Toggle sidebar

Ports für Administration über DSM

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

s1r7o8y

Benutzer
Registriert
28. Nov. 2010
Beiträge
11
Reaktionspunkte
0
Punkte
0
Hallo zusammen,

ich bin gerade bei der Einrichtung meiner 211+, die an einer Fritzbox 7570 hängt. Zu meinem Rechner habe ich vorübergehend nur eine WLAN-Verbindung.

Über DynDNS kann ich inzwischen schonmal auf den Web-Ordner der DS zugreifen, allerdings würde ich jetzt gerne die Firewall wieder dicht machen soweit möglich und sinnvoll. Dabei habe ich mich eben erstmal selbst ausgesperrt, insofern jetzt nach einem Reset meine Frage: Welche Ports genau muss ich mindestens aufmachen (bzw. welche sonstige Einstellung vorsehen), damit ich in jedem Fall Zugriff behalte und weiterhin mit der DS über den DSM kommunizieren kann? Für mich scheint das 80, 5000 und 5001 zu sein, richtig?

Ich hatte versucht, standardmäßig erstmal alles zu verweigern und dann über die Liste der Anwendungen schrittweise wieder das Nötigste zu erlauben. Gerade jetzt sehe ich, dass ich konkrete Frage vielleicht ändern muss, und zwar habe ich vielleicht ein Missverständnis, wie die Regeln sich in Summe verhalten: Wenn ich eine Regel einrichte, die alles verbietet, kann ich scheinbar nicht durch folgende Ausnahmen, die etwas erlauben, dieses Pauschalverbot "lockern", ist das der Fehler? Genau diesen Zweck erfüllt dann (hoffentlich) die Option "wenn keine Regel zutrifft, Zugriff verweigern"?

Danke Euch,
Tobias
 
Hier eine Liste der Ports.

Wenn Du für einen Zweck eine verschlüsselte Verbindung benutzt ist die unverschlüsselte nicht notwendig.
Also 7001 statt 7000 oder 5001 statt 5000.
Wenn Du keine Web Seite auf der DS hast, ist 80 nicht notwendig.

Zu der DS Firewall
"wenn keine Regel zutrifft, Zugriff verweigern"?
ist erst mal richtig. Damit ist alles verboten, was Du nicht erlaubst.
Dann könnte z.B. eine Regel folgen, die für Dein Haus internes Netz alles erlaubt.
Dann könntest Du einzelne Ports für alle (also auch Internet) frei geben.
In der Firewall siehst Du bei dem Assistenten auch noch mal, welche Ports für welchen Dienst sind und kannst einfach anhaken.
 
Vielen Dank für die schnelle Antwort! Dann frage ich doch direkt nochmal weiter: Muss ich das gezielt einstellen, dass ich nur eine verschlüsselte Verbindung verwenden will, oder reicht es einfach nur die Ports für die verschlüsselten Verbindungen aufzulassen? Im ersteren Fall, wie wäre die Einstellung - "HTTPS-Verbindung für Webdienste aktivieren" oder ist das was Spezielleres?

Ich hatte auch schon überlegt, wie ich innerhalb des LAN mehr oder alles erlauben könnte, wusste aber nicht so recht wie: Mein Rechner hat ja (zumindest bisher) auch keine feste IP, unter der ich ihn adressieren könnte. Bin mir nicht sicher, ob es sinnvoll und unproblematisch ist, den genauso wie die DS nicht mehr über DHCP laufen zu lassen?

Und noch ein letztes: Ich habe momentan in meiner Fritzbox die wesentlichen Ports unter Portfreigabe einfach direkt an die DS weitergegeben - richtig so, oder macht es Sinn (evtl. auch Sicherheitsgründen oder um Portkonflikte im LAN zu vermeiden - alles nur angelesenes Halbwissen...), diese Ports auf andere Nummern weiterzuleiten, und wenn ja, welche bzw. worauf ist dabei wieder zu achten?

Vielen Dank, Ihr seid eine super Unterstützung für die ersten Schritte hier!
 
Du kannst nur das Port 5001 aufmachen, das bedingt dann https.
Unter Bedienfeld / Web Dienste schaltest Du https ein.
Unter Bedienfeld DSM Einstellungen schaltest Du https ein
Unter Bedienfeld DSM Einstellungen kannst Du auch noch aktivieren, dass Zugriffe auf Port 5000 automatisch auf 5001 umgeleitet werden. Das ist unnötig, wenn 5000 nicht offen ist.

Hinweis ... bei https über 5001 wirst Du einen Hinweis auf ein nicht vertrauenswürdiges Zertifikat bekommen. Wie Du das Problem löst, verrät Dir die Suche im Forum oder / und ein Blick ins Wiki.

Internes Netz. Es ist sinnvoll, der DS eine feste IP zu geben. Der Rest kann DHCP nutzen. Beispiel DS 192.168.2.100 PC 192.168.2.51
Du gibst in der FW das gesamte Subnetz frei, also 192.168.2.0 / 255.255.255.0 alle Absender alle Ports.

Fritz Box NAT ... Wenn Du nur einen Server von jeder Sorte betreiben willst (80, 21, 5001, 7001 ...), kannst Du die Ports 1:1 durchleiten. Das ist sogar sinnvoll, um den Zugriff über default eingestellte Ports zu erleichtern. Oder willst Du jemandem erklären, dass Deine Web Seite unter http://die Domain:1254 zu erreichen ist??

Wenn jemand einen Port Scanner benutzt, ist es eigentlich egal, ob er als offenes Port 80 oedr 8080 oder 1234 raus findet. Und wer nur Port 80 und 21 probiert, stellt keine Gefahr dar :)
Wichtig ist evtl. noch die automatische Blockierung von IPs einzuschalten. (auch so kannst Du Dich prima aussperren) ;-)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten