QNAP Zugriff einschränken WebUI

    Hallo zusammen,


    ich habe mein NAS von außen erreichbar gemacht (über eine domain (share.int.example.com)).

    Dazwischen hängt ein Reverseproxy + Firewall.

    share.int.example.com <-> Firewall <-> ReverseProxy <-> internes NAS.

    Jetzt möchte ich, dass es von hier aus nicht möglich ist sich am Admin Panel anzumelden. Ich will lediglich Dateien teilen via URL (Bilder o.ä.).

    Die Firewall lässt grundsätzlich nur Port 80 & 443 durch (SSH ist somit dicht).

    Den Reverse Proxy kann ich nach belieben konfigurieren. Aktuell lässt er alles durch, es sei denn in der URL kommt der String "login.html" vor.

    Dadurch ist es nicht möglich auf die Loginseite zuzugreifen.

    Die Frage wäre, gibt es weitere URLS mit der ich auf die Admin Oberfläche komme -> gibt es weitere Strings die ich sperren könnte?

    Gibt es APIs (REST o.ä.) welche es erlaubt in irgendeiner Weise auf das NAS zuzugreifen (Falls ja wie lautet hier die URL!?)


    Habt ihr weitere Ideen, wie ich das NAS möglichst Secure Online betreiben kann (2FA richte ich noch ein, SSL ebenso).


    Ich denke ich bin aktuell nicht allzu schlecht aufgestellt, würde das jedoch gerne noch weiter optimieren


    gruß

    Moejoe

    Weg von den default Ports, die werden als erstes gescannt. Highports nur von den guten Bots.

    Aber aktuell gest dubdamit ein ganz schönes Risiko ein. Noch kann niemand de genauen Einfallsweg beziffern.

    Klick

    Wenn etwas Public im Netz ist, hat man immer ein gewisses .

    Jeder der die Sharing Funktion über die Qnap Cloud nutzt macht im Prinzip nichts anderes als ich, nur dass er Qnap noch erlaubt schön die Daten mit zu lesen.

    Ich möchte gerne Dateien Sharen mit anderen, die sollen jedoch nur lesen können. Eine Website besucht man der Bequemlichkeit halber neunmal über Port 443 (die Qnap dahinter hat einen komplett anderen Port, der Reverse Proxy stellt das nur so dar). Ich habe jahrelang eine Public owncloud Instanz gehabt mit entsprechenden Absicherungsmasnahmen und (toitoitoi, nie ein Problem gehabt - jetzt soll das die Qnap übernehmen).

    Nach allem was ich gelesen habe, lässt sich der Management Port nicht vom „Sharing Port „ trennen(das wäre Ideal). Deswegen muss ich über Firewall/Reverse Proxy möglichst alles unnötige abschalten.

    Aktueller Plan: Sharing lesend Public

    Sharing freigeben via VPN (weil hier die Management UI nicht geblockt wird).

    Dazu muss ich wissen welche Funktionen die Qnap hat, um sich eventuell einzuloggen (API, andere URL,...).

    Hierzu bräuchte ich etwas Input von Euch Qnap Experten.