Blockierte Zugriffe
- Ersteller JoGi65
- Erstellt am
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 14.180
- Punkte für Reaktionen
- 4.915
- Punkte
- 519
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 14.180
- Punkte für Reaktionen
- 4.915
- Punkte
- 519
Der Port 80 gehört definitiv nicht ins Netz. Der 5001 in den allermeisten Fällen auch nicht.
- Mitglied seit
- 03. Dez 2011
- Beiträge
- 651
- Punkte für Reaktionen
- 7
- Punkte
- 44
Sorry für meine naive Frage, aber was macht das aus, wenn man ohne Zertifikat zugreift, solange ich mich nicht anmelde?
Kann ich die Anmeldungsmöglichkeit bei Photo in Photo selbst irgendwie abdrehen (brauch ich nicht) oder soll ich nur den Port sperren? Vermutlich am sinnvollsten schon im Router sperren oder umleiten?
Kann ich die Anmeldungsmöglichkeit bei Photo in Photo selbst irgendwie abdrehen (brauch ich nicht) oder soll ich nur den Port sperren? Vermutlich am sinnvollsten schon im Router sperren oder umleiten?
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 14.180
- Punkte für Reaktionen
- 4.915
- Punkte
- 519
Die Frage ist doch: Wieso hängt bei dir der Admin Port im Netz?
Du könntest auch jeder Anwendung einen eigenen Port geben (im Anmeldeportal) und nur den freigeben. Oder mit Port 443 https + Subdomains + Reverse Proxy arbeiten.
Du könntest auch jeder Anwendung einen eigenen Port geben (im Anmeldeportal) und nur den freigeben. Oder mit Port 443 https + Subdomains + Reverse Proxy arbeiten.
- Mitglied seit
- 03. Dez 2011
- Beiträge
- 651
- Punkte für Reaktionen
- 7
- Punkte
- 44
Hallo, hab gerade einen Portscan gemacht. War ein Irrtum mit dem 5001. Der ist gar nicht offen. Die externe Anmeldung übers Internet geht offensichtlich anders. Wollte alles was Sicherheit betrifft im Router abbilden. Aber werd mich da mal einlesen. Danke fürs Erste!
- Mitglied seit
- 03. Dez 2011
- Beiträge
- 651
- Punkte für Reaktionen
- 7
- Punkte
- 44
So, alles Dicht bis auf 443 - das mit dem Reverse Proxy werd ich später einmal anschauen, da noch planlos und weitere Baustellen.
Der Syno Sicherheitsberater ist scheinbar nicht auf VDSM ausgelegt, da er die offenen Ports 3060-3065 nicht bemängelt hat.
Diese sind bei normaler Installation von Photo nicht offen. Dafür ist bei normaler Installation 5001 offen, was beim VDSM nicht ist, aber bemängelt wird.
Bin beim herum Experimentieren offensichtlich ein bisschen durcheinander gekommen, da ich zwischen den zwei Installationen gewechselt habe.
Der Syno Sicherheitsberater ist scheinbar nicht auf VDSM ausgelegt, da er die offenen Ports 3060-3065 nicht bemängelt hat.
Diese sind bei normaler Installation von Photo nicht offen. Dafür ist bei normaler Installation 5001 offen, was beim VDSM nicht ist, aber bemängelt wird.
Bin beim herum Experimentieren offensichtlich ein bisschen durcheinander gekommen, da ich zwischen den zwei Installationen gewechselt habe.
Ich hoffe, du hast 2FA im Einsatz, wenn dein DSM / VDSM im Netz hängt. Wie schon @plang.pl gesagt hat: 80 schließen und definitiv 5001 wechseln - besser noch von allen Anwendungen weg von den Standard Ports oder RP benutzen oder VPN.
Zusätzlich kann man zur GeoIP in der Synology Firewall auch festlegen, welche Dienst von wo aus erreichbar sind/sein sollen.
Zusätzlich kann man zur GeoIP in der Synology Firewall auch festlegen, welche Dienst von wo aus erreichbar sind/sein sollen.
wozu so was wenn es auch ohne geht? Muss heute unbedingt alles nur kompliziert sein?
Weil es von außen erreichbar ist und doch sicher sein soll, oder nicht??? "kompliziert" -> ich hatte schon einmal in einem anderen Thread gesagt: "Einfach und sicher" passt nie zusammen. Klar geht es OHNE 2FA. Aber das muss jeder selbst entscheiden, wie viele Stolpersteine du "bösen Buben" in den Weg legst, bevor die ans NAS kommen.
Ich kann nur 2FA mittels Yubikey empfehlen. Musst du es einsetzen? Natürlich nicht. Jedem das seine.
- Mitglied seit
- 03. Dez 2011
- Beiträge
- 651
- Punkte für Reaktionen
- 7
- Punkte
- 44
Danke Euch für alle zusätzlichen Infos!
Hab noch mal alles etwas umgestellt, und statt einer DMZ, nur eine Portweiterleitung von 80 und 443 auf den Reverse Proxy im VDSM (sofern ich das richtig verstehe) und natürlich ein eigener IP Range. Somit landen alle anderen hoffentlich bei der Router Firewall.
Was ich nicht verstehe ist, dass die Portweiterleitung vom Router für Photo, nur beim VDSM funktioniert.
Bei der RS422+ hab ich schon alles versucht, bekomme es aber nicht hin (ohne und mit Reverse Proxy), trotz komplett identischer Installation.
Im DMZ Host von meinem Router, ist mit der RS422+ kein Problem, aber dann muss ich halt diverse Ports mit der Firewall in der RS422+ sperren.
Somit noch zwei Fragen:
Ist es grundsätzlich besser eine Portweiterleitung zu machen, oder einen DMZ Host?
Was könnte das sein, dass die Portweiterleitung auf die RS422+ nicht geht?
P.S.:
F2A war mir bewusst und verstehe ich auch, aber da die Adressen bei mehrfachen (5) Anmeldeversuchen geblockt werden und bleiben, erspar ich mir das. Sehe das wie ottosykora, da mich das täglich mehrfache Handybestätigen bei der Arbeit schon genug nerft. Da sehe ich es aber ein.
Sowohl mit der Portweiterleitung auf den VDSM der RS1221+, als auch mit Reverse Proxy und richtig eingestellter Firewall bei der RS422+ hab ich momentan keine geblockten Zugriffe mehr.
Hab noch mal alles etwas umgestellt, und statt einer DMZ, nur eine Portweiterleitung von 80 und 443 auf den Reverse Proxy im VDSM (sofern ich das richtig verstehe) und natürlich ein eigener IP Range. Somit landen alle anderen hoffentlich bei der Router Firewall.
Was ich nicht verstehe ist, dass die Portweiterleitung vom Router für Photo, nur beim VDSM funktioniert.
Bei der RS422+ hab ich schon alles versucht, bekomme es aber nicht hin (ohne und mit Reverse Proxy), trotz komplett identischer Installation.
Im DMZ Host von meinem Router, ist mit der RS422+ kein Problem, aber dann muss ich halt diverse Ports mit der Firewall in der RS422+ sperren.
Somit noch zwei Fragen:
Ist es grundsätzlich besser eine Portweiterleitung zu machen, oder einen DMZ Host?
Was könnte das sein, dass die Portweiterleitung auf die RS422+ nicht geht?
P.S.:
F2A war mir bewusst und verstehe ich auch, aber da die Adressen bei mehrfachen (5) Anmeldeversuchen geblockt werden und bleiben, erspar ich mir das. Sehe das wie ottosykora, da mich das täglich mehrfache Handybestätigen bei der Arbeit schon genug nerft. Da sehe ich es aber ein.
Sowohl mit der Portweiterleitung auf den VDSM der RS1221+, als auch mit Reverse Proxy und richtig eingestellter Firewall bei der RS422+ hab ich momentan keine geblockten Zugriffe mehr.
- Mitglied seit
- 25. Jan 2016
- Beiträge
- 5.047
- Punkte für Reaktionen
- 328
- Punkte
- 189
Der Port ist im Zusammenhang mit Let´s Encrypt ein Thema. Man kann die Verfügbarkeit des Port 80 an der DS abpassen für Neuanlegungen oder für Zertifikatupdates, jedoch generell muss dafür der Port verfügbar sein. Bezüglich Lösungen dazu, sowas dauerhaft zu umgehen, lasse ich mich gerne überraschen.
Dasselbe gilt im Grunde für den Port 443, wenn z.B. mit Wordpress eine Webpage betrieben wird, ohne nun komplizierte Umleitungskonstrukte erstellen zu müssen, deren Einrichtung auch nicht gerade jedermans Sache ist.
Am einfachsten ist es mit den "Arbeitsports", mit welchen wir selbst zugreifen, z.B. Port 5001 wird z.B. 50815 usw.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
