Toggle sidebar

Zugriff von Extern absichern durch Vergabe IP unter Benutzer möglich

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
H

heinzie

Benutzer
Registriert
19. Aug. 2010
Beiträge
55
Reaktionspunkte
0
Punkte
0
Hallo,

ich möchte für einzelne Benutzer (auf spezielle Ordner) meine NAS von Außen freigeben.
Leider leider ich etwas unter Verfolgungswahn.

Deshalb wollte ich die NAS so absichern, dass von Außen nur diese speziellen User Zugriff haben. Wenn ich das richtig verstanden habe, geht das aber nicht.
Wenn Zugriff von Außen freigegeben ist, gilt das automatisch immer für alle User, oder ?

Wenn ich jetzt aber bei den Usern (welche von Außen keinen Zugang erhalten sollen) unter Applikationen IP immer die lokale IP ihrers Rechners meines Netzwerkes eintrage, müsste das doch gehen.

2016.jpg


Oder liege ich da falsch?

Gruß
heinzie
 
Wenn du deine DS von außen erreichbar machst, dann ist sie logischerweise immer für jeden erreichbar - auch für mich, die Chinesen oder die NSA.
Erst auf der nächsten Ebene - wenn die Verbindung besteht - kannst du einzelnen Benutzern (oder IPs) den Zugriff auf irgendwas verbieten oder erlauben. Ein potentieller Angreifer kann einen Bug aber ggf. jetzt schon ausnutzen.
 
jugi schrieb:
Wenn du deine DS von außen erreichbar machst, dann ist sie logischerweise immer für jeden erreichbar - auch für mich, die Chinesen oder die NSA.
Erst auf der nächsten Ebene - wenn die Verbindung besteht - kannst du einzelnen Benutzern (oder IPs) den Zugriff auf irgendwas verbieten oder erlauben. Ein potentieller Angreifer kann einen Bug aber ggf. jetzt schon ausnutzen.
Zum Vergrößern anklicken....

ok, kann ich nachvollziehen. Aber wenn die IP gesperrt wäre, würde der Angreifer nur über einen Bug weiter kommen. Selbst das Passwort würde ihm ja nicht reichen.
Ich denke das würde die Sicherheit schon deutlich erhöhen.

Gruß
heinzie
 
Probiers doch einfach mal aus und berichte. Ich fürchte aber, dass ist nur ein zusätzliches Kriterium und blockt nicht automatisch alles andere ab, so dass ein Nutzer mit Passwort immer noch von außen zugreifen kann.
Aber teste es doch mal...
 
Was mir ein bisschen bauchweh bereitet ist der Abschnitt :"immer die lokale IP ihrers Rechners meines Netzwerkes eintrage" Entweder greifen sie von extern zu, dann kannst du keine IP eintragen (da sich deren IP ja immer wieder ändert, oder gar nicht klar ist welche IP überhaupt an die DS übertragen wird.) Oder du machst einen VPN Tunnel auf, dann ist aber die DS nicht in unserem Verständnis im internet freigegeben.
 
Na heavy, da musste dann aber auch den ganzen Satz hernehmen:
heinzie schrieb:
Wenn ich jetzt aber bei den Usern (welche von Außen keinen Zugang erhalten sollen) unter Applikationen IP immer die lokale IP ihrers Rechners meines Netzwerkes eintrage, müsste das doch gehen.
Zum Vergrößern anklicken....

Sogesehen stimmt der Gedanke schon: wenn ein User nur ausm LAN Zugriff haben soll, dann wird da die LAN-IP eingetragen… kann klappen, muss aber nicht.
Wie Fusion schon schrieb: probieren :)

Ich versteh allerdings nach wie vor das Konzept dahinter noch nicht so ganz… In welchem Szenario will man einem lokalem Benutzer den Login über das Internet verbieten, aber einem anderen ggf. beides erlauben? (Ist hier zwar jetzt OT, aber würde mich interessieren…)
 
Erwischt :mad:
Dann habe ich es aber auch nicht verstanden. :p
 
heavy schrieb:
Was mir ein bisschen bauchweh bereitet ist der Abschnitt :"immer die lokale IP ihrers Rechners meines Netzwerkes eintrage" Entweder greifen sie von extern zu, dann kannst du keine IP eintragen (da sich deren IP ja immer wieder ändert, oder gar nicht klar ist welche IP überhaupt an die DS übertragen wird.) Oder du machst einen VPN Tunnel auf, dann ist aber die DS nicht in unserem Verständnis im internet freigegeben.
Zum Vergrößern anklicken....

habe es getestet, und funktioniert.
Es kommt dann immer die Meldung "Der Dienst ist nicht zugelassen" nachdem man den User u. Passwiort eingegegeben hat.

Ich versteh allerdings nach wie vor das Konzept dahinter noch nicht so ganz… In welchem Szenario will man einem lokalem Benutzer den Login über das Internet verbieten, aber einem anderen ggf. beides erlauben? (Ist hier zwar jetzt OT, aber würde mich interessieren…)
Zum Vergrößern anklicken....


Annahme:
User 1: nur Zugriff auf Bilder Verzeichnis, aber keine IP Sperre und damit Zugriff auch von Außen möglich
User 2: Zugriff auf alle Verzeichnisse, aber IP Sperre und damit kein Zugriff von Außen möglich

Jetzt wäre es egal welche Zugangsdaten (User 1 oder User 2) der Angreifer hätte, er kommt maximal in das Verzeichnis Bilder

Oder liege ich damit falsch?

Gruß
heinzie
 
Hm, ja, das stimmt schon so, der Sinn erschließt sich mir allerdings nach wie vor nicht :) Was ist denn bspw., wenn User1 jetzt unbedingt von außen auf das Verzeichnis "Dokumente" zugreifen will? Das geht dann einfach nicht?

In dem konkreten Fall (Bilder öffentlich zugänglich) würde ich mir übrigens die Photo Station mal ansehen…
 
jugi schrieb:
Hm, ja, das stimmt schon so, der Sinn erschließt sich mir allerdings nach wie vor nicht :) Was ist denn bspw., wenn User1 jetzt unbedingt von außen auf das Verzeichnis "Dokumente" zugreifen will? Das geht dann einfach nicht?
Zum Vergrößern anklicken....

Ja genau, dass ist natürlich der Nachteil.

Da das bei mir aber alles nur privat ist, ist das eigentlich nicht so ein Problem.

Mir geht es mehr um die erhöhte Sicherheit. Z.Zt. gebe ich immer die Ports in meiner Fritzbox zeitlich begrenzt frei, wenn z.B. ein Bekannter was runterladen möchte.
Das ist natürlich sehr Fehlerträchtig.

Gruß
heinzie
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten