Synology Gestion des permissions utilisateurs

Xisquare

Nouveau membre
Je possède un DS220J sur lequel je souhaiterais filtrer l'accès d'un utilisateur à certaines applications par adresse IP.
L'idée est que cet utilisateur ne puisse accéder qu'au réseau local, en l'occurrence 192.168.1.1/24, et pas par l'extérieur.

Le filtrage par IP est pourtant possible en cochant l'option dans le menu "utilisateurs et groupes" :
Capture d’écran 2022-08-05 183653.png

Mais si j'ajoute cette plage dans l'onglet "IP permises", cela n'interdit pas par défaut les adresses non listées :
Capture d’écran 2022-08-04 235640.png


J'ai fait le test, l'accès par l'extérieur est toujours possible.
J'ai essayé d'ajouter 0.0.0.0/0 dans la liste des blocages mais la validation de saisie est impossible, mais même si ça l'était, à mon avis ça ne marcherait pas puisque un refus prime toujours sur une autorisation :
Capture d’écran 2022-08-04 235943.png

Une idée...?
 

Pièces jointes

  • Capture d’écran 2022-08-04 234817.png
    Capture d’écran 2022-08-04 234817.png
    13.8 KB · Affichages: 15
  • Capture d’écran 2022-08-04 234848.png
    Capture d’écran 2022-08-04 234848.png
    6.2 KB · Affichages: 5
  • Capture d’écran 2022-08-04 235640.png
    Capture d’écran 2022-08-04 235640.png
    7.2 KB · Affichages: 5
  • Capture d’écran 2022-08-05 154602.png
    Capture d’écran 2022-08-05 154602.png
    14.1 KB · Affichages: 10
Dernière édition:

Neo974

Chevalier Jedi
D'après tes capture d'écran dsm est autorisée peu importe l'ip.

Pour que le filtrage fonctionne il faut que la case de la colonne "par ip" soit cocher.

Si tu mets des informations dans la partie ip autorisée et rien dans la liste de blocage, il refusera toutes les ip sauf celles autorisée.

Demain soir j'essaierai de regarder ma conf et de faire des capture d'écran.
 

MilesTEG1

Maître Jedi
@Xisquare Je pense que tu confonds les permissions d´accès des utilisateurs aux applications dsm et les autorisations d’ip du pare-feu.
ce que tu as configuré me semble être les blocages Ou autorisations du blocage après plusieurs tentatives de connexions infructueuses.
ce que tu cherches à faire c’est dans le pare-feu du nas que tu le trouveras.
je te fait une capture dans la journée 😊
 

MilesTEG1

Maître Jedi
Salut :)
Alors, me voilà devant mon ordi :) Plus pratique pour trouver les captures et utiliser DSM :)

Du coup, si je résume bien, tu veux que certains utilisateurs ne puissent accéder à certaines applications que depuis le LAN ?
Peux-tu faire une liste de ces applications ?
Ces mêmes applications doivent-elles être accessible depuis internet pour d'autres utilisateurs ?
 

Xisquare

Nouveau membre
Merci @MilesTEG1 et @Neo974 pour vos retours.
@Neo974 : La capture ne correspondait pas, j'ai édité mon post.
@MilesTEG1 : Oui, c'est exactement ça. Je veux qu'un utilisateur puisse accéder uniquement à l'application Surveillance Station, et seulement depuis le LAN. Je ne veux pas que cet utilisateur ait accès depuis l'extérieur.
En revanche, d'autres utilisateurs ont accès à Surveillance Station, DSM, Drive, Synology Photos, et ce depuis le LAN et depuis l'extérieur.
En espérant avoir été clair.
 

MilesTEG1

Maître Jedi
@MilesTEG1 : Oui, c'est exactement ça. Je veux qu'un utilisateur puisse accéder uniquement à l'application Surveillance Station, et seulement depuis le LAN. Je ne veux pas que cet utilisateur ait accès depuis l'extérieur.
En revanche, d'autres utilisateurs ont accès à Surveillance Station, DSM, Drive, Synology Photos, et ce depuis le LAN et depuis l'extérieur.
En espérant avoir été clair.
Je ne suis pas sûr que ce soit possible...
@FX Cachem @EVOTk

Éventuellement demande au support Synology, ils sauront probablement mieux que nous ^^
 

Xisquare

Nouveau membre
@MilesTEG1 pas bête de demander au support ^^
Sinon, tant pis. Cette idée était pour augmenter un poil le niveau de sécurité de ce compte sur lequel la 2FA est désactivée, car le logiciel Synology Surveillance Station Client installé sur les postes Windows du LAN demande systématiquement l'OTP même après avoir coché la case "mémoriser cet appareil":
Capture d’écran 2022-08-05 163055.png

Le mot de passe est fort et le blocage auto est activé, le risque est donc faible.
Je vais tout de même demander à Synology et je vous transmettrai la réponse !
 

Neo974

Chevalier Jedi
Dans ta capture d'ecran, c'est DSM qui est autoriser selon un filtrage ip, tu devrait avoir dans la liste des application surveillance station et activer aussi la connexion par ip pour surveillance station.
 

