FTP intern/extern

[Remco dB]

Ik beschik sinds kort over een DS-106j met Disk station manager 2.0.

In de software is alles vrij eenvoudig in te stellen en al snel is het apparaat up and running. Het enige wat ik een beetje onduidelijk vind is de scheiding tussen het interne netwerk en de "buitenwereld". Dit zou wat duidelijker zichtbaar mogen worden in de software.

Mijn vraag: kan iemand mij vertellen of het mogelijk is om een map wel intern via ftp te kunnen benaderen, maar niet van buitenaf? (port forwarding uitschakelen is geen optie want ik wil wel andere mappen van buitenaf bereikbaar kunnen maken).

M.vr.gr.
Remco

[Björn]

Je kunt alleen per gebruiker of per groep aangeven welke mappen wel/niet zichtbaar zijn. Tussen intern en extern maakt de Synology geen onderscheid.

[Harvey1340]

Het is een erg oud topic, maar is onderstaande situatie tegenwoordig nog steeds hetzelfde? Dat wil zeggen dat met DSM 5.1 er geen onderscheid gemaakt wordt tussen interne en externe gebruikers?

[Babylonia]

Nee geen onderscheid.
Maar wil je dat de NAS niet van buitenaf benaderbaar is, is dat zo met andere instellingen te regelen.
Bijv. Firewallregels alleen toegang voor benadering via intern netwerk.
Als je poorten niet forward en in de router gesloten houdt, ook dan geen benadering van buiten uit.

[Harvey1340]

Bedankt voor je reactie.
Het zit zo dat een bepaalde gedeelde map niet voor externe users te openen mag zijn, ook al ben ik het zelf.
Daar staat gevoelige info op, zoals belastinggegevens, foto's van paspoorten etc.
Als dat alleen via zware wachtwoorden moet, zal ik dat zo instellen, maar ik heb dat liever geregeld via een algemene instelling.

[Harvey1340]

Nog even: de andere gedeelde mappen moeten uiteraard wel beschikbaar zijn voor externe gebruikers.

[Babylonia]

Met die laatste wens kun je intern en extern verkeer dan niet separeren met de gegevens van een Firewall e.d.
Want je wilt de NAS wel van buiten uit benaderbaar blijven hebben.
Komt het neer op een moeilijk te raden gebruikersnaam, en sterk wachtwoord.

Ter beveiliging heb je de default "admin" gebruikersnaam toch wel uitgeschakeld?
(En een eigen extra gebruikersnaam met admin rechten ingesteld).
De combinatie van gebruikersnaam + wachtwoord moeten raden is uiteraard moeilijker dan alleen aan de default naam "admin" of "root" enkel een wachtwoord te moeten koppelen. Verder zou je als beveiliging in ieder geval ook de blokkering van een IP moeten instellen na bijv. 5 vergeefse inlogpogingen.

Eventueel zou je nog een "twee stappen" verificatie kunnen koppelen aan het inloggen van de NAS.
http://mysynology.nl/two-step-verification-op-jouw-synology-nas/

Als wens om mappen separaat te kunnen instellen voor intern- of externe benadering zou je dit idee misschien wel kunnen inbrengen om bij een volgende update te implementeren.
Zou je een verzoek daartoe moeten aangeven bij Synology. Lijkt me een zinvolle aanvulling.

[Harvey1340]

Bedankt Babylonia,

Ja, de admin had is al direct uitgeschakeld. Verder las ik nog iets over het toekennen van een 'home'-map voor elke gebruiker. Dat kwam uit een oud topic, maar is wel de moeite waard om te onderzoeken of dit ook nog in de nieuwste firmware zit.

Verder heb je me lekker huiswerk opgegeven, dus zal ik me daar de komende dagen eens op storten.

Bedankt, Kees

[Babylonia]

Standaard heeft elke gebruiker een  "home"-map.
Als admin te bereiken onder de map "homes". Daar vind je mappen van elke gebruikersnaam wat als "home" geldt als je per gebruiker inlogt.

[Harvey1340]

Inmiddels heb ik de firewall regels scherper gezet, moeilijk te raden inlogs en wachtwoorden ingesteld. Dat moet het voorlopig dan maar even zijn. Ik ga de topics hierover maar eens goed nalezen.
Bedankt voor het meedenken.

Kees

[tymusz]

als optie kun je nog in de synology zelf een firewall rule aanmaken die alleen ftp verkeer vanaf een bepaald ip of subnet toelaat..

[Harvey1340]

Bedankt tymusz.
Die optie had ik inmiddels gevonden en die ben ik aan het tweaken. Dat is dan de oplossing die ik moet gebruiken.

Groeten, kees