DSM 6.x und darunter DSM Webzugriff via IP Adresse blockieren

[jaerc]

Hallo zusammen

Ich würde gerne auf meinem NAS den Webzugriff für das DSM Login so einrichten, dass dieser nur noch über meine URL www.xxx.xxx erreichbar ist und nicht mehr direkt über die IP Adresse. Heute geht beides. Ich möchte aber Web Access via IP blockieren geht das?

Besten Dank
Christian

 

[goetz]

Hallo,
das geht nicht. Letztendlich sind alle Zugriffe über die IP, Anfrage www.xxx.xxx wird aufgelöst zu IP xxx.xxx.xxx.xxx und dann verbunden.

Gruß Götz

 

[jaerc]

Hallo

Warum können das dann andere Webhoster? Beispiel: www.chip.de löst IP Adresse 193.247.167.136 auf. Wenn ich diese IP Adresse im Browserfenster direkt eingebe dann kommt die Rückmeldung Invalid Url egal wie ich die Adresse eingebe.

Es muss also eine Möglichkeit geben das direkte aufrufen einer Webseite zu verhindern. Wenn die Synology Box das nicht kenn werde ich einen Feature Request stellen.

Gruss Christian

 

[joku]

Warum können das dann andere Webhoster? Beispiel: www.chip.de löst IP Adresse 193.247.167.136 auf. Wenn ich diese IP Adresse im Browserfenster direkt eingebe dann kommt die Rückmeldung Invalid Url egal wie ich die Adresse eingebe.

Hallo, weil in Deinem Beispiel, die IP Adresse 193.247.167.136 der AKAMAI server Farm gehört.
Server mit einer IP Adresse können mehrere vHost bedienen,
welchen dann eine und die gleiche IP haben,
Diese kann man mit einer Fehlermeldung anzeigen oder auch nicht.
Was soll es denn für Dich bringen ?
Eine Umschreibung der IP auf einen Namen kannst Du via .htaccess erledigen

Gruß Jo

 

[Frogman]

Wenn Du Dir mal anschaust, wem die IP-Adresse gehört, wirst Du feststellen, dass das Akamai Technologies ist. Wenn Du 'www.chip.de' mehrmals anpingst, wirst Du auch sehen, dass die IP-Adresse ab und an wechselt - allerdings gehören alle Akamai Technologies.
Wer ist das nun, wenn denn nicht direkt chip.de? Das ist ein sogenanntes Content Delivery Network und stellt sozusagen einen Cache Proxy für Kunden dar, die ihre Webseite nicht direkt anbieten (um bspw. mit dem eigenen Server keine so hohen Lastanforderungen erfüllen zu müssen). Da das Verteilen der Zugriffe vom Proxy erfolgt, kannst Du nicht direkt die IP-Adresse eingeben, sondern musst über die Webadresse gehen.

EDIT: da war der joku ordentlich schnell

 

[jaerc]

Meine Idee ist eine Security Überlegung. Die öffentliche IP meines Netzes ist ja gegen aussen bekannt. Ich möchte aber verhindern, dass ein Hacker welcher meine IP Adresse entdeckt versucht auf meinem DSM einzuloggen. Ich habe schon Geo-IP auf der Fierwall nur für das eigene Land eingestellt und das blockieren der Ursprungs IP nach 3 fehlerhaften Login Versuchen. Schön wäre es nun wenn ich alle Login Versuche direkt via IP Adresse komplett verhindern könnte.

Soweit mir bekannt ist es heute nicht so einfach möglich Anhand meiner Synology DynDNS URL, diese URL zu ermitteln wenn nur die IP Adresse bekannt ist. Und wenn der Web Access über die direkte IP Adresse geblockt werden könnte sehe ich dies als weitere Absicherung gegen nicht erwünschten Access.

Danke für euren Support

 

[Frogman]

Nein, Du als Nutzer hinter einer dynamisch vom Provider zugeteilten IP-Adresse kannst da direkt nix verstecken - jeder, der die aktuelle IP Deines Anschlusses kennt, kommt damit bei Dir an.

 

[whitbread]

Wie wäre es, wenn Du einfach nur Dir selbst Zugriff auf Deine NAS gewährst...

 

[g202e]

@jaerc: Wenn dir das soo wichtig ist, mach es wie chip. Machst ein Vertrag mit Akamai und dann klappt das genauso. (only joking...)

 

[süno42]

Ich würde gerne auf meinem NAS den Webzugriff für das DSM Login so einrichten, dass dieser nur noch über meine URL www.xxx.xxx erreichbar ist und nicht mehr direkt über die IP Adresse. Heute geht beides. Ich möchte aber Web Access via IP blockieren geht das?

Dein Vorhaben läßt sich mittels virtueller Hosts realiseren (in Beitrag #4 angedeutet), indem Du das DSM in einen mit Deinem dynamischen DNS-Namen einsperrst. Zusätzlich erstellst Du einen Standard-Virtual-Host, welcher eine Fehlerseite ausgibt oder die Verbindung schließt. Alternativ kannst Du auch den Host-Header in der Anfrage auswerten (sollte in .htaccess möglich sein) und, falls dieser nicht Deinem dynamischen DNS entspricht, entsprechend anderen Inhalt zurückspielen.

Nachteile liegen aber auf der Hand, daß eine DSM-Aktualisierung Deine Änderung an der Systemkonfiguration (httpd.conf, …) möglicherweise wieder überschreibt. Zumal, einen Sicherheitsgewinn erhältst Du damit nicht, denn Security by Obscurity ist in den seltensten Fällen eine gute Idee.

Süno42

 

[MadMarvin]

Wenn Du Sicherheit haben willst, richte ein VPN ein und deaktiviere den Zugriff von ausserhalb Deines Netzwerkes.