FTP op poort 21 en instellingen firewall

[postvak]

Ben er niet zo heel goed in thuis, maar ik wil vanaf mijn bedrijf gegevens naar de DS213+ kopiëren via FTP. Is het dan goed om voor poort 21 te kiezen of beter een andere ? En welke dan ?

En ik wil alleen maar dat 1 specifiek IP adres (van de zaak) toegang heeft, hoe stel ik dat in ? Mijn Airport Extreme ondersteund geen directe portforwarding, dus moet het via de synology instellen.

Alvast bedankt voor de hulp !

[Briolet]

Mijn Airport Extreme ondersteund geen directe portforwarding, dus moet het via de synology instellen.

Volgens mij ondersteunt elke zichzelf respecteren router portforwarding. Zeker de Airport. Die is zelfs heel flexibel. Je kunt b.v. in één instructie  zowel losse als een reeks poorten forwarden: b.v. "21, 55536-55539"

Lees anders de online handleiding van de airport die je via het help-menu bereikt.

één specifiek adres kun je in de airport niet instellen, dat zul je via de nas firewall moeten doen.

[postvak]

OK. En poort 21 is goed, of is het veiliger/beter om een andere poort te nemen ? Zo ja, welke ?
Ik kan wel wat hulp gebruiken want weet niet goed welke stappen.

En hoe zet ik dan in de nas firewall hem goed op 1 ip ?

Alvast bedankt

[Babylonia]

OK. En poort 21 is goed, of is het veiliger/beter om een andere poort te nemen ? Zo ja, welke ?

Beter een beveiligde verbinding. Normaal is dat poort 22, maar of dat nu zo'n goed idee is betwijfel ik.
Zie o.a. de volgende reacties   < HIER >   +   < HIER >   en   < HIER >

Misschien is een beveiligde verbinding met WebDAV een oplossing?
Die gebruikt dan poort 5006. De service en bijbehorende poort staat bij de door mij gebruikte NAS open, maar inlogpogingen zoals in die andere draad beschreven lijken die poort niet aan te doen.

< NetDrive > installeren en de NAS zoals gezegd verbinden via WebDav, dan kun je onder Windows met de verkenner de mappen van de NAS op dezelfde wijze benaderen als de drives op de eigen PC.

[Briolet]

Poort 21 wordt vaak gescaned zodat je vaak logmessages over geblokkeerde verbindingen krijgt als je FTP aanzet. Persoonlijk heb ik liever WebDAV, ook al omdat dat native door de mac ondersteund wordt.

Het instellen van 1 IP in de firewall spreekt voor zichzelf als je de dialoog invult. En anders klick je op het ? symbool.

[postvak]

Poort 21 wordt vaak gescaned zodat je vaak logmessages over geblokkeerde verbindingen krijgt als je FTP aanzet. Persoonlijk heb ik liever WebDAV, ook al omdat dat native door de mac ondersteund wordt.

Het instellen van 1 IP in de firewall spreekt voor zichzelf als je de dialoog invult. En anders klick je op het ? symbool.

OK, dus beter geen poort 21. Welke poort zou ik dan beter kunnen gebruiken ?

En los daarvan ga ik ook nog WebDav proberen (geen idee hoe dat werkt). En dan ik vanaf een Windows PC op de zaak veilig de gegevens via FTP backuppen en dan via WebDAV ? Volgens mij gebruiken we BackupforAll en die ondersteund alleen FTP ?

[Babylonia]

Om poortnummers voor FTP te veranderen zie de help-file van DSM onder FTP / FTPS

"Opmerking:
het standaardpoortnummer voor FTP-besturingskanaal is 21. U kunt dit instellen tussen 1 en 65535, met uitzondering van de volgende nummers: 20, 22, 23, 25, 80, 110, 137, 138, 139, 143, 199, 443, 445, 515, 543, 548, 587, 873, 993, 995, 3306, 3689, 5000, 5001, 5005, 5006, 5335, 5432, 6881, 8080, 7000, 7001, 8081, 9997, 9998, 9999, 50001, 50002 en eMule standaardpoorten: 4662 (TCP), 4672(UDP)."

[Briolet]

OK, dus beter geen poort 21. Welke poort zou ik dan beter kunnen gebruiken ?

Als je in de nas-firewall instelt dat poort 21 maar vanaf één enkel IP toegankelijk is, dan kun je hem rustig openen. Andere gebruikers zien dan niet dat er een FTP server draait.

De nas is op dit punt echter niet erg vriendelijk. Als je niet oppast en het verkeerde dialoog met OK bevestigd, opent hij daarnaast ongemerkt ook de poort 21 voor iedereen. Ik krijg zelf ook vaak waarschuwingen van de nas dat voor een bepaalde dienst de poorten niet open staan, met een dialoog om ze alsnog open te zetten, terwijl ik ze wel voor de gewenste groep IP adressen open heb staan. Inmiddels ben ik deze onzin waarschuwingen zat en heb ik die waarschuwing uit gezet.

[Goner]

Ik krijg zelf ook vaak waarschuwingen van de nas dat voor een bepaalde dienst de poorten niet open staan, met een dialoog om ze alsnog open te zetten,

Ja, is dat nieuw in DSM 5 ??
Elke keer als je een applicatie installeert/update dan vraagt-ie of de poorten gelijk even open moeten ... nou liever niet nee.

[postvak]

OK, dus beter geen poort 21. Welke poort zou ik dan beter kunnen gebruiken ?

Als je in de nas-firewall instelt dat poort 21 maar vanaf één enkel IP toegankelijk is, dan kun je hem rustig openen. Andere gebruikers zien dan niet dat er een FTP server draait.

De nas is op dit punt echter niet erg vriendelijk. Als je niet oppast en het verkeerde dialoog met OK bevestigd, opent hij daarnaast ongemerkt ook de poort 21 voor iedereen. Ik krijg zelf ook vaak waarschuwingen van de nas dat voor een bepaalde dienst de poorten niet open staan, met een dialoog om ze alsnog open te zetten, terwijl ik ze wel voor de gewenste groep IP adressen open heb staan. Inmiddels ben ik deze onzin waarschuwingen zat en heb ik die waarschuwing uit gezet.

tot zover ingesteld, ftp-bestandserver aangevinkt, met bron-ip die van 1 specifiek ip.
Maar op de hoofdpagina staat dan weer dit : Indien niet wordt voldaan aan de regels : Toegang toestaan   Toegang weigeren.

Dit staat standaard op toegang toestaan.
Dit vind ik verwarrend, wat is nu precies de bedoeling ? Want als ik op Toegang weigeren klik (heb ik al een keer gedaan) wordt me de gehele toegang geweigerd, kom ik ook niet meer in DSM....

[Briolet]

De firewall regels worden van boven naar beneden gecheckt totdat er een hit is. (Blokkeren of juist toestaan).  Je moet daarom beginnen met het instellen van een regel waar je zelf toegang geeft.

Dat kun je doen door poort 5000 & 5001 voor alle  IP adressen te openen. Als je niets in de router forward, blijft dat beperkt tot je eigen netwerk.

Je kunt ook expliciet alleen je eigen netwerk geheel open zetten door alle poorten open te zetten voor de IP-range van je thuisnetwerk.

Hierna kun je instellen dat als geen van de regels van toepassing is, de toegang geweigerd wordt.

[postvak]

Dan ga ik dat proberen. Moet ik nog om andere poorten denken ? Zoals van welke poorten maakt mijn Mede8er mediaplayer gebruik ? Of de Mediaserver ? Moet ik die ook explictiet erbij zetten ?

[Briolet]

Als je nog andere apparaten hebt, moet je die ook expliciet toegang geven. Dat is natuurlijk het nadeel van het aanzetten van de firewall. Als je het doet, moet het ook in een keer voor alles.

Je kunt het jezelf echter makkelijker maken door een regel te maken waarin je je thuisnetwerk uitsluit van de firewall.

Maak een regel waar je alle poorten toestaat maar geef dan als bron-IP je netwerk range op. Als jouw PC b.v. het IP 192.168.178.x heeft dan is je netwerk range 192.168.178.1 tot 192.168.178.255. Dan is de firewall vanuit je thuis apparaten niet meer werkzaam.

Beter is het natuurlijk om niet alle, maar expliciete poorten open te zetten. Open dan de poort-selectie optie bij de firewall regels en vink alle functies aan die je gebruikt. Doorgaans spreekt alles voor zich.

De ultieme instelling is natuurlijk om elk apparaat een vast IP te geven (b.v. via dhcp) en dan heel specifieke regels per apparaat te maken. Heb ik hier ook gedaan, maar dat is wel veel werk. Ik wil b.v. dat gasten die met hun mobiele telefoon op mijn netwerk zitten, niet hetzelfde kunnen als