Benutzer nur im lokalem Netz Zgriff gewähren

mördock · 07. Apr 2016

Moin,

bereits vor einigen Jahren hat das mal jemand hier angefragt, damals leider ohne Lösung.
Gibt es eine Möglichkeit einen Benutzer so einzuschränken das er nur im lokalen Netz Zugriff auf die File- Photo- und Audiostation hat? Über das Internet soll dieser Benutzer keinen Zugriff auf die Daten haben? Habe schon mal kurz im DSM nachgeschaut, bin aber nicht fündig geworden. Kann man da was mit der Firewall machen oder mit irgendwelchen Benutzerrechten?

Mördock

Wenn jemand meint das dieses Thema hier falsch ist bitte verschieben. Mir geht es in erster Linie um die Filestation, darum poste ich hier.

Anzeige · 07. Apr 2016

Hallo mördock,

Bücher und Hardware zum Thema gibt es bei Amazon: Benutzer nur im lokalem Netz Zgriff gewähren

Fusion · 07. Apr 2016

Daran hat sich meines Wissens noch nichts geändert. Zugriffe sind Dienste-basiert organisiert (egal ob intern oder extern der Zugriff erfolgt).
Wenn ein Dienst für einen Benutzer extern zugänglich ist, dann auch für andere die den Dienst benutzen dürfen.
Du kannst versuchen beim jeweiligen Benutzer die Berechtigung für Applikationen nach IP zu setzen.

Edit: Inhaltliche Ergänzung, Zeile 2.

mördock · 07. Apr 2016

mmmmhhh, schade.
Na gut, dann werde ich mal schauen ob irgendwie einen einigermaßen sinnvollen Weg finde es umzusetzten.

Fusion · 07. Apr 2016

Es gab mal ein Gerücht, dass eine bessere Trennung der Authorisierung für intern/extern mit DSM 6 kommen sollte, vielleicht ja noch mit einem .x Minor-Update.
Habe DSM 6 noch nicht im Einsatz, aber auch nix in die Richtung gelesen bis jetzt.

Wie gesagt, mit den IPs könntest du was probieren.

Wenn ich einem Benutzer Zugriff gewähre auf einen Dienst, ist es mir egal, von wo er zugreift.

Vielleicht kannst du etwas mehr Hintergrund zu deinem Vorhaben schildern, vielleicht fällt uns dann noch eine Alternative Umsetzung ein (auch abhängig von den Clients).

Iarn · 07. Apr 2016

Mal die Gegenfrage: auf welche Dienste soll denn vom Internet aus zugegriffen werden?

mördock · 07. Apr 2016

Es gibt bei mir einen Nutzer der auschließlich im lokalen Netz mit einem Androidtablet Daten in die Filestation packt, Musik mit der Audiostation hört und Fotos per DSPhoto+App hochlädt oder einfach nur Fotos in der App betrachtet.
Das Tablet verlässt nie das lokale Netz, alle Dienste sind aber über das Intenet zu erreichen. Mit den Benutzerdaten des Users kann ich mich von überall auf der Welt an der DS anmelden. Die 2 Wege Authentifizierung macht die Sache schon sicherer, ich kann das Tablet als vertrauenswürdig einstufen und man merkt somit im Alltag nichts davon, dennoch sind die Daten immer noch übers Internet erreichbar. Zwar sicherer als nur mit Nutzer und Kennwort, aber ich würde die Erreichbarkeit gerne ganz unterbinden.

Iarn · 07. Apr 2016

Da stelle ich mal die Frage: wieso sind alle Dienste aus dem Internet zu erreichen.
So wie Du das schilderst, wäre es am einfachsten die DS nicht mehr aus dem Internet erreichbar zu machen. Deswegen die Frage, was denn aus dem Internet erreicht werden muss.

Puppetmaster · 07. Apr 2016

Warum gibst du dann die Dienste überhaupt im Internet frei (Portfreigabe), wenn du sie von ausserhalb gar nicht nutzen willst?

EDIT: Iarn war schneller

mördock · 07. Apr 2016

Ich formuliere den ersten Satz meines letzten Beitrages neu:
Es gibt bei mir einen Nutzer (neben mehreren Mobilen Nutzern) der auschließlich im lokalen Netz mit einem Androidtablet Daten in die Filestation packt, Musik mit der ............................................

Puppetmaster · 07. Apr 2016

Aber du argumentierst ja mit dem Thema Sicherheit, von daher ändert sich doch nichts daran, wenn du nur dem einen Nutzer den externen Zugriff untersagst, jeder andere Nutzer aber extern zugreifen kann.

Ich versteh's grad nicht...

Fusion · 07. Apr 2016

Dann wäre es eventuell möglich einen Benutzer anzulegen, der keine DS Anwendung benutzen darf und nur z.B. per SMB Zugriff auf die DS und bestimmte Ordner erhält.
Auf dem Android Tablet wird dann ein SMB fähiger Dateimanager installiert und damit die Daten auf die DS gepackt.

mördock · 07. Apr 2016

Schon klar. Jeder offene Port, jeder Dienst birgt Gefahren. Wollte halt nur die Daten eines Users möglichst gut vom Internet abschotten, da er halt definitiv nie von extern zugreifen wird. Ist nichts halbes und nichts ganzes, aber ein kleiner weiterer Schritt

Puppetmaster · 07. Apr 2016

Nee, macht in meinem Augen wenig Sinn. Wenn er sich ohnehin nie von extern anmelden wird, wo ist das Problem?

2-Wege-Auth noch einschalten und gut ist.

mördock · 07. Apr 2016

Ich mach mir halt das Leben gerne kompliziert.

. 2-Wege-Auth ist aktiv.
Los und jetzt wirft noch einer ein: Aber Zugriff von extern bitte nur per VPN.

Suche

Benutzer nur im lokalem Netz Zgriff gewähren

mördock

Benutzer

Anzeige

Fusion

Benutzer

mördock

Benutzer

Fusion

Benutzer

Iarn

Benutzer

mördock

Benutzer

Iarn

Benutzer

Puppetmaster

Benutzer

mördock

Benutzer

Puppetmaster

Benutzer

Fusion

Benutzer

mördock

Benutzer

Puppetmaster

Benutzer

mördock

Benutzer

Kaffeautomat