Externen Zugriff auf Admin-Interface einschränken

FreddyFFM · 12. Oktober 2015

Hallo zusammen,

folgendes Szenario: die QNAP steht in einem internen Netzwerk hinter einer FritzBox. Aktiv sind QSync und Surveillance. Um u.a. die App VMobile mit der Surveillance-Station verbinden zu können, benötige ich Zugang zu https://meindyndns:sslport/surveillance. Der Port ist in der FritzBox entsprechend weitergeleitet und der Zugriff funktioniert. Damit geht aber leider auch einher, dass jeder Zugriff auf das Admin-Interface oder die anderen "Stations" bekommt. Dieses möchte ich gerne unterbinden. Dazu habe ich bereits diverse Foren durchforstet und auch folgenden Ansatz (http://forum.qnap.com/viewtopic.php?t=94551) gefunden, der bei mit aber nicht funktioniert. Da ich kein Experte für die Apache-Konfig bin, weiß ich auch nicht, was ich anderes einstellen kann. Gibt es jemand, der mit die richtige Konfig nennen kann, so dass für alles unter https://meindyndns:sslport/ nur der Zugriff auf dem internen Netz (192.168.178.0) funktioniert, außer bei https://meindyndns:sslport/surveillance?

Vielen Dank und Grüße
Freddy

nadstefan · 13. Oktober 2015

Das bekommst du relativ leicht hin, wenn du den Port der Adminoberfläche änderst und den Port vom WebServer auf 443 einstellst.

Eventuell noch den Virtuellen Host aktivieren und weiterleiten.

Bsp.: owncloud

Code

QNAP Adminoberfläche: Port 444
WEB Server: Port 443
Virtueller Host aktiviert: 
Hostname: DOMAIN
Ordner: /web/owncloud
Protokoll: https

Ergebnis: https://DOMAIN öffnet owncloud (mit Zertifikatsmeldung)

FreddyFFM · 14. Oktober 2015

Danke für diesen Hinweis. So ähnlich habe ich es jetzt gemacht.

Ich habe einen VHOST mit HTTPS eingerichtet, über die httpd-ssl-vhosts-user.conf die Proxy-Module geladen und den Proxy aktiviert (die Datei wird durch QNAP nach Neustart nicht überschrieben). Die FritzBox tunnelt den Port 443 auf den VirtualHost.

Code

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so


<VirtualHost ...>
[...]
    ProxyPreserveHost On
    ProxyRequests Off
    ProxyVia Off

    <Location /surveillance>
		order deny,allow
        ProxyPass http://xxx:8080/surveillance
        ProxyPassReverse http://xxx:8080/surveillance
    </Location>

   <Location /cgi-bin>
	order deny,allow
	ProxyPass http://xxx:8080/cgi-bin
	ProxyPassReverse http://xxx:8080/cgi-bin
   </Location>


    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>


</VirtualHost>

Alles anzeigen

Ein Zugriff auf die Admin-Oberfläche, die sonst auch über /cgi-bin aufrufbar ist, scheint damit nicht möglich. Wer aber die CGI-Dateien kennt, kann sie sich anzeigen lassen. Dieses versuche ich aktuell zu unterbinden.
Verbesserungsvorschläge gerne willkommen

Externen Zugriff auf Admin-Interface einschränken

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

App Zugriff (von extern) auf verschlüsseltes Laufwerk

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Verschlüsselungstrojaner auf NAS

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

SambaCry on QNAP NAS

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur