Toggle sidebar

Benutzerdefinierte Ports nicht restriktiv?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
luddi

luddi

Benutzer
Sehr erfahren
Registriert
05. Sep. 2012
Beiträge
3.306
Reaktionspunkte
637
Punkte
174
Hallo zusammen,

wie ihr alle bereits sicher wisst besteht die Möglichkeit unter "DSM --> Control Panel --> Application Portal" für die entsprechenden Applikationen z.B. je einen zusätzlichen http bzw. einen https Port zu definieren. Dies verwende ich selbst schon seit längerem erfolgreich.

Jedoch wurde ich heute durch meinen Kollegen (Danke an denjenigen :) ) auf dieses Thema aufmerksam gemacht und nun habe ich es selbst in meiner Umgebung geprüft und auch bestätigen können.
Die Umgebung ist wie folgt:
  • DSM 5.0-4528 Update 2
  • iOS (iPhone 4) 7.1.2
  • DS Audio 5.7 (06.11.2014)
  • DS File 5.3 (29.10.2014)

Es betrifft im Grunde die DS Apps welche auf die entsprechenden Services (File, Audio, Note.... ) unter DSM zugreifen.

Definiert wurden für die einzelnen Applikationen folgende zusätzliche https Ports:
  • AudioStation: 8801
  • FileStation: 7001
  • DownloadStation: 8001
  • NoteStation: 9351

wie auch dem Bild zu entnehmen ist:

DSM_ApplicationPortal.png

Öffnet man z.B. die App "DS Audio" und möchte nun zur Diskstation verbinden so resultiert hieraus, dass die Verbindung einmal über den DSM Port (z.B. 5001) oder aber auch über den zusätzlich definierten Port 8801 erreichbar ist.

z.B. die beiden Möglichkeiten
a.) IP_ADRESSE:5001
b.) IP_ADRESSE:8801

Dies ist soweit korrekt und funktioniert tadellos.

Was jedoch seltsam erscheint ist, dass die AudioStation nun auch die Verbindung über die jeweils anderen zusätzlich definierten Ports mit der DS Audio App zulässt. Sprich, sie ist zusätzlich erreichbar mit:
c.) IP_ADRESSE:7001
d.) IP_ADRESSE:8001
e.) IP_ADRESSE:9351

Als Beispiel im Anhang ein Bild welches zeigt dass die Verbindung über alle hier definierten Ports möglich ist. Wobei oben in der Farbe Orange die FileStation und darunter die AudioStation dargestellt ist.

DS_App.jpg

Über den Browser ist dieses Verhalten nicht zu beobachten, denn gibt man den entsprechenden Port ein so landet man direkt auf der Anmeldeseite der jeweiligen Applikation. Aus meiner Sicht hätte ich nun erwartet, dass die entsprechende Applikation auch nur auf den ihnen zugewiesenen Port plus den DSM Port antwortet und die Verbindung zulässt.

Wie seht ihr dieses Verhalten?

Gruß
luddi
 
Zuletzt bearbeitet:
Hallo luddi

Ich hätte jetzt gesagt das bei Application Portal als "zusätzlicher" Port zu verstehen ist, wenn z.b. der Port bei der Firma gesperrt ist. Grundsätzlich musst du entweder in der Firewall 5001 explizit verbieten oder du machst kein Port-Forwarding beim Router.
In der Firewall wird explizit bei Port 5000 und 5001 von Management UI, File Station, Audio Station, Surveillance Station, Download Station und CMS angegeben.

Übrigens, da ich allem was auf dem Port 5001 läuft nicht vertraue, Verbinde ich mich nur via OpenVPN. Das klappt hervorragend auch zum streamen von der Audio Station.

Gruss Dany
 
dany schrieb:
Ich hätte jetzt gesagt das bei Application Portal als "zusätzlicher" Port zu verstehen ist, ...
Zum Vergrößern anklicken....
Da gebe ich dir prinzipiell Recht und kann nicht widersprechen. Aber es geht nicht darum!

Es geht darum dass z.B. die AudioStation nicht nur unter dem DSM Port und dem zusätzlich definierten Port erreichbar ist sondern auch unter dem für die FileStation oder DownloadStation zusätzlich definierten Port erreichbar ist. Warum bitte soll die AudioStation unter einem weiteren Port verfügbar sein.
Sie sollte lediglich unter dem DSM Port (z.B. 5001) und dem zusätzlich definierten Port unter Application Support erreichbar sein. Und zwar nur unter demjenigen zusätzlich definierten Port für die AudioStation!

Gruß
luddi
 
luddi schrieb:
...
Sie sollte lediglich unter dem DSM Port (z.B. 5001) und dem zusätzlich definierten Port unter Application Support erreichbar sein. Und zwar nur unter demjenigen zusätzlich definierten Port für die AudioStation!

Gruß
luddi
Zum Vergrößern anklicken....
Das würde ich auch so sehen!
Das scheint mir ein Fehler zu sein, gerade mal getestet die AudioStation ist bei mir auch über den VideoStation Port zu erreichen (5001 geht bei mir gar nicht raus)!
 
Scheint tatsächlich ein Bug zu sein. Konnte es reproduzieren.
 
Unter welcher DSM Version habt ihr getestet?

Gruß
luddi
 
Dsm 5.1-5021
 
Ich kann es technisch verstehen - es ist nicht unbedingt ein Bug. Dem User wird aber durch die Beschreibungen etwas gänzlich anderes suggeriert.

Die benutzerdefinierten Ports werden im Apache als zusätzliche Ports definiert. Über den System-Apache sind aber erst einmal alle angesprochenend Dienste zugänglich. Eine Beschränkung auf bestimmte Ports ließe sich IMHO nur in der Applikation selbst vornehmen.

MfG Matthieu
 
Aber irgendeine "Verknüpfung" müsste es da doch geben, oder?
Wenn ich über den Browser rein gehe dann kommt ja auf dem PORT auch die entsprechende Web-Anwendung!
 
@Matthieu: Danke für die Erklärung. Ich hatte mir schon gedacht dass alle zusätzlichen Ports dem Sys-Apache bekannt gemacht werden, und dieser unterscheidet nicht die Applikation der Anfrage.

@Andy14: Bezüglich des Zugriffs über den Browser gebe ich dir recht. Nur ist es im Browser aber nicht möglich z.B. Applikation:PORT aufzurufen. Somit bleibt ja nur der Aufruf über den PORT übrig und folglich muss eine gewisse Verknüpfung von "PORT --> Applikation" vorhanden sein damit die richtige Applikation antwortet.

Gruß
luddi
 
Das finde ich aber nicht gerade toll!
Ich habe extra den Port für die FileStation nicht nach außen frei gegeben!
Wenn eine "fremder" über einen USER den Zugriff über Audio/VideoStation aufs NAS erlangt dann geht das ja noch, kann eben Musik hören und Filme gucken.
Aber so sind ja USER die ich fürs "interne" Netz den Zugriff auf die FileStation lasse über die freigegebenen Ports von Audio/VideoStation doch von außen zugänglich!?
und können Dateien löschen!
 
Nachtrag:
Ich habe ein mail an den Synology Support geschrieben. Vor Weihnachten kam noch eine Antwort von Synology zurück. Ev gibts eine Chance das in einem zukünftigen Release dies möglich wird.

Gruss Dany

Dear Customer,

I have consult with developer and currently this is by design.


Custom port is like shortcut, so it does not only set to block access for particular application only if other service share the same common port, for example Note station, File Staiton use port 5000 to access.


I have file a feature request for PM and developer to do further analysis and evaluation, so it has chance to be improved in the future.

Best Regards
Zum Vergrößern anklicken....
 
Besten Dank für die Info dany!

Gruß
luddi
 
Danke dany!!! Hatte selber vor eine EMail zu schreiben ... aber wie üblich dann doch immer verschoben.
 
Scheint in der DSM 5.2 nun umgesetzt zu sein :cool:
Hatte eine Fehlermeldung bekommen doch bitte den Port zu nehmen der in der DSM eingestellt ist.
Habe jetzt aber keine großen Tests durchgeführt!
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten