PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Administrator sperren



Ellis Redding
16.04.2010, 07:39
Hallo Synologianer,

Ich habe eine DS210j, auf welcher ich die photostation benutze und auch generell über DynDNS zugreife.
In der Benutzerverwaltung kann ich verschiedene Benutzer einrichten, welchen ich verschiedene Ordner freigeben kann.
Um die Sicherheit über das Netz zu erhöhen, möchte ich verhindern, dass der Administrator über das Internet zugreifen kann.
D.h. ich möchte, dass lediglich konfigurierte Benutzer über das Internet zugreifen können, und der Administrator nur über das lokale Netz auf die DS210j zugreifen kann.
Ist das überhaupt möglich, oder kann die DS gar nicht unterscheiden, ob der Zugriff aus dem Internet oder lokal erfolgt, da ja eh alles vom Router kommt?

Trolli
16.04.2010, 07:54
Den Administrator kann man soweit ich weiß nicht ganz sperren. Ich würde empfehlen, den Port des Disk Station Managers nicht im Router weiterzuleiten. Dann kann man auch nichts schlimmes anstellen...

Für einzelne Dienste kann man den Administrator schon sperren. Ohne Zugriff auf den DSM kann die Sperre dann nicht aufgehoben werden.

itari
16.04.2010, 08:01
Ist das überhaupt möglich, oder kann die DS gar nicht unterscheiden, ob der Zugriff aus dem Internet oder lokal erfolgt, da ja eh alles vom Router kommt?

Auf der DS laufen sehr unterschiedlich Server; deswegen ist es schwierig, jetzt zu sagen, ob 'die DS' etwas kann oder nicht: Es kommt halt immer auf das verwendete Kommunikationsprotokoll an. Wenn es wie bei der PhotoStation oder dem DS-Manager http bzw. https ist, kann das Serverprogramm schon anhand der Browser-IP unterscheiden, ob der Browser aus dem lokalen Netz oder von von anders her zugreift.

Deine Idee, so etwas wie eine Zugriffssperre für den Admin zu errichten, wenn er nicht aus dem lokalen Netzwerk zugreift, ist daher keine schlechte Idee. Vielleicht kann du die ja mal den Synology-Entwicklern per E-Mail zu senden, damit sie sowas zentral in den DS-Manager als Konfigurations-Option aufnehmen können.

Itari

jahlives
16.04.2010, 08:36
Natürlich kann die DS erkennen ob ein Request von intern oder von extern kommt. In %{REMOTE_ADDR} kann der Apache auf die Source IP des Requests zugreifen und damit erkennen ob es eine LAN IP oder eine "Internet" IP ist.
Btw: Wieso sollte ein lokaler Request vom Router kommen müssen? Das würde er nur wenn auch der Router den Request ausgelöst hat. Wenn du mit deinem LAN Client auf die DS zugreifst, dann ist %{REMOTE_ADDR} deine lokale IP und nicht die lokale IP des Routers/Gateways.