Webserver Security / Kontextabhängig extern Internet

[twh1st]

Hi *,

ich brauch mal eure Unterstützung bei einer Security-Fragestellung.

Ich habe auf meiner DS6.1 Webstation einen MantisBT installiert, den ich extern über das Internet bereitstelle. Aus Sicherheitsgründen habe ich den HTTP an meiner NAT/Router Konfiguration von Port 80 auf Port 18080 nach extern gemapped.

Ich will unter http://xxx.synology.me:18080/mantisbt extern aber ausschließlich den MantisBT bereitstellen.
Die anderen Anwendungen wie bspw. PhpMyAdmin, Photostation, etc. sollen nicht extern auf dem WebServer erreichbar sein. Der Zugriff soll aber aus meinem Heimnetz (192.168.2.) möglich sein.

Wie muss ich hierbei vorgehen?

vielen dank
\thomas

 

[TheGardner]

von extern erreichbar:

http://xxx.synology.me:18080/mantisbt

- Portweiterleitung von außen 80 auf innen/DS 18080
- Firewall Regel für MantisBT auf Port 18080

von intern erreichbar:

http://192.168.2.XXX/phpMyAdmin
http://192.168.2.XXX/photo
http://192.168.2.XXX/

- Firewall Regeln für Photostation und Webserver

 

[twh1st]

Hi Gardener,

ja so wäre die Konstellation.
Allerdings wäre die Portweiterleitung von außen auf 18080 auf intern 80.

Was muss ich für Firewall Regeln konfigurieren? Meinst Du die Synology Firewall im Sicherheits-Reiter der Systemeinstellungen?

grüße,
thomas

 

[twh1st]

Kann man diese Konfiguration eigentlich direkt am nginx proxy vornehmen? Ist glaube bei DSM6 immer vor dem Apache22.

 

[TheGardner]

Ja die Synology Firewall.
Dort musst Du die Services aktivieren/Regeln, welche Du für Deine Zwecke benötigst! Also WebStation, MantisBT, PhotoStation.


Ob Nginx oder Apache ist Deine eigene Entscheidung! Wenn Du den Apachen nicht installierst, dann übernimmt Nginx alles, da der für DSM von Haus aus aktiviert worden ist.

 

[twh1st]

Ok. dann schaue ich mir die Firewall mal an. Ich dachte aber, dass man damit Port-basiert Dienste regelt. WebStation, MantisBT und Photostation etc laufen ja alle auf dem gleichen HTTP-Port des gleichen Webservers.

 

[twh1st]

Ok. Die Firewall hilft mir nicht, da alle Apps ja auf der gleichen WebStation erreichbar sind.

Ich habe nun einen port-basierten Virtual Host eingerichtet und als DocumentRoot den MantisBTverwendet.
Über meinen Router habe ich nun von außen einen speziellen Port also z.B: 33443 und intern auf den VHOST ebenfalls mit 33443. Auf dem VHOST ist somit nur MantisBT erreichbar. Alle anderen Applikationen bleiben intern.

grüße,
thomas