Filestation ohne Adminzugang

[pbickel]

Hallo,

tut mir leid, falls meine "dumme" Frage schon oft beantwortet wurde, aber ich habe es bisher nicht gefunden:

Wenn ich die Filestation aktiviere, ist dann auch zwangsläufig immer die Administration möglich?
Was ich meine: Wenn es jemand übers Internet schafft, sich mit dem Admin-Passwort einzuloggen, hat er ja vollen Zugriff auf alles. Deswegen wäre es mir sympathischer, man könnte "von außen" nur auf die jeweiligen Dateibereiche zugreifen und sich nicht als admin einloggen. Geht das zu trennen?

Danke für Eure Ratschläge,
Peter.

 

[jahlives]

Was ich meine: Wenn es jemand übers Internet schafft, sich mit dem Admin-Passwort einzuloggen, hat er ja vollen Zugriff auf alles. Deswegen wäre es mir sympathischer, man könnte "von außen" nur auf die jeweiligen Dateibereiche zugreifen und sich nicht als admin einloggen. Geht das zu trennen?

afaik kannst du in den Einstellungen der User festlegen wer was darf. Allerdings weiss ich ned ob du dem Systemuser admin die Rechte für die Filestation auch wegnehmen könntest

 

[pbickel]

Danke für die Antwort!
Aber wenn ich das mache, wäre ja trotzdem noch der Login als Systemadmin über Internet möglich, oder?

Schöne Grüße,
Peter.

 

[Herbert_Testmann]

Ja, wie willst Du das verhindern? Wenn ich mich als User anmelden kann, dann auch als Admin, wenn ich das PW kenne.

Woher soll die Filestation wissen, ob Du Dich aus einem lokalen Netz oder aus dem I-net anmeldest?

 

[pbickel]

Naja, ich dachte, dass man das aufgrund der IPs vielleicht unterscheiden könnte. Dass ich z.B. in der Diskstation-Firewall meine eigene (interne) IP für alles freigeben, alle anderen jedoch sperren kann, außer für die Diskstation und FTP.

Was mich auch grad noch wundert: Sobald ich FTP freigebe in meinem Router (ich habe bei "Port Range Forwarding" Port 20 und 21 auf die Diskstation gelegt), ist die DS per Browser öffentlich erreichbar. Soll/muss das so sein?

Eigentlich würde ich es jetzt im Moment bevorzugen, wenn man sie nur per FTP erreichen kann, aber nicht zu diesem Logion-Fenster kommt. Oder bin ich da zu ängstlich?

Dank Euch,
Peter.

 

[jahlives]

Die Filestation läuft ja auf Port 7000/7001. Wenn du diese am Router nicht weiterleitest, dann ist die Filestation nur aus deinem LAN zu erreichen. Wenn du ganz sicher gehen willst, erstellst du auf der DS noch eine explizite Firewallregel dazu und erlaubst nur lokalen IPs den Zugriff auf die Filestation Ports.
Wenn du Port 80 nicht weiterleitest, dann sollte die DS nicht im Browser zu erreichen sein. Ausser du gibst eine ftp:// Adresse im Browser an (wenn du die FTP Ports weitergeleitet hast)
Ich habe mal im DSM geschaut. Unter Anwendungseinstellungen kannst du eigentlich recht genau festlegen welcher User was darf. Nur die Systemuser (z.B. admin) kann man leider ned einstellen

 

[pbickel]

Vielen Dank!!
Tolles Forum hier, extrem schnelle Antworten ...

Alles Gute,
Peter.

 

[Herbert_Testmann]

Was mich auch grad noch wundert: Sobald ich FTP freigebe in meinem Router (ich habe bei "Port Range Forwarding" Port 20 und 21 auf die Diskstation gelegt), ist die DS per Browser öffentlich erreichbar. Soll/muss das so sein?

Peter.

Das muss nur _nicht_ so sein, das darf auf keinen Fall so sein. Wenn Port 80 im Router nicht auf die DS geleitet ist, darf das nicht gehen.
Der DSM läuft ja auf :5000 oder :5001, darf also auch nicht gehen.
Ich vermute mal, der Router merkt, dass Du auf Deine eigene Domain zugreifst an Hand der IP und leitet Dich direkt weiter, ohne das eigene Netz zu verlassen. Also _nicht_ über das Internet.

 

[pbickel]

Der Hinweis war sehr gut. Es stimmt, das macht der Router hier bei mir. Auf die Idee kam ich gar nicht. Da kann ich natürlich an der Firewall schrauben, so viel ich will,das wirkt sich dann gar nicht aus ...

Herzlichen Dank,
Peter.

 

[jahlives]

Dein Router öffnet ungefragt einfach Port 80 und leitet diesen weiter??? Diesen Router würde ich sehr schnell ausmustern

 

[pbickel]

Ja, ich hab mich auch gewundert, dass ich zu 5001 weitergeleitet werde hab ja und ja ewig rumgefummelt deswegen ... finde das aber andererseists auch nicht so schlimm, da das ja nur bei mir hier im inernen Netz so ist und er von außen nicht erreichbar ist.

Grüße,
Peter.

 

[jahlives]

Ja, ich hab mich auch gewundert, dass ich zu 5001 weitergeleitet werde hab ja und ja ewig rumgefummelt deswegen ...

Ah jetzt wird es klarer: Wenn du den Webdienst im DSM aktiviert hast, aber in /volume1/web noch keine index.html|php|htm Datei drin hast, dann wirst du automatisch auf den DSM weitergeleitet.

 

[itari]

Randbemerkung:

Wenn man einen Router testen will, dann muss man ins Internet-Cafe gehen. Von zu Hause aus geht das meist nicht so, wie man es sich denkt.

Im lokalen Netz hat ein (Internet-)Router sowieso Sendepause, egal was man da für Port-Weiterleitungsregeln eingibt. Da ist ein Router halt nicht mehr als ein Switch (Layer 2) und kennt Layer 3 (IP) nicht wirklich.

Itari

 

[jahlives]

Im lokalen Netz hat ein (Internet-)Router sowieso Sendepause, egal was man da für Port-Weiterleitungsregeln eingibt. Da ist ein Router halt nicht mehr als ein Switch (Layer 2) und kennt Layer 3 (IP) nicht wirklich.

Das kommt doch aber sehr darauf an wo genau der Router merkt, dass das Paket wieder ins LAN muss. Merkt er es bereits auf der LAN Seite, dann kommen keine Portweiterleitungsregeln zum Zuge. Merkt er es hingegen erst an der WAN Schnittstelle, dann müsste der Rückweg des Pakets ebenfalls von den Regeln geprüft werden.
Oder sehe ich da wat falsch?

 

[Herbert_Testmann]

Ich hatte jahrelang ein DSL Modem und dahinter einen Netgear bzw. D-Link Router mit Wan Anschluß zum Modem.
Die haben beide die Pakete intern zurück geschickt. Also musste ich mich immer vo einem anderen PC über einen ISDN Zugang bei einem anderen Provider einwählen, um "von aussen" zu testen.

Jetzt habe ich eine Plastekiste, wo Modem / Router / WLan komplett drin sind. Die merkt gar nichts, sondern schickt alle Pakete erst mal raus. Da kann ich auch von zu Hause der "externen" Zugriff testen.

 

[itari]

Von zu Hause aus geht das meist nicht so, wie man es sich denkt.

Ich sagte nicht, dass es nicht geht, sondern es geht meist nicht so, wie man es sich denkt, weil die Router halt sich halt unterschiedlich verhalten können. Und das ist bei einem Test nicht gut, weil man dann eher auf Vermutungen statt auf die Realität trifft.

Itari