Anmeldung einschränken, IP-Bereich

[Guiuana]

Guten Morgen,

ist es irgendwie möglich, den Zugriff auf die Weboberfläche einzuschränken? Mir würde dabei als erste einfallen, dies über einen IP-Adressbereich zu lösen. Ein Beispiel:

Eine WDTV-Live-Box greift auf die DS via SMB-Share zu, dürfte sich aber auch an der Weboberfläche anmelden. Da diese ein sehr einfaches Kennwort hat, möchte ich dies gerne (zumindest aus dem Internet) unterbinden. Der WDTV-User soll sich ausschließlich aus dem lokalen Netz 192.168.178.x verbinden lassen, nicht aus anderen Kreisen.
Von diesen Beispielen habe ich mehrere (Netzwerkscanner, WDTV,

Geht das?

Gruß,

Daniel

 

[fpo4711]

Hallo Guiuana und Willkommen im Forum,

das beste wäre sicherlich einfach gewisse Dienste wie Freigaben oder ähnliches erst gar nicht über das Internet (Portfreigaben) zur Verfügung zu stellen. Eine gewisse Einschränkung kannst Du über die Anwendungsbeschränkungen in der Systemsteuerung erreichen. Auch durch die Firewall könntest Du allein dadurch das Du einige Ports nur auf den lokalen IP-Bereich begrenzt Beschränkungen erreichen. Wenn Du aber den Webserver des DSM auf jeden Fall nach draussen freigeben willst und hier nur den Zugriff auf gewisse Benutzer reduzieren willst wirst Du ohne einen etwas tieferen Eingriff nicht herrumkommen.

Hierzu wäre dann das Stichwort .htaccess bzw. die Anpassung der /usr/syno/apache/conf/httpd.conf-sys

Aber vieleicht fällt ja einem anderen Forenteilnehmer noch was schlaues ein.

Gruß

 

[Erebus]

Am router nur ports durchlassen die du auch brauchst. Die firewall in der ds richtig konfigurieren und die anwendungen beschränken wie @fpo4711 schon geschrieben hat.
Was hindert dich für den WDTV-Live-Box account ein besseres passwort zu vergeben. Das muss man doch sicher auch nur einmal eintragen....

 

[hopeless]

Du kannst mit dem WDTV auch per NFS zugreifen, dann sparst du dir den WDTV-User und das ist auch noch schneller (sagt man).

 

[Guiuana]

Ja, das würde den User für das WDTV ablösen, allerdings habe ich noch einen Kyocera MFP, mit dem ich dann aber nur per SMB scannen kann. Andere Varianten (auf Mac oder Mail) kommen da für mich nicht in Frage.

Das ganze muss nicht unbedingt über die Oberfläche passieren, ich bearbeite dafür auch gerne Dateien auf der Shell.....

 

[fpo4711]

Hallo,

vieleicht definierst Du mal was Du gern nach "Draussen" haben willst. Die Freigaben sind ja im Normalfall nicht von draussen zu erreichen. Und die Filestation kannst Du benutzerabhängig de-/aktivieren. Ansonsten ist sowieso meine Empfehlung Zugriff von aussen wenn nötig über VPN.

Gruß Frank

 

[Guiuana]

Also...*aushol*

Ich habe auf meiner DS diverse Dienste auch ins Internet freigegeben. Genauer sind dies HTTP-GUI (5000), Webserver (80), WebDAV (5005) sowie bei Bedarf FTP-Server und SSH (21 nur passiv sowie 22).

Nun ist es ja möglich, mit JEDEM angelegten Benutzer sich aus aus dem Internet auf die Weboberfläche einzuloggen. Dies soll aber bei eingen Benutzern nicht ermöglicht werden. Diese sollen nur aus dem privaten IP-Bereich (192.168.178.x) heraus Zugriff haben.

Bei dem WDTV-User sehe ich da ja mit NFS noch ein, aber beim Scan-User hört dann (aufgrund der Hardware) die Freunschaft auf. Dieser kann das NAS nur über SMB ansprechen.

Ich hoffe, die Situation ist jetzt klarer.

 

[Puppetmaster]

Zunächst mal ist es nicht so gut, die DSM-GUI über Port 5000 (was dann wohl nacktes http bedeutet) freizugeben. Benutzername/Passwort werden da schonmal im Klartext(!) übertragen. Wenn überhaupt, dann nur per https (Port 5001). Am besten aber von extern nur per VPN zugreifen und Port 5000 sowie 5001 gar nicht erst öffnen.

Dann kannst du darüberhinaus ja für die Benutzer, die du nur intern für SMB/NFS Freigaben benötigst ein sicherers Passwort nehmen und auch noch die 2-Wege-Authentifizierung einschalten. So wird es schon sehr schwierig sein, von aussen auf dem DSM zuzugreifen.

 

[raymond]

Nun ist es ja möglich, mit JEDEM angelegten Benutzer sich aus aus dem Internet auf die Weboberfläche einzuloggen. Dies soll aber bei eingen Benutzern nicht ermöglicht werden. Diese sollen nur aus dem privaten IP-Bereich (192.168.178.x) heraus Zugriff haben.

Und genau das habe ich auch schon vor 1 oder 2 Jahren Synology vorgeschlagen: bisher nix passiert. Also Synology mal anschreiben: http://www.synology.com/company/contact_us.php?lang=deu
Ich hätte auch gerne noch die Möglichkeit, dass man einfach User mit Admin-Rechten (die in der administrators Gruppe sind) sich an bestimmten Diensten nicht von öffentlichen IP-Adressen anmelden kann. Ganz oben natürlich die DSM-GUI. Kannst du auch denen mal vorschlagen.

Aber dafür kam vermutlich die 2-Stufen-Authentifizierung und mein Vorschlag wurde daher nicht umgesetzt.

 

[Guiuana]

Zunächst mal ist es nicht so gut, die DSM-GUI über Port 5000 (was dann wohl nacktes http bedeutet) freizugeben. Benutzername/Passwort werden da schonmal im Klartext(!) übertragen. Wenn überhaupt, dann nur per https (Port 5001). Am besten aber von extern nur per VPN zugreifen und Port 5000 sowie 5001 gar nicht erst öffnen.

Dann kannst du darüberhinaus ja für die Benutzer, die du nur intern für SMB/NFS Freigaben benötigst ein sicherers Passwort nehmen und auch noch die 2-Wege-Authentifizierung einschalten. So wird es schon sehr schwierig sein, von aussen auf dem DSM zuzugreifen.

Alles erledigt, bis auf einen User, der zwar nur per SMB auf das NAS zugreift, von dem ich aber das Kennwort nicht mehr weiß. HTTPS hab ich auch eingerichtet, aber nur mit selbst-unsterschriebenen Cert. Gibt es irgendwo für Privatpersonen kostenlose?

VPN ist leider nicht möglich, dies lässt mein Arbeitgeber nicht zu.

 

[hopeless]

HTTPS hab ich auch eingerichtet, aber nur mit selbst-unsterschriebenen Cert. Gibt es irgendwo für Privatpersonen kostenlose?

Hier, sogar mit Anleitung: http://www.msxfaq.de/signcrypt/startssl.htm

 

[Puppetmaster]

Obwohl das ja nicht unbedingt notwendig ist. Ausnahme im Browser einpflegen und gut ist.