DSM 6.x und darunter Gleichzeitige Verbindungen pro Benutzer einstellen DSM 7, wie?

Alle DSM Version von DSM 6.x und älter

et.dima

Benutzer
Mitglied seit
22. Nov 2021
Beiträge
44
Punkte für Reaktionen
3
Punkte
8
Hallo zusammen!

Wie kann ich denn die Anzahl gleichzeitiger Verbindungen zu meiner DSM und allen damit verbunden Diensten konfigurieren?

Ich möchte nicht das mehrfache Anmeldungen möglich sind.
Das über Freigaben mit Anmeldungen mehrere Sitzungen gleichzeitig erfolgen.
Grundsätzlich möchte ich das einem Benutzer oder einer Gruppe entsprechend regulieren.

Danke für eure Antworten
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.650
Punkte für Reaktionen
5.820
Punkte
524
Wüsste nicht, dass das geht, aber vielleicht -wissen andere mehr. :)
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Das einzige was mir spontan dazu einfällt wäre das hier:
c9x06JS.png

Wird aber vermutlich nicht das sein, was du suchst.
Darf man hinterfragen, was du dir damit konkret erhoffst?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Wo benötigst du das? Was ist der Usecase?

Beim vpn Server gibt es diese Option zB.
 

et.dima

Benutzer
Mitglied seit
22. Nov 2021
Beiträge
44
Punkte für Reaktionen
3
Punkte
8
Interessant, jetzt weis ich das es via SMB geht.

Ich benötige das für die HTTPS-Verbindungen!
Arbeite zu 100% via Web und möchte das die Benutzer nicht mehrfache Verbindungen verwenden oder halt maximal zwei.

Habe da gerade den Fall das ein Benutzer meint er könne sein Konto mehrfach einsetzen um die Dokumente, da im einzelnen mit Datendurchsatz Kontingent beschränkt, im vielfachen zu laden. Das war aber nicht meine Intuition. Schön das er mir zeigt das ich was ändern muß;)

Über das DRIVE den Team-Ordner stelle ich Dateifragen bereit. Jede benötigt eine Benutzeranmeldung und kann wohl sich mehrfach auf mehreren Freigaben gleichzeitig aktiv sein. Wichtig wird sein.. maximal zwei Verbindungen einer IP und einer Anmeldung zu erlauben.

Danke für euer Interesse mir bei einer Lösung zur Hand zu gehen(y)
 

nas-central.de

Benutzer
Lösungspartner
Mitglied seit
22. Jun 2021
Beiträge
136
Punkte für Reaktionen
30
Punkte
34
Das wird über den DSM so nicht gehen. Man kann den Zugriff auf Betriebssystemebene mit iptables beschränken.

Die Regel beschränkt den Zugriff auf Port 443 auf zwei Verbindungen pro IP

Bash:
iptables -A INPUT -p tcp --syn --dport 443 -m connlimit  --connlimit-above 2 --connlimit-mask 32 -j DROP

Soll der Zugriff über alle Dienste beschränkt werden kann man mit dem Recent Modul einen Zähler definieren und auf Basis des Zählers blocken.
 
  • Like
Reaktionen: ctrlaltdelete

McFlyHH

Benutzer
Mitglied seit
02. Jan 2014
Beiträge
427
Punkte für Reaktionen
82
Punkte
28
  • Like
Reaktionen: Stationary

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Habe da gerade den Fall das ein Benutzer meint er könne sein Konto mehrfach einsetzen um die Dokumente, da im einzelnen mit Datendurchsatz Kontingent beschränkt, im vielfachen zu laden. Das war aber nicht meine Intuition. Schön das er mir zeigt das ich was ändern muß;)