Xisquare

Nouveau membre
@Neo974 Exact, c'est que j'ai fait l'essai en activant seulement DSM et en refusant toutes les autres applis pour voir si la restriction IP marchait, la réponse est non.
Je re-re-modifie le post pour que ce soit plus clair ;)
 

Neo974

Chevalier Jedi
Alors après avoir vérifier mes réglages, chez moi quand je teste depuis l'extérieur j'ai ceci (sauf pour download station ce qui est attendu chez moi):

1659719173536.png

Du coup pour que ca marche, je te conseillerais de faire ceci :
-1 retirer l'utilisateur de tous les groupe dont il est membres. (car tu voit bien que les autorisation de groupe est sur "autoriser et non sur "par IP")
-2 pour le groupe "USERS" (dont tu ne peut pas l'enlever par default) décoche tout au niveau des droits pour les applications .
(car si le user est membre d'un groupe qui autorise sur toutes les ip alors il aura le droits sur toute les ip, si il membre d'un groupe qui est refuser, puis un autre groupe qui est autoriser juste sur une ip, il aura accès juste sur une ip)
1659719319817.png


-3 refait les test et ca devrait fonctionner.

-4 éventuellement créer un groupe qui va autoriser juste sur par ip pour mettre les personnes concernés dedans ( si y en a beaucoup), ou juste parce que en entreprise c'est toujours conseiller de mettre les droits et restrictions sur un groupe plutôt que un utilisateur.
 
Dernière édition:

Xisquare

Nouveau membre
si le user est membre d'un groupe qui autorise sur toutes les ip alors il aura le droits sur toute les ip, si il membre d'un groupe qui est refuser, puis un autre groupe qui est autoriser juste sur une ip, il aura accès juste sur une ip
Ca m'étonne car il me semblait que c'était plutôt la règle la plus restrictive qui l'emporte.
En d'autres termes, si un groupe refuse l'accès à une application X, ses utilisateurs ne pourront y accéder, même s'ils autorisent la règle explicitement, ou s'il font partie d'un groupe qui l'autorise.

En tout cas, malgré tes conseils, je n'ai pas résolu mon problème. J'ai vérifié le groupe users, tout était décoché. J'ai même essayé de restreindre le groupe users par IP (il est 23h00... personne n'est connecté sauf moi ^^) + l'utilisateur également filtré par IP : connexion toujours possible hors LAN.

Je n'ai peut-être pas la même version DSM que toi. La tienne est peut-être plus complète. Voici le menu qui s'affiche lorsque je coche "Par IP" :
Capture d’écran 2022-08-05 232133.pngCapture d’écran 2022-08-05 232204.png
Dans l'onglet "Liste des blocages", je peux ajouter une plage d'adresse IP mais je ne peux pas saisir "Tous", ni "0.0.0.0/0", ni hiérarchiser les listes.
 

Neo974

Chevalier Jedi
je sais qui si un groupe refuse l'accès et l'autre l'autorise, l'accès sera refuser.
Pour le filtrage par ip ca doit etre la meme chose.
Ensuite les droits donner a un groupe sont au dessus de ceux donner directement a l'utilisateur a priori.


Pour revenir a ton problème, essaie de créer un autre utilisateur et voir si ca te fais la même chose.
Verifie si ton utilisateur n'est pas membre de d'autre groupe.
 

Xisquare

Nouveau membre
J'ai bien essayé, toujours la même chose.
Tant pis, j'abandonne.
J'attends la réponse de Synology, s'il y en a une un jour :D
Merci pour ton aide !
 

Neo974

Chevalier Jedi
Etrange que tu n'y arrive pas alors que moi je l'ai fait sans problème.
Cela vient peut etre du reseau de ton entreprise.
Par exemple dans le widget utilisateurs connectés, quand tu passe ta souris sur un utilisateurs il te donne l'ip de connexion.
Il te met quoi comme ip ?
1659737098665.png
Ca peut etre le pare feu de ton entreprise qui fait qu'il considère la connexion comme une ip locale ( ip du pare feu)
un proxy ( ou reverse proxy) qui fait qu'il considere l'adresse de celui ci au lieu de l'adresse externe.


Il faut pas oublier que sur un réseau d'entreprise les flux et configurations ne sont pas les memes que sur un réseau domestiques.


Surveillance station utilise les memes port que dsm de mémoire, essaie donc d'activer aussi l'accès par ip pour dsm.
 

Neo974

Chevalier Jedi
Autre chose a laquelle je viens de penser : pour te connecter à surveillance station de l'exterieur, tu utilises un VPN ? Si oui quelle ip as-tu en Vpn?
 

Xisquare

Nouveau membre
Je viens de tester, j'ai bien l'adresse IP externe.
Je n'utilise pas de VPN pour Surveillance Station.
Le PC source que j'utilise ne passe pas par le proxy d'entreprise.
Ca peut etre le pare feu de ton entreprise qui fait qu'il considère la connexion comme une ip locale ( ip du pare feu)
un proxy ( ou reverse proxy) qui fait qu'il considere l'adresse de celui ci au lieu de l'adresse externe.
C'est possible, après c'est une TPE de 5 personnes et avec une infra réseau extrêmement simple ; il n'y a pas de pare-feu ni de routage externe à la box (Livebox Orange).
 
Haut Bas