blockierte Adressen der Fotostation auffinden

[Netranger]

Hallo Zusammen,

War länger nicht hier und stelle mein Problem mal zur Diskussion.

Verwende meine DS derzeit hauptsächlich als Fotoserver Freunden zur Verfügung und bin nun öfters auf das Problem mit Benutzern die einfach zu blöd sind Ihren Benutzernamen und das Passwort richtig einzugeben was nach 5 maliger Falscheingabe die Sperre zur Folge hat was auch so gewünscht ist.

Aaaaber, heute ruft mich mal wieder einer an und ich suche nach der Adresse der Users der natürlich selbst zu dämlich ist seine eigene Adresse zu kennen

So weit so ungut, aber jetzt sag mir mal einer wo finde ich im Log eine Verbindung zwischen einem Benutzer der als geblockt markiert wurde im Zusammenhang mit seiner IP ?

Vor allem beim Fotoserver ist das nicht so einfach muß ich schon sagen oder habe ich da etwas übersehen?

Bei FTP ist das etwas anderes, da hier der User mit der IP geloggt wird und im Protokoll leicht identifizierbar ist, aber wie gesagt bei den Fotos sieht man da ein wenig alt aus.

Vielleicht habt Ihr ja doch nen Tipp für mich

Gruß vom Ranger

 

[jahlives]

Unter den Autoblock Optionen im DSM solltest du die aktuell geblockten IPs sehen können. Und ein Kumpel soll einfach mal eine Seite wie www.wieistmeineip.de aufrufen, wenn er seine IP ned kennt

 

[Netranger]

Lösungsfindung

Danke für den Input!


Genau so habe ich es auch gelöst, aber ich dachte es gibt da etwas was ich evt. übersehen habe bei den Logs die man kreuzweise vergleichen kann.

Das ging aber auch nur deshalb weil der eine permanente Adresse hatte.
Die meisten haben aber eine dynamische Adresse.

Das extrem unangenehme ist, man sieht im Log der Fotostation nicht, daß ein User der zwar nicht gesperrt, jedoch von einer geblockten Adresse zugreifen will nicht als solches zu erkennen mit Vermerk geloggt wird. (steht nicht dabei daß er keine Berechtigung hatte)

Das wäre von großem Vorteil

 

[jahlives]

Das ging aber auch nur deshalb weil der eine permanente Adresse hatte.
Die meisten haben aber eine dynamische Adresse.

Das versteh ich jetzt nicht ganz. Wenn der fragliche User eine dynamische IP hat kann er doch auf eine solche Seite gehen und sieht seine momentane Adresse. Die kann er dir dann durch geben und du entsperrst sie.
Das Problem beim Autoblock ist, dass dies bereits auf der Firewall passiert. Also bevor der Webserver wissen kann welcher User da reinkommen will. Diese Anfrage kommt nie bis zum Webserver Prozess. Von daher wird es schwierig zu erkennen wenn ein "unschuldiger" User geblockt wird. Es werden ja nicht Accounts gesperrt, sondern IPs werden blockiert. Wenn auf Account-Basis geblockt würde, dann könnte man sehr schnell Accounts von unschuldigen Usern sperren. Allenfalls sogar den admin Zugang im DSM

 

[Netranger]

Zusatzinfos

Das versteh ich jetzt nicht ganz. Wenn der fragliche User eine dynamische IP hat kann er doch auf eine solche Seite gehen und sieht seine momentane Adresse. Die kann er dir dann durch geben und du entsperrst sie.
Das Problem beim Autoblock ist, dass dies bereits auf der Firewall passiert. Also bevor der Webserver wissen kann welcher User da reinkommen will. Diese Anfrage kommt nie bis zum Webserver Prozess. Von daher wird es schwierig zu erkennen wenn ein "unschuldiger" User geblockt wird. Es werden ja nicht Accounts gesperrt, sondern IPs werden blockiert. Wenn auf Account-Basis geblockt würde, dann könnte man sehr schnell Accounts von unschuldigen Usern sperren. Allenfalls sogar den admin Zugang im DSM

Also da siehst Du was falsch, denn wie sonst würde die Fotostation schreiben "Sie sind nicht berechtigt" oder so ähnlich.

Übrigens habe ich die FW an der DS gar nicht aktiv - Das sind offensichtlich zwei paar Schuhe. Es mag aber sein, daß das ein Ableger oder Teil der FW ist auch wenn diese nicht aktiv ist. (Ich bevorzuge Hardware-FW davor)

Sicher kann man den Benutzer nach seiner IP fragen, aber es verursacht Arbeits- und Zeitaufwand.

Was hier fehlt ist ganz einfach ein Logfile speziell für die Fotostation.
Dann wäre es einfach nachzuvollziehen wer wann falsch eingeloggt hat.

Beim FTP-Dienst sieht man ja wie man es machen könnte, also warum denn nicht hier auch?

Die Blockaden bei FTP werden ja an der gleichen Stelle abgefangen.

Zumeist ist es dann auch so, daß es für den reklamierenden Benutzer nicht klar ersichtlich ist, daß er einen Fehler bei vorangegangenen Loginversuchen begangen hat, denn die DS schreibt Ihm auch nicht "Userdata wrong" (was auch gut so ist) aber er sieht halt "nicht berechtigt".
Jeder zweite fragt mich nun zuerst mal nach seinen Logindaten die ich ja gar nicht mehr habe und ändere diese nach seinem Wunsch.
Erst jetzt sieht er, es funktioniert immer noch nicht und interveniert ein zweites mal - ich hoffe Du verstehst nun mein Anliegen.

Bis gleich - Ranger

 

[Trolli]

Es gibt meines Wissens nach keine Blockierung bei der Photo Station, selbst wenn die IP in der Blockliste steht. Aus der Onlinehilfe des DSM:

Fehlversuche beim Login über SSH, Telnet, rsync, FTP, iPhone, File Station oder die Verwaltungsschnittstelle werden aufsummiert.

Die Photo Station hatte bei mir mal nach einem Firmwareupdate ein Problem mit den Benutzernamen. Wenn ich das recht im Kopf habe, war das irgendwas mit Gross/Kleinschreibung. Dabei bekam man genau diese Fehlermeldung "nicht berechtigt". Ich musste damals alle Photo Station Benutzer löschen und neu einrichten, damit alles wieder lief. Vielleicht probiertst Du das bei dem betroffenen Benutzer auch mal?

 

[itari]

Der ftp auf der DS ist was ganz Spezielles (smbftpd http://www.twbsd.org); das darf man nicht in einem Vergleich mit einem Webserver setzen.

Nichts desto trotz kannst mal bei den Synology-Entwicklern nachfragen, ob sie die Useranmeldung bei der PhotoStation protokollieren können.

Itari

 

[Netranger]

Der ftp auf der DS ist was ganz Spezielles (smbftpd http://www.twbsd.org); das darf man nicht in einem Vergleich mit einem Webserver setzen.

Nichts desto trotz kannst mal bei den Synology-Entwicklern nachfragen, ob sie die Useranmeldung bei der PhotoStation protokollieren können.

Itari

Nachgefragt hab ich natürlich auch schon bei den Synologen

Dachte Anfangs, daß ich mangels Erfahrung (das Teil läuft halt einfach gut) etwas übersehen habe.

Danke Euch allen. Natürlich werde ich es Euch wissen lassen was ich als Antwort erhalte.

Gruß - Ranger