Eine Verständnisfrage: Du hast unter Benutzer und Gruppen eine Geschwindigkeitsbegrenzung hinterlegt. Die wird durch die doppelte Anmeldung außer Kraft gesetzt? Ich würde in dem Fall rigoros vorgehen. Verbindung kappen und / oder die Geschwindigkeitsbegrenzung so einstellen, sodass der maximale Durchsatz erst erreicht wird, wenn er 5-10 Verbindungen gleichzeitig aufbaut. Vorweg würde ich aber ein klärendes Gespräch suchen und freundlichst auf ein paritätisches Grundprinzip hinweisen. Wenn das alles nicht hilft - ein kräftiger Tritt gegen das Schienbein bewirkt manchmal auch Wunder. 😎
 

et.dima

Benutzer
Mitglied seit
22. Nov 2021
Beiträge
44
Punkte für Reaktionen
3
Punkte
8
Die Regel beschränkt den Zugriff auf Port 443 auf zwei Verbindungen pro IP
Bash:
iptables -A INPUT -p tcp --syn --dport 443 -m connlimit  --connlimit-above 2 --connlimit-mask 32 -j DROP

Das finde ich schon mal eine super Lösung als Basis, prima - die werde ich gleich ausführen!

Greift die Regel auch bei "Datei Freigaben" via gofile.me Verbindungen, ist da was bekannt?
 

et.dima

Benutzer
Mitglied seit
22. Nov 2021
Beiträge
44
Punkte für Reaktionen
3
Punkte
8
Eine Verständnisfrage: Du hast unter Benutzer und Gruppen eine Geschwindigkeitsbegrenzung hinterlegt. Die wird durch die doppelte Anmeldung außer Kraft gesetzt?
Jup genau.. natürlich wird noch lieb dem Benutzer "eingetreten" dennoch hat er ja nur genutzt was möglich ist und das wird immer wieder vorkommen, daher lieber regeln und eine Lösung finden damit der nächste Schlaumeier ausgehebelt ist;)

Obiges finde ich schon mal grundsätzlich prima, mehr als zwei Verbindung braucht eh keiner - hi hi hi
 

nas-central.de

Benutzer
Lösungspartner
Mitglied seit
22. Jun 2021
Beiträge
136
Punkte für Reaktionen
30
Punkte
34
I see! Bei Linux Systemen kann man das so machen, auf dem NAS fehlt ein Modul dafür.

Bei genauerer Betrachtung hätte dies ohnehin nur bei Diensten funktioniert, die mit nur einer Verbindung auskommen. Anwendungen, die über den Webserver laufen, bauen in der Regel viele Verbindungen auf. Diese Anwendungen kann man dann nur auf Anwendungsebene oder über den Webserver selbst beschränken. Dazu fehlen auf einem NAS dann auch wieder einige Dinge.

Was auf dem NAS funktioniert ist die Beschränkung von Ports allgemein. Hier werden dann aber die Verbindungen unabhängig von der Quell-IP beschränkt.

Bash:
iptables -D INPUT -p tcp --dport <Port> -m recent --update --seconds 60 --hitcount 5 --name DSM -j DROP
iptables -D INPUT -p tcp --dport <Port> -m state --state NEW -m recent --set --name DSM -j ACCEPT

Wie kann man nun den Zugriff auf eine Webanwendung beschränken, wenn die Anwendung das selbst nicht vorsieht und im Webserver die entsprechenden Module fehlen? Eine einfache Lösung fällt mir da nicht ein. Man könnte das Webserver-Log auf bestimmte Einträge monitoren und auf Basis einer solchen Auswertungen Verbindungen trennen oder neue Verbindungen z.B. auf eine bestimmte Datei unterbinden.
 
  • Like
Reaktionen: et.dima

et.dima

Benutzer
Mitglied seit
22. Nov 2021
Beiträge
44
Punkte für Reaktionen
3
Punkte
8
Schwierig.. es löst nicht im Ansatz mein Problem. Am Besten wäre klar maximale Verbindungen pro IP zu definieren.
Ok, ich verstehe es geht nicht da das connlimit-module nicht vorhanden ist. Die Lösung wäre elegant gewesen;)

Die TCP Verbindung an 443 wird wohl eh nach UDP gelegt und somit macht obiges Sinn wenn es sagen wir mal um Port-Spam durch eine Attacke geht. Hat da nicht die DSM7 Software ggf. eh schon Limits gesetzt?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat