(Firewall-) Einstellungen um nur Freigabelink zu teilen

  • Hallo,


    ich würde gerne Dateien via Links freigeben, jedoch ohne jegliche Türen zu meiner NAS aufzumachen.


    Ich habe Cloudlink und sämtliche Dienste in myqnapcloud auf dem NAS abgewählt. Die automatische Router-Konfiguration habe ich auf Standard gelassen (Nas Web, Webserver + sichere Varianten).


    Jetzt ist es so, dass die NAS zwar von Extern über den Freigabelink erreichbar ist. Jedoch kann jeder, der den Link auf NAS.myqnapcloud.com reduziert, versuchen sich in meine NAS einzuloggen. Das möchte ich nicht, um möglichst wenig Angriffsfläche zu bieten. Der Login auf die NAS kann ja weiterhin aus dem lokalen Netz, sowie über VPN erfolgen (aber nicht über eine öffentliche IP).


    Gibt es eine Möglichkeit dies zu trennen?



    Vielen Dank,


    Black

  • Mod: Zitat ohne Quellenangabe gelöscht.

    alle deaktivieren, schon gehts nur noch von intern und VPN...


    Für was denkst du denn sonst, dass die da sind?


    Webservermusst du wissen, ob du was hostest und das wirklicv über den integrierten machen willst. Ich würde ja nen Apache im Container laufen lassen...


    Wenns nur um paar Dateien geht, die alte Leier: nimm lieber Dropbox...


    Bei größeren Mengen würde ich eher Nextcloud oder einen Resilio Link nehmen.


    Wenn du wirklich die Filestation benutzen willst, reicht es Port 443 weiter zu leiten...

  • Wenn SMB von außen erreichbar ist, solltest du nich was beachten.

    Minimale SMB Version auf 2 besser 2.1 stellen, damit kann dann zwar kein XP mehr zugreifen aber das ist eh seit jahren tot.


    Dann solltest du aber den guest User mit zwei ## in der smbpw auskommentieren.

    Dazu mit ssh aufs NAS und dann unter vi bearbeiten:

    vi /etc/config/smbpasswd


    Am besten mal die Befehle des vi-Editors anschauen.


    Ist der User auskommentiert, ist der SMB Dienst gehärtet.

  • Vielen Dank schon mal für Eure Antworten!

    Ich kann damit den Webserver, welcher auf dem NAS läuft nach Außen hin komplett freigeben bzw. sperren (Port 80 bzw. 443).

    Mod: Zitat ohne Quellenangabe gelöscht.

    Ich möchte aber nur den Zugriff auf die Freigabelinks von Extern gewähren, ohne irgendwas anderes, wie z.B. den Login auf das NAS.

    Mod: Zitat ohne Quellenangabe gelöscht.

    Aber deiner Antwort nach schätze ich, dass mein Vorhaben nicht gehen wird. Von Dropbox wollte ich eigentlich weg, da es zusätzliche Schritte sind, vor Allem bei einem Dateiupload von extern. Der Freigabelink ist einfach zu Handhaben...


    Hatte auch schon Ideen, wie FTP-Server bzw. automatische Dropbox Synchronisierung. Jedoch beides auch nicht so einfach in der Handhabung (gegenüber den externen Usern).

    Mod: Zitat ohne Quellenangabe gelöscht.

    Den SMB will ich nicht ins Internet öffnen.



    Vielen Dank,


    Black

  • wenn du nur 443 aufmachst ist die NAS config nicht erreichbar, weil Port 8080...

    Ups grade geschaut, stimmt gar nicht...


    Den könntest du dann noch auf irgendeine Zahl umbiegen, musst dann die Links anpassen.


    SMB von außen? Gruselig! Ne, lieber lassen....


    Und ich würde für von extern erreichbare NAS UPnP IMMER ausschalten und manuell freigeben.

  • Auch wenn ich den Port von NAS Web umbiege, so kommt man immer noch auf die Loginseite, wenn man die Grundadresse eingebe?


    Gibt es eine Möglichkeit den Port nur von der Linkfreigabe umzubiegen?

  • Bin da grad selber am recherchieren, aber du wirst an einem Reverse Proxy nicht herumkommen...

  • Falls du eine Lösung findest, wäre ich dankbar wenn du sie mit mir teilen würdest :)


    Ich kann mir schon vorstellen, wie du das mit dem Reverse Proxy meinst (mittels reverse Proxy den Zugriff von extern auf sämtliche interne Seiten sperren außer, die mit dem Freigabelink Syntax). Hmm... das wäre eine Idee - jedoch auch mit entsprechenden Aufwand verbunden, aber machbar.

    Interessant wäre hier, wie ich den Verkehr von Außen / von Innen unterscheide. Vermutlich indem ich bei der Portöffnung im Router die Ports (80, 443) umbiege auf andere, die der reverse Proxy statt den Standardports annimmt.


    Aber vielleicht gibts ja doch noch eine einfache Lösung?

  • naja, bei nem nginx kannst du z.B. sagen, dass er interne Sriten nur für deine interne IP Range zulässt...


    Wobei ich grade befürchte, dass das so nicht hinhaut, weil eim und die selbe Apache Instanz ist.


    Ich schau mir parallel gerade owncloud an, damit isses deutlich einfacher und eindeutiger...


    Ich sag Bescheid, wenn ich mehr weiß

  • Wobei ich grade befürchte, dass das so nicht hinhaut, weil eim und die selbe Apache Instanz ist.

    Ich hab von den nginx keine spezielle Ahnung. Aber Allgemein war daher, dass man den reverse Proxy auf eigene Ports laufen lässt, wie z.B. 8080 und den externen Verkehr vom Router durch dessen NAT von Port 80 (extern hereinkommend) auf Port 8080 umleitet. Der Proxy sieht die Anfrage auf Port 8080 und biegt die Kommunikation wieder auf Port 80 um, wenn die Seite erlaubt ist. Bei manchen Proxy Servern kann man ja Seiten sperren, vielleicht würde es klappen wenn man nur die Freigabelink-Seiten zulässt und alle anderen nicht.

    Von der internen Kommunikation bekommt der Nat nix mit, da dieser nur auf Port 8080 lauscht. Daher kann intern weiterhin wie gewohnt auf den NAS zugegriffen werden. Soweit meine Theorie.


    Internet (name.myqnapwieauchimmer.de/Freigabelink) => DDNS (xxx.xxx.xxx.xxx:80/Freigabelink) => Router NAT (192.168.0.xx:8080/Freigabelink) => Reverse Proxy (192.168.0.xx:80/Freigabelink) mit URL-Filterung => NAS Web (192.168.0.xx:80)


    Intern (192.168.0.xx:80) => Router => NAS Web (192.168.0.xx:80)


    Hmm. Wenn ich mir das so anschaue, könnte das sogar mit einem einfachen NAT-Dienst gehen, falls dieser zusätzlich URL-Filterung kann...

    2 Mal editiert, zuletzt von Black ()