Weiterleitung von https auf https Port 5001 deaktivieren

cfr2305

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
6
Punkte für Reaktionen
3
Punkte
53
Hallo,

ich habe hier schon gesucht aber nichts passendes gefunden.
Im Moment hat meine DS eine automatische Weiterleitung von Port 443 auf den Port 5001.
Wie kann man dies deaktivieren? oder ins leere umleiten?

Warum das ganze: Ich sehe es aus dem Gesichtspunkt Sicherheit.
Jeder der einen IP extern HTTPS Port Scan über alle IP Adressen macht, erhält automatisch meine DS als Login. Das ist unnötig, da ich ja weiß, dass diese per z.B. https://meine.ds.de:5001 erreichbar ist. Warum muss also eine https://meine.ds.de dahin umleiten? (klar für die Benutzerfreundlichkeit)

Da aber normal bei mir auf https://meine.ds.de nichts reagiert, wäre das etwas mehr Sicherheit für den Zugriff der DS aus dem Internet.
Klar würde ich den Port von 5001 auf was anderes ändern was seltener gescannt wird. Natürlich erreicht man damit keine 100%ige Sicherheit, aber warum Tür und Tor mit so einen für mich unnötigen Forward öffnen.


Bitte nicht hauen, wenn meine Idee totaler Schrott ist.
Auch macht Synology viel um das System sicher zu halten...

Für alle Ideen offen - Vielen Dank.

PS: Und nein ein "Dann deaktiviere halt den externen Zugriff via HTTPs und Port 5001" war nicht meine Lösung ;)
PPS: Auch ein "Dann nutz halt VPN für den externen Zugriff" ist eine Idee die ich nutze, aber schießt am Ziel vorbei :)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Installiere die Webstation, dann ist es mit der automatischen Umleitung auf den DSM vorbei.
 
  • Like
Reaktionen: cfr2305

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.752
Punkte für Reaktionen
423
Punkte
103
Webstation aktivieren., Eine Willkommensseite mit <meta name="robots" content="noindex"> (oder X-Robots-Tag setzten) im header anlegen.
feddisch
 
  • Like
Reaktionen: cfr2305

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Da du port 443 nicht nutzt einfach nicht im Router öffnen, oder weiterleiten.
Türen die man nicht braucht einfach gar nicht erst einbauen.
 

cfr2305

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
6
Punkte für Reaktionen
3
Punkte
53
Ich hatte es letztes Jahr nicht 100%ig hinbekommen und daher BUMPe ich das Thema nochmal :cool:

Danke Benares und Thorfinn, das war die richtige Richtung gewesen.
Es funktioniert auch "fast" wie angegeben mit der Webstation. Allerdings erhalte ich eine ERROR 500 Seite.
Das ist jetzt nicht so schick, da man anhand der Fehlerseite noch auf eine Synology Rückschlüsse ziehen kann.

Jetzt muss ich nochmal etwas ausholen. Ich nutze mittlerweile noch Synology Photo und Drive auch auf Port 443. Beides wird über die Anwendung Steuerung auf einen Alias "gelinked"
Wenn ich aber in der Webstation einen virtuellen Host einrichte und diesen auf ein Webverzeichnis zeigen lasse, dann ist der 500er Fehler weg, aber dann funktioniert der Alias von Synology Photo und Drive nicht mehr.

Irgendwie bin ich jetzt in einer Sackgasse bzw stehe auf dem Schlauch.

Mein Ziel wäre folgendes:
https://meine.ds.de -> leere Seite mit den X-Robots-Tag
https://meine.ds.de:5001 -> DS Login
https://meine.ds.de/photo -> Synology Photo
https://meine.ds.de/drive -> Synology Drive

Klar ist jetzt /photo und /drive der Standard, aber das würde ich noch "umbenennen". Genauso wie den Port 5001

Würde mich freuen, wenn jemand noch eine Ahnung kann, wie man mein Ziel umsetzten kann.
Danke

PS: Mein letzte Idee wäre noch, die Error 500 Seite anzupassen, aber vielleicht gibt es ja eine schöner Lösung ;)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Besser, du hättest einen DDNS-Provider, der auch DNS-Wildcards (und Wildcard-Zertifikate) unterstützt. Dann könntest du Namen wie
https://dsm.meine.ds.de -> DS Login
usw.
ganz bequem auf die entsprechenden Ziele per Reverse-Proxy umleiten. synology.me kann sowas, aber die Namen sind nicht gerade schön.
 

cfr2305

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
6
Punkte für Reaktionen
3
Punkte
53
@Benares
Naja mir geht es ja nicht um die DNS Namen.
Mein Punkt sind blöde Portscanner die Port 443 abgrasen, dann zu meiner IP kommen z.B. 99.88.77.66 kommen (was meine.ds.de ist) und dann einen Forward zum Synology Login kommen.

Ich weiß meine ganze Anfrage ist etwas "Hypochonder" mäßig, aber ich finde den HTTPs zum DMS Port einfach überflüssig ;)


als ich bei mir https://meine.ds.de:5001 den Standart Port von 5001 auf 5***3 geändert habe, lief https://meine.ds.de ab sofort ins leere.
@dazlak69
Ja das wäre genau die Lösung, aber das funktioniert bei mir nicht.

Das ist doch die Stelle hier:
1678650089274.png

Ich habe das so eingetragen und jetzt wird von https://meine.ds.de/ auf https://meine.ds.de:5003/ weitergeleitet :(
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Hast du die Webstation installiert (ganz ohne weitere Einrichtung)? Das ist ein ganz bequemes Auffangbecken für sowas. Dann wird nämlich nicht mehr auf den DSM weitergeleitet, sondern man landet beim Zugriff ohne Portangabe auf einer mehr oder minder leeren Seite.
 
  • Like
Reaktionen: cfr2305

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Autsch. Das würde ich eher gleich mal deaktivieren und die Freigaben direkt auf der Fritzbox einrichten, wenn es schon welche braucht.
Portfreigaben per UPnP durch die Clients selbst einstellen zu lassen, gilt als "böse". Das hat aber nichts mit der eigentlichen Funktionalität zu tun.

Nimm dann auch gleich diese Kreuzchen unter Internet, Freigaben auf der Fritzbox raus.
1678724146120.png
 
Zuletzt bearbeitet:

cfr2305

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
6
Punkte für Reaktionen
3
Punkte
53
Hi,

Danke Benares und Thorfinn

Falls es noch jemanden interessiert, hier die Info wie ich es realisiert habe.
Ich habe jetzt die Web Station installiert ohne weitere Konfiguration ist wie oben erwähnt Schluss mit dem Forward von 443 auf dem DSM Port. Allerdings kam immer die Fehler Seite 500.

Jetzt bin ich kurzerhand über die Web Station Fehlerseiten-Einstellung hergegangen und habe eine leere HTML inkl dem Meta robots Tag erstellt und als neue statische Seite hochgeladen.

Ziel erreicht.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Warum das ganze: Ich sehe es aus dem Gesichtspunkt Sicherheit.
Das sehe ich nicht so. Weder kann man etwas über den Port 443 anderes machen, noch ist ein anderer Post sicherer. Ein Portscan ist sehr schnell und einfach durchzuführen. Eher ist das Nutzen vom Standardport 5000/5001 ein Problem. Dort greifen regelmäßig Botnetz an und versuchen sich als Admin und SSH anmelden. Auch wenn dieses nicht möglich ist, finden diese Verbindungsversuche statt. Ich denke, du bildest dir eine falsche Sicherheit ein. Ich würde alle über den Ports 443 laufen lassen und die Anwendungen über eine Subdomain ansprechen. Dazu noch die Firewall richtig einstellen und das Block-List-Script von @geimist nutzen. Für den externen Zugang benötigst du nur noch 2 Port, worüber nichts Schlimmes passieren kann!

Ich würde das Ganze noch einmal überdenlen!
 
  • Like
Reaktionen: theexciter

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Genau. Punkt A: Solange nur die Ports freigegeben sind, die du brauchst, kriegt von außen keiner mit, auf was die DS intern lauscht. Punkt B. Standardports freizugeben ist gefährlicher, als den Port 443 zu nutzen. Sichere Passwörter und 2FA mindestens für Admin-Accounts sollten bei der Möglichkeit des externen Zugriffs natürlich gegeben sein.
 

cfr2305

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
6
Punkte für Reaktionen
3
Punkte
53
Nur als kleine Update zu dem Thema:
Es läuft immer noch wunderbar. Das einzige was etwas nervt ist das zusätzliche angeben des Ports in den Synology Apps, wenn man über die externe Adresse zugreift (also ohne QuickConnect), aber damit kann man leben.

Seit dem ich dies aktiv habe, hat die Synology absolut keine ungewollten Loginversuche mehr verzeichnet. Somit ist das Ziel zu 100% erreicht :cool:
 
  • Like
Reaktionen: maxblank


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat