DSM 6.x und darunter DSM Weboberfläche übers Internet unterbinden

[DoMM]

Hallo zusammen,

ich habe eine Frage bzgl. der Log-in Weboberfläche meiner Diskstation. Ich habe mir nach der Anschaffung meiner Diskstation alles eingerichtet wie ich wollte und es funktioniert auch wie sie soll. Allerdings möchte ich jetzt gerne unterbinden, dass die Weboberfläche meiner Diskstation über das Internet erreichbar ist.

Ich habe mir damals eine DDNS Adresse eingerichtet, um von extern auf diese zuzugreifen um auf Dateien etc. zu gelangen. Mittlerweile nutze ich dafür die DS File App welche bestens funktioniert. Um diese aber nutzen zu können benötige ich trotzdem meine DDN Adresse um mich zu verbinden, oder gibt es da andere Wege?

Wer kann mir weiterhelfen die Weboberfläche von extern nicht mehr zu erreichen aber trotzdem die Apps wie DS-File, Surveillance Station etc. weiter zu nutzen.

Besten Dank vorab.

 

[Fusion]

Einfach den Port 5001 nicht von extern weiterleiten.
Wenn man die DS in Betrieb nimmt ist sie von außen nicht erreichbar.
Nur wenn man selbst aktiv wird mit Portweiterleitungen etc. wird sie es.

Für die Syno-Anwendungen kann man unter Systemsteuerung > Anwendungsportal > Anwendungen diverse andere Zugangsmöglichkeiten einstellen.
Die Zugriff gehen dann via 80/443 (z.B. mit /alias oder benutzerdefinierter Domain (die man natürlich auch noch braucht)) oder einen beliebigen anderen Port.

 

[DoMM]

Danke Fusion für deine Antwort, wenn ich den Port nicht mehr freigebe, kann ich allerdings auch nicht mehr meine Surveillance Station per App benutzen.
Gibt es denn keine Möglichkeit einfach die Weboberfläche von extern zu deaktivieren ohne den Weg über den Port zu gehen?

 

[Kurt-oe1kyw]

hmmmmm, man könnte den Haken für die DSM Oberfläche entfernen falls du das meinst.

 

[Puppetmaster]

Hmmmm, keine Ahnung was Kurt da vorschlägt ... Gibt es inzwischen tatsächlich solch einen Haken?

@DoMM: Meines Wissens läuft die Surveillance Station über die Ports 9900 und 9901, nicht über 5000 und 5001. Sollte sich also nicht in die Quere kommen.

 

[Kurt-oe1kyw]

Vielleicht habe ich es auch falsch Verstanden mit der Frage, ich meine die Option:

DSM > Hauptmenü > Systemsteuerung > Berechtigungen > da kann man ja für "Desktop" die Zugriffe erlauben oder verweigern/sperren für die jeweiligen Nutzer, oder auch die Gruppen users, http usw.
Zeile Desktop markieren > Bearbeiten > neues Fenster > Benutzer/Gruppenberechtigungen einstellen und mit Ok bestätigen.

 

[Fusion]

Durch sperren der Anwendung "Desktop" sperrt man die Anmeldung am DSM für benutzer/Gruppen. Achtung! Nicht die Gruppe "users" sperren, sonst sperrst du dich selber aus.

Wenn das so gewünscht ist, ok.

Ich hatte es halt so verstanden, dass die Oberfläche, auch nicht der Login Bildschirm, gar nicht mehr erreichbar sein sollte.
Dafür muss halt der DSM Port dicht sein und die anderen Dienste über andere Ports oder Domains laufen/ansprechbar sein.

 

[Kurt-oe1kyw]

ahhhhhhh ok, dann habe ich es falsch Verstanden, ich dachte der TO möchte nur die DSM Weboberfläche "verhindern".

Aber ich habe jetzt noch mal nachgelesen, du dürftest Recht haben - da steht er möchte bereits die "Login-Oberfläche" "ausblenden", das wird dann wohl nur so gehen wie von dir beschrieben den Standardport zu schließen.

 

[NSFH]

Das geht über die Firewall, Zugriff auf DSM nur vom lokalen Subnet zulassen!

 

[Fusion]

@NSFH - korrekt. Allerdings, was gar nicht erst offen ist, brauch ich auch nicht blockieren.

 

[NSFH]

Ich beziehe mich auf die Ausgangsfrage: Zugriff über das Internet. Das schliesst nicht den Zugriff über das LAN mit ein. Wenn dieser also noch gewollt ist, ist die Fw Lösung die einzig mögliche.
Das muss jetzt der TE wissen was er will, hat ja alle Lösungen für sein Problem.

 

[Puppetmaster]

Die einzig mögliche?

Port 5001 und 5000 dicht machen im Router wäre eine weitere und bessere Lösung.

 

[DoMM]

Danke für die Zahlreichen Infos aber der Tipp von @NSFH trifft sie Sache am Besten.
Ich finde allerdings die Einstellung nicht welche er beschreibt. Ist die Funktion DS abhängig? Habe eine DS 112+ im Einsatz...

 

[NSFH]

Kenne deine Syno nicht, aber unter https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewall solltest du alles finden.

 

[Puppetmaster]

OK, muss ich alles nicht verstehen.

Aber Hauptsache, dir wurde geholfen.

 

[Andy14]

Kann ich Puppetmaster nur beipflichten, 5000(1) am Router dicht und für die anderen Apps ihre Ports öffnen.
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
DS File geht auch über 5005(6)