DSM 6.x und darunter DSM Zugriff übers Internet deaktivieren

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

stob

Benutzer
Mitglied seit
27. Jun 2019
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,
ich habe meine neue (und erste DiskStation) DS218+ mittlerweile so eingerichtet, wie ich mir das vorstelle.
Allerdings finde ich für ein "Problem" keine Lösung:
Ich will nur einzelne Anwendungen (Drive, Chat, DS Note) übers Internet und die Smartphone-Apps zugänglich machen, aber nicht die Möglichkeit sich auf dem DSM-Desktop anzumelden (das soll nur innerhalb des LANs möglich sein) !
Der Zugriff auf z.B. Drive über einen CNAME auf meine DDNS Adresse a la "https:\\meine-domain.de\drive" funktioniert einwandfrei. Allerdings komme ich über die Url "https:\\meine-domain.de" auf die Anmeldeseite des DSM-Desktops. Hier erfolgt (warum auch immer) eine automatische Umleitung auf https:\\meine-domain.de:5001. Das will ich verhindern.
Das Deaktivieren der Portweiterleitung des Ports 5001 von der FritzBox auf die Syno würde das Problem zwar lösen, allerdings funktioniert dann auch der Zugriff über die Smartphone Apps nicht mehr !?

Hat hier vielleicht jemand einen Tipp ?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Bist du sicher, dass der Zugriff via Apps bei Sperrung von 5001 nicht mehr funktioniert, oder vermutest du das nur?

Der Dienst ist ja prinzipiell schon via port 443 erreichbar via domain.de/alias im Browser.
Eventuell reicht es in den Apps domain.de:443 anzugeben.

Andernfalls wäre noch die Möglichkeit benutzerdefinierte Domains oder reverse proxies für die Dienste zu definieren unter Systemsteuerung - Anwendungsportal

Auch hierbei kann es nötig sein eventuell in den Anwendungen dienst.domain.de:443 einzugeben.

Port 5000/5001 braucht man dann jedenfalls nicht mehr.
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.777
Punkte
314
Ich finde die Idee mit dem 5000 und 5001 grundsätzlich nicht schlecht, aber wäre es denn nicht viel einfacher und bequemer mit:

DSM > Hauptmenü > Systemsteuerung > links auf "Berechtigungen" > Zeile DSM markieren > Bearbeiten > neues Fenster DSM > Register "Benutzer" > einen User der DSM nutzen darf auswählen und in der ganz rechten Spalte "Nach IP" eintragen > neues Fenster Register "Freigabe-Liste" > IP Adresse hinzufügen und hier deine berechtigte IP Adresse eintippen.

Schaut dann zB so aus:

dsm_verweigert.jpg

Nur mal so als Denkanstoss....
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Valider Einwurf.

Solange die normalen Benutzer NUR
- Anwendungen im Browser über benutzerdefinierte Domains oder Ports benutzen oder via Apps
- nur der 'Verwalter' Zugriff auf den DSM selbst braucht

Allerdings hast du dann immer noch die Ports nach draußen offen. Weiß nicht an welcher Stelle der Kommunikation die DS dann die Verbindung verweigert und man den Webserver noch angreifen könnte.

Von daher wäre mir persönlich die Firewall da lieber und die Ports nur im LAN erreichbar. Dann muss man aber wieder dafür sorgen, dass die Anwendungen anderweitig erreichbar sind.

Darf sich der TO was raus suchen. :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat