Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Bloquer upload p2p dsm 6

ragstein

Hello la compagnie,

J'ai fait l'acquisition d'un synology ds212j sur lequel tourne dsm 6.
Dessus j'ai installé le plugin DownloadStation qui me permet de faire du torrent, le problème, niveau légalité en Suisse, la mise a disposition d'un contenu genre films/série, est illégale. En soit, appliqué au torrent, le seeding est interdit, par contre faire du leech, pas de souci.

dsm possède iptables comme pare-feu.

J'aimerais sur mon réseau locale autorisé tout le trafic sur tout les ports de toutes mes ip local. J'ai donc fait :

sudo iptables -A INPUT -s 192.198.1.0/24 -d 192.168.1.0/24 -j ACCEPT
sudo iptables -A OUTPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

Ensuite, j'aimerais accéder a mes partages windows puisse le faire depuis l’extérieur aussi donc j'ai exécuté:

sudo iptables -A INPUT -p tcp --dport 445 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 445 -j ACCEPT

J'autorise ensuite le traffic bittorent du port 16881 en entrée ainsi que le tracker sur le port 80

sudo iptables -A INPUT -p tcp --dport 16881 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

Ensuite de ça, je bloque le reste du trafic comme suit

sudo iptables -A INPUT -j DROP
sudo iptables -A OUTPUT -j DROP

Premier problème, suite aux deux dernières ligne, je n'ai plus accès à mes partages, est-ce que je devrais rajouter faire un iptables -A INPUT -p tcp --sport 445 -j ACCEPT ? (pareil en output)
Ou bien rajouter -p udp ?
et deuxième problème, lorsque j'ajoute un torrent, je n'arrive pas atteindre le tracker qui est sur le port 80

Je vous remercie d'avance pour votre aide :-)

ragstein

J'ai réalisé que mon synology ne pouvait pas faire de requête dns, du coup j'ai ajouté l'autorisation a ce niveau, voila du coup un résumé des règles

Chain DEFAULT_OUTPUT (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.1.0/24       192.168.1.0/24
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain dpt:domain
DROP       tcp  --  anywhere             anywhere             tcp spt:16881 dpt:16881
DROP       udp  --  anywhere             anywhere             udp spt:16881 dpt:16881
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp spt:http dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp spt:microsoft-ds dpt:microsoft-ds
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:microsoft-ds dpt:microsoft-ds
DROP       all  --  anywhere             anywhere

Chain DEFAULT_INPUT (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.1.0/24       192.168.1.0/24
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:16881 dpt:16881
ACCEPT     udp  --  anywhere             anywhere             udp spt:http dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:microsoft-ds dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere             udp spt:microsoft-ds dpt:microsoft-ds
DROP       all  --  anywhere             anywhere

Mais les problèmes persistent 🙁

ragstein

Alors, pour mon but initial, il faudrait que je mette en place un filtre sur la couche applicative, mais du coup, est-ce que DSM 6 en possède un ? (Je vais investiguer de ce coté)