Zugriff von extern auf Benutzerebene erlauben/verbieten möglich?

[Annika Hansen]

Hallo zusammen,

auf meine DS1019+ soll der Zugriff von extern für einige Dienste möglich sein. Wie man das einrichtet mit Port-Weiterleitung und Firewall-Regeln an der Diskstation ist mir klar, ebenso wie ich bestimmten Benutzern Berechtigungen für gemeinsame Ordner vergebe bzw. entziehe. Allerdings habe ich bisher keine Möglichkeit gefunden eine Berechtigung für den Zugriff auf die Diskstation von intern bzw. extern einzurichten. Zur Erhöhung der Sicherheit würde ich gerne den Zugriff für z.B. den Benutzer "admin" auf "nur aus dem LAN" einschränken.

Gibt es eine Möglichkeit einem Benutzer nur den Zugriff auf dem LAN zu erlauben jedoch den Zugriff von extern zu verbieten?

Danke für Eure Antworten und einen schönen, ruhigen Sonntag Euch allen,
Annika

 

[the other]

Moinsen,
afaik sollte es ja davon abhängen, wie du von extern zugreifst.
Du könntest doch zB die internen IP-Bereiche erlauben und alle anderen IP-Bereiche verbieten...oder verstehe ich dich hier falsch?
Habe jedenfalls hier in der NAS Firewall die IP-Adressbereiche erlaubt, die intern vergeben sind und zugreifen dürfen, andere werden automatisch geblockt.
Setting: bei mir ist nur das LAN-Interface in den Firewalleinstellungen interessant, die anderen Interfaces sind nicht freigegeben. Daher überschaubar.
Von extern hier nur per VPN zugreifen möglich, die dafür genutzten Adressen sind zB für nur LESE-Zugriff eingestellt, funktioniert soweit auch.
Alle IPs die nicht explizit erlaubt sind, erhalten keinen Zugriff bzw. nur eingeschränkt (eben nur Lesen)...

Vermutlich hab ich deine Frage aber falsch verstanden oder der Kaffee war nicht stark genug...

 

[Annika Hansen]

Moinsen,
afaik sollte es ja davon abhängen, wie du von extern zugreifst.
Du könntest doch zB die internen IP-Bereiche erlauben und alle anderen IP-Bereiche verbieten...oder verstehe ich dich hier falsch?

Auf IP-Bereiche möchte ich es nicht einschränken, da sich ja die IP-Adresse derjenigen die zugreifen dürfen ändern kann (IP-Adress-Wechsel bei Re-Connect DSL-Anschluss). Wobei ich über eine Whitelist auf Länderebene mal nachdenken werde. Danke für den Denkanstoß.

Okay, ich versuche mal meine Idee bzw. Frage anders zu beschreiben:

Innerhalb des LAN:

• User 1 -> Zugriff auf DS: erlauben (Berechtigungen gemäß DSM-Benutzerverwaltung)
• User 2 -> Zugriff auf DS: erlauben (Berechtigungen gemäß DSM-Benutzerverwaltung)
• User 3 -> Zugriff auf DS: erlauben (Berechtigungen gemäß DSM-Benutzerverwaltung)

Von Extern (unabhängig von IP-Adresse):

• User 1 -> Zugriff auf DS: erlauben (Berechtigungen gemäß DSM-Benutzerverwaltung)
• User 2 -> Zugriff auf DS: komplett blockieren
• User 3 -> Zugriff auf DS: erlauben (Berechtigungen gemäß DSM-Benutzerverwaltung)

Ist so etwas möglich?

Vermutlich hab ich deine Frage aber falsch verstanden oder der Kaffee war nicht stark genug...

Ja, ich habe heute Morgen auch einen extra starken Kaffee gebraucht...

 

[Fusion]

Nein, geht nicht. Thema gab es schon ein paar Mal.

 

[Annika Hansen]

OK, danke. Das ist schade.
Ich hatte nichts im Forum gefunden; vermutlich habe ich nur die falschen Suchbegriffe verwendet.

 

[Fusion]

Kannst ja geo-blocking machen, admins mit 2-Faktor Auth versehen, Anmeldeversuche nach 2-3 Versuchen sperren, gute Passwörter benutzen und nur so viel Dienste wie nötig nutzen.
Primär via VPN, direkt nur andere Dienste (benutzerdefinierte Domains oder benutzerdefinierte Ports, keine standards soweit möglich) und den DSM Desktop nur als allerletzte Möglichkeit.