phpMyAdmin-Zugriff von extern einschränken

[Ulfhednir]

Mal eine ganz doofe Frage: Wozu benötigt man/n permanent phpMyAdmin? Das dürfte wohl der Ausnahmefall sein. Es sei denn man ist Webentwickler
Die einfachste und verlässlichste Lösung wäre aus meiner Sicht das Deaktivieren des Pakets. So handhabe ich das übrigens auch.

 

[maalik]

Ja, Profil ist zugewiesen. Wenn ich es nicht zuweise, komme ich per domain.tld/phpmyadmin auf phpMyAdmin.
Domain läuft über DDNS/selfhost

Nur im Webdienst Portal für phpmyadmin

Das verstehe ich nicht. Was meinst du?

DNS-Auflösung via pi-hole auf nem Pi

DNS Rebind hat für domain.tld eine Ausnahme in der FRITZ!Box.


@Ulfhednir: Ich gucke da alle paar Tage rein, lohnt also nicht immer zu deaktivieren.

​

 

[Fusion]

Wenn du lokale Namensauflösung hast brauchst auch keine DNS Rebind Ausnahme, außer es ist was falsch konfiguriert. Das nur nebenbei.
Aber Prüf mal ob du von deinem Client mit 'nslookup deinedyndns' auch die lokale IP für das NAS bekommst und nicht die öffentliche IP deines Routers.

Wenn das der Fall wäre kommt die Anfrage für das NAS von dieser öffentlichen IP und wird folgerichtig gesperrt.
Wenn du die IP/phpmyadmin verwendest kommst du immer von der inneren lokalen IP und die Regel lässt dich durch.

 

[maalik]

Wenn du lokale Namensauflösung hast brauchst auch keine DNS Rebind Ausnahme, außer es ist was falsch konfiguriert. Das nur nebenbei.

Okay, das kann gut sein, das war noch ein Überbleibsel aus vor vielen Jahren, als irgendwas mal nicht funktioniert hat. Seitdem läuft alles, daher habe ich da auch nichts mehr rückgängig gemacht.

Das hier bekomme ich bei nslookup domain.tld:

C:\Users\Felix>nslookup domain.tld
Server:  fritz.box
Address:  fd00::xxxx:79ff:xxxx:87e3

Nicht autorisierende Antwort:
Name:    domain.tld
Address:  46.142.xxx.xxx

Wenn ich das jetzt richtig schlussfolgere: Mein PC geht bei "domain.tld" nicht direkt auf das NAS, sondern erst raus in Netz und dann erst drauf, weil die Fritz!Box nicht die kürzere Route wählt und dadurch ist dann auch meine lokale IP der Syno nicht mehr bekannt -> wird also geblockt?

 

[Fusion]

Wirklich raus ins 'Netz' geht er nicht.
Wenn die Ausnahme im DNS Rebind Schutz greift geht aber in der Tat der Verkehr in der Fritzbox einmal von der LAN Schnittstelle über das NAT auf WAN und wieder zurück.
Das ist halt weniger effizient, aber immer noch eher in Richtung Gbit/s wenn es nicht grad die älteste Fritzbox ist.

Aber ja, für die DS sieht es damit wie eine externe Anfrage aus und wird geblockt.

Musst also mal dein pihole und die Einbindung ins LAN / fritzbox prüfen, damit am Ende der nslookup direkt eine 192.168.178.x ausspuckt, oder was du halt als lokalen range benutzt.

Z.b. Fritzbox > Heimnetz > IP/DNS Einstellungen, dass die Clients im LAN den pihole als DNS Server vermittelt bekommen.
Z.b. Im pihole 'lokale DNS' dass dort ein passender Eintrag für 'Domain.tld' auf die lokale NAS IP existiert.
...

 

[maalik]

Auch das hilft nicht. Habe es so umgesetzt wie beschrieben, dennoch bekomme ich einen 403. Seltsam...