DSM 6.x und darunter Gleichzeitige Verbindungen pro Benutzer einstellen DSM 7, wie?

[et.dima]

Hallo zusammen!

Wie kann ich denn die Anzahl gleichzeitiger Verbindungen zu meiner DSM und allen damit verbunden Diensten konfigurieren?

Ich möchte nicht das mehrfache Anmeldungen möglich sind.
Das über Freigaben mit Anmeldungen mehrere Sitzungen gleichzeitig erfolgen.
Grundsätzlich möchte ich das einem Benutzer oder einer Gruppe entsprechend regulieren.

Danke für eure Antworten

 

[ctrlaltdelete]

Wüsste nicht, dass das geht, aber vielleicht -wissen andere mehr.

 

[Ulfhednir]

Das einzige was mir spontan dazu einfällt wäre das hier:

Wird aber vermutlich nicht das sein, was du suchst.
Darf man hinterfragen, was du dir damit konkret erhoffst?

 

[tproko]

Wo benötigst du das? Was ist der Usecase?

Beim vpn Server gibt es diese Option zB.

 

[et.dima]

Interessant, jetzt weis ich das es via SMB geht.

Ich benötige das für die HTTPS-Verbindungen!
Arbeite zu 100% via Web und möchte das die Benutzer nicht mehrfache Verbindungen verwenden oder halt maximal zwei.

Habe da gerade den Fall das ein Benutzer meint er könne sein Konto mehrfach einsetzen um die Dokumente, da im einzelnen mit Datendurchsatz Kontingent beschränkt, im vielfachen zu laden. Das war aber nicht meine Intuition. Schön das er mir zeigt das ich was ändern muß

Über das DRIVE den Team-Ordner stelle ich Dateifragen bereit. Jede benötigt eine Benutzeranmeldung und kann wohl sich mehrfach auf mehreren Freigaben gleichzeitig aktiv sein. Wichtig wird sein.. maximal zwei Verbindungen einer IP und einer Anmeldung zu erlauben.

Danke für euer Interesse mir bei einer Lösung zur Hand zu gehen

 

[nas-central.de]

Das wird über den DSM so nicht gehen. Man kann den Zugriff auf Betriebssystemebene mit iptables beschränken.

Die Regel beschränkt den Zugriff auf Port 443 auf zwei Verbindungen pro IP

iptables -A INPUT -p tcp --syn --dport 443 -m connlimit  --connlimit-above 2 --connlimit-mask 32 -j DROP

Soll der Zugriff über alle Dienste beschränkt werden kann man mit dem Recent Modul einen Zähler definieren und auf Basis des Zählers blocken.

 

[McFlyHH]

...
Das war aber nicht meine Intuition.
...

Geht wohl weniger um Intuition als Intention
https://www.duden.de/rechtschreibung/Intuition
https://www.duden.de/rechtschreibung/Intention

Ist manchmal schwierig mit den Fremdwörtern...

 

[Ulfhednir]

Habe da gerade den Fall das ein Benutzer meint er könne sein Konto mehrfach einsetzen um die Dokumente, da im einzelnen mit Datendurchsatz Kontingent beschränkt, im vielfachen zu laden. Das war aber nicht meine Intuition. Schön das er mir zeigt das ich was ändern muß

Eine Verständnisfrage: Du hast unter Benutzer und Gruppen eine Geschwindigkeitsbegrenzung hinterlegt. Die wird durch die doppelte Anmeldung außer Kraft gesetzt? Ich würde in dem Fall rigoros vorgehen. Verbindung kappen und / oder die Geschwindigkeitsbegrenzung so einstellen, sodass der maximale Durchsatz erst erreicht wird, wenn er 5-10 Verbindungen gleichzeitig aufbaut. Vorweg würde ich aber ein klärendes Gespräch suchen und freundlichst auf ein paritätisches Grundprinzip hinweisen. Wenn das alles nicht hilft - ein kräftiger Tritt gegen das Schienbein bewirkt manchmal auch Wunder.

 

[et.dima]

Die Regel beschränkt den Zugriff auf Port 443 auf zwei Verbindungen pro IP

iptables -A INPUT -p tcp --syn --dport 443 -m connlimit  --connlimit-above 2 --connlimit-mask 32 -j DROP

Das finde ich schon mal eine super Lösung als Basis, prima - die werde ich gleich ausführen!

Greift die Regel auch bei "Datei Freigaben" via gofile.me Verbindungen, ist da was bekannt?

 

[et.dima]

Eine Verständnisfrage: Du hast unter Benutzer und Gruppen eine Geschwindigkeitsbegrenzung hinterlegt. Die wird durch die doppelte Anmeldung außer Kraft gesetzt?

Jup genau.. natürlich wird noch lieb dem Benutzer "eingetreten" dennoch hat er ja nur genutzt was möglich ist und das wird immer wieder vorkommen, daher lieber regeln und eine Lösung finden damit der nächste Schlaumeier ausgehebelt ist

Obiges finde ich schon mal grundsätzlich prima, mehr als zwei Verbindung braucht eh keiner - hi hi hi

 

[et.dima]

iptables -A INPUT -p tcp --syn --dport 443 -m connlimit  --connlimit-above 2 --connlimit-mask 32 -j DROP

Ich bekomme folgende Meldung beim Ausführe des Befehl:
iptables v1.8.3 (legacy): Couldn't load match `connlimit':No such file or directory

 

[nas-central.de]

I see! Bei Linux Systemen kann man das so machen, auf dem NAS fehlt ein Modul dafür.

Bei genauerer Betrachtung hätte dies ohnehin nur bei Diensten funktioniert, die mit nur einer Verbindung auskommen. Anwendungen, die über den Webserver laufen, bauen in der Regel viele Verbindungen auf. Diese Anwendungen kann man dann nur auf Anwendungsebene oder über den Webserver selbst beschränken. Dazu fehlen auf einem NAS dann auch wieder einige Dinge.

Was auf dem NAS funktioniert ist die Beschränkung von Ports allgemein. Hier werden dann aber die Verbindungen unabhängig von der Quell-IP beschränkt.

iptables -D INPUT -p tcp --dport <Port> -m recent --update --seconds 60 --hitcount 5 --name DSM -j DROP
iptables -D INPUT -p tcp --dport <Port> -m state --state NEW -m recent --set --name DSM -j ACCEPT

Wie kann man nun den Zugriff auf eine Webanwendung beschränken, wenn die Anwendung das selbst nicht vorsieht und im Webserver die entsprechenden Module fehlen? Eine einfache Lösung fällt mir da nicht ein. Man könnte das Webserver-Log auf bestimmte Einträge monitoren und auf Basis einer solchen Auswertungen Verbindungen trennen oder neue Verbindungen z.B. auf eine bestimmte Datei unterbinden.

 

[et.dima]

Schwierig.. es löst nicht im Ansatz mein Problem. Am Besten wäre klar maximale Verbindungen pro IP zu definieren.
Ok, ich verstehe es geht nicht da das connlimit-module nicht vorhanden ist. Die Lösung wäre elegant gewesen

Die TCP Verbindung an 443 wird wohl eh nach UDP gelegt und somit macht obiges Sinn wenn es sagen wir mal um Port-Spam durch eine Attacke geht. Hat da nicht die DSM7 Software ggf. eh schon Limits gesetzt?