23/11/2024

Utiliser des ports différents pour DSM

Notre NAS est désormais accessible uniquement via le protocole HTTPS, même si le protocole HTTP est toujours actif. Néanmoins, l'interface DSM est accessible via les ports par défaut, que tout le monde connaît y compris les pirates informatiques : les ports 5000 et 5001. Ainsi, pour accéder à l'interface DSM d'un équipement Synology, on sait que l'on doit spécifier le port 5000 ou le port 5001 à la fin de l'URL. Afin que l'interface du NAS soit plus difficilement détectable, nous allons configurer DSM pour utiliser des ports différents de ceux par défaut !

Tout d'abord, accédez à "Panneau de configuration" puis à "Portail de connexion". Ici, au sein de l'onglet "DSM", il y a deux informations intéressantes :

  • Port DSM (HTTP) : 5000
  • Port DSM (HTTPS) : 5001

Ce sont les deux ports utilisés actuellement par notre interface DSM, ce qui confirme mes propos et le fait qu'ils soient utilisés par défaut par l'ensemble des NAS Synology !

I. Changer les ports d'écoute de DSM

Pour se débarrasser des ports 5000 et 5001, il suffit de remplacer les deux valeurs actuelles par une autre valeur. Par exemple, vous pouvez utiliser 15000 et 15001, ou des ports totalement différents : 16070 et 16171. Pour cela, il suffit de modifier les deux numéros de port et de valider.

Synology DSM utiliser des ports différents

Il faut patienter quelques secondes avant que la modification soit prise en compte. Le message "Redémarrage du serveur Web" s'affiche sur l'interface DSM. Désormais, le nouveau numéro de port doit être utilisé pour accéder au NAS.

Désormais, pour accéder au NAS :

https://<ip-du-nas>:<nouveau port HTTPS>

II. La redirection automatique sur les ports 80 et 443

Nous venons de changer les ports d'accès à DSM, c'est très bien. Par contre, si l'on accède au NAS en HTTP ou HTTPS sans spécifier le port, il va nous rediriger vers le nouveau port, ce qui est un peu dommage !

Donc, si l'on veut aller jusqu'au bout de notre démarche et qu'un accès en HTTPS et HTTP ne retourne aucun résultat (sauf sur nos ports personnalisés), il y a trois solutions :

  • Bloquer les deux ports dans le pare-feu DSM (attention si vous souhaitez héberger un site Web sur le port HTTPS/443 sur votre NAS)
  • Modifier les fichiers de configuration du NAS (mais ce sera perdu à chaque fois que le NAS se mettra à jour)
  • Accepter l'existence de cette redirection, mais ne pas exposer les ports 80 et 443 sur Internet (uniquement le port HTTPS de DSM) afin de ne pas permettre ce flux

Nous verrons par la suite comment configurer le pare-feu de façon détaillée, car un chapitre lui est réservé. À titre d'information, je vous donne la méthode qui consiste à modifier les fichiers de configuration du NAS (ce qui peut vous empêcher d'utiliser certains services comme la génération d'un certificat Let's Encrypt, Web Station ou encore Photo Station).

Nous devons modifier trois fichiers de configuration en ligne de commande via l'accès SSH. J'insiste sur le fait que vous n'êtes pas obligé d'appliquer cette partie (notamment si vous n'êtes pas très à l'aise avec l'utilisation de la ligne de commande).

Sinon, pour ceux qui souhaitent le faire, vous devez activer temporairement l'accès SSH sur le NAS (Panneau de configuration > Terminal & SNMP > Activer le service SSH), puis vous connecter en SSH sur le NAS via un logiciel tel que PuTTY. A partir du moment où vous êtes connecté, voici les deux commandes à exécuter :

sudo sed -i -e 's/80/81/' -e 's/443/444/' /usr/syno/share/nginx/server.mustache /usr/syno/share/nginx/DSM.mustache /usr/syno/share/nginx/WWWService.mustache
sudo systemctl restart nginx

La première commande va remplacer la valeur "80" par "81" et la valeur "443" par "444" (vous pouvez utiliser autre chose que 81 et 444) dans trois fichiers de configuration du serveur Nginx de Synology : server.mustache, DSM.mustache et WWWService.mustache. La seconde commande va recharger le serveur Web Nginx.

Voilà ! L'interface DSM ne sera plus accessible si l'on accède à "http://<ip du nas>" ou "https://<ip du nas>", car il faudra impérativement préciser le numéro de port.

Chapitre Précédent
Retour au Module
Chapitre Suivant
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Connaissez-vous la chaussure intelligente d’Apple ?

Florian BURNEL 0
Mozilla Firefox 127 - Code PIN gestionnaire de mots de passe

Firefox 127 améliore la sécurité des mots de passe enregistrés dans le navigateur

Florian BURNEL 0

Vulnérabilité Log4Shell (Log4j) : quels sont les produits vulnérables ?

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.