Toggle sidebar

Response Proxy - Zugriffsprotokollregeln

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

B

Ben2013

Benutzer
Registriert
01. Nov. 2021
Beiträge
133
Reaktionspunkte
13
Punkte
18
Hallo Zusammen,

ich hoffe, dass das Thema im richigen Forum gelandet ist.

Es geht darum, eine Domain nur für den Internen Ethernet-Zugriff freischalten.

Dazu wurden im Zugriffsprotokoll-Profil ein neuer Eintrag angelegt:

Zugelassen:
10.0.0.0/8
192.168.0.0/16

Verweigert:
(Alle)

Wenn dieses Profil einer Domain zugewiesen wird, kann von keiner IP mehr auf die entsprechende Domain zugegriffen werden.

Nach meinen Kenntnissen werden die Einträge von Oben ach unten abgearbeitet.

Wen z.B. von 192.168.1.70 zugegriffen wird, müsste die Zweite Regel ( 192.168.0.0/16 ) zutreffen und somit der Zugriff gestattet sein.

Dem ist allerdings nicht so.

Wenn die Regeln wie folgt umgestellt werdenx, wird jeder Zugriff erfolreich durchgewunken:

Verweigert:
Alle

Zugelassen:
10.0.0.0/8
192.168.0.0/16

Wie müssen denn die Regeln nun definiert werden?

Grüße,
Ben
 
Ergänzende Infos:

Wenn in der Console der Befehl "nginx -s reload" ausgeführt wird, werden viele Warn-Meldungen gelistet:

nginx: [warn] duplicate extension "wasm", content type: "application/wasm", previous content type: "application/wasm" in /etc/nginx/mime.types:101
nginx: [warn] low address bits of 192.168.1.46/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:2
nginx: [warn] low address bits of 192.168.1.32/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:3
nginx: [warn] low address bits of 192.168.1.46/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:2
nginx: [warn] low address bits of 192.168.1.32/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:3
nginx: [warn] low address bits of 192.168.1.46/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:2
nginx: [warn] low address bits of 192.168.1.32/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:3
nginx: [warn] low address bits of 192.168.1.46/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:2
nginx: [warn] low address bits of 192.168.1.32/24 are meaningless in /etc/nginx/conf.d/dsm.ssdp.conf:3
nginx: [warn] conflicting server name "[subdomainname]" on 0.0.0.0:80, ignored

Diese Regeln werden von DSM dynamisch generiert.
 
Ben2013 schrieb:
Wen z.B. von 192.168.1.70 zugegriffen wird, müsste die Zweite Regel ( 192.168.0.0/16 ) zutreffen und somit der Zugriff gestattet sein.
Zum Vergrößern anklicken....
Das ist soweit korrekt.
So wie ich das verstehe, ist dein Reverse Proxy auch von extern erreichbar. Hast du Split-DNS am Start? Wenn nein, löst du intern im Heimnetz vermutlich die Domain auf deine externe IP-Adresse auf. Wenn dann dein Router kein NAT-Loopback kann, kommst du am Reverse Proxy nicht mehr mit der 192.168.1.70 an.

Bei mir sieht ein Profil z.B. so aus:
1766918983800.png
OT: Unter DSM 7 kann man dieses Fenster aus dem Screenshot nicht mehr in der Größe verändern. Unter DSM 6 ging das noch. Wenn man unterschiedliche Profile und viele Einträge in denen hat, macht allein diese Tatsache bereits den Synology RP quasi unbenutzbar, weil man bei jeder Änderung dermaßen Puls bekommt vor lauter scrollen. Also auch an dieser Stelle mal wieder: Saubere Arbeit, Synology!
 
Hallo plang.pl,

vor dem Netzwerk ist ein zusätzlicher NAT. Es ist somit ein doppeltes NAT im Einsatz, weil im AVM-Router "5530 Fiber" kein Modem-Modus möglich ist. das eigentliche Netzwerk wird mit Unifi-Geräten umgesetzt. Der Glasfaser-Anbieter unterstützt nur AVM FritzBoxen als Modem.

Demnach müsste ich nur alle Zugriffe von der festen IP des Routers als Zugriffe von Aussen einstufen. Ist das korrekt?

DSM 7: Fenster nicht mehr in der Größe veränderbar:
Man kann mit dem AddOn Stylish vieles wieder zurück holen. Ist ja vieles nur als CSS-Eigenschaft definiert. Schwieriger wird es, wenn irgendwelche JavaScripts zum Einsatz kommen, die es im DSM 7 nicht mehr gibt.

Notfalls muss man ein Paket für das DSM7 programmieren, in dem die fehlenden Features nachgereicht werden, die von Synology ausgemustert worden sind.
 
Die UDM wurde in der FritzBox als Exposed Host eingetragen.

Es wurde gelöst, nachdem die IP der FritzBox als Modem in die Zugangskontroll-Profil als unzukässig eingetragen wurde.
 
Zu Früh gefreut.

Wenn aus dem LAN heraus auf eine Domain zugegriffen wird, protokolliert der nginx-Server eine externe IP-Adresse, die mit der öffentliche IP-Adresse vom Internet-Anschluss übereinstimmt. Die öffentliche IP-Adresse ist dynamisch.

Weiß jemand weiter?
 
Ja. Eigenen DNS-Server nutzen, wie oben schon geschrieben und intern den DDNS auch intern auflösen
 
Wie kann der DDNS intern aufgelöst werden?
 
Zuletzt bearbeitet von einem Moderator:
Entweder mit dem Synology DDNS Direkt oder mit eigenem DNS-Server. Zu letzterem Punkt habe ich eine Anleitung erstellt (ist aber kompliziert, dafür hat man einen netzwerkweiten Werbeblocker).
 
Das mit Synologys DDNS-Service funktioniert aber nur, wenn die DDNS-Adresse nur intern verwendet wird. Wenn das NAS mit der Adresse auch von außen erreichbar sein soll, braucht es eine andere Lösung.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten