas spécialement l'utilisation de upnp, et je préfère déclarer mes ports directement au niveau transfert de port (PAT). Je pense que le problème vient potentiellement de là. :?
puis entre nous changer le port ssh de 22 à 22XX ne sers pas vraiment à grand choses un petit coup de nmap et hop c'est comme si tu avais pissé dans un violon
Ton port SSH peut être ouvert vers l'extérieur il faut cependant le sécurisé, exemple : tu white liste les IP publiques que tu connais (d'où tu veux te connecter en ssh) et tu active "Si au bout de 3 tentatives de login échoué sur ssh tu perma Ban" au niveau d'ADM defender. Tu peux même blacklister en dur certains pays/continents
J'ai pas mal de bot qui sont passé sur mon NAS tentant de ce connecter en SSH je suis à plus de 200 IP perma BAN (compte guest désactivé également sinon c'est trop facile :lol: ).
Ah et puis oublie pas pour le ssh tu peux toujours utilisé une paire de clé pour l'authentification (ce qui évite la saisie du MDP, comme ça même si tu as un petit malin qui sniff ton réseau .. dans le baba ) .. bien entendu en 4096 ça va de soit:
ssh-keygen -t rsa -b 4096
J'ai déjà bloqué les adresses IP de tous les payer hors la France. après je m'en sers pour quelques courriers non importants et les films. Donc j'ai pas de donner ultrasensible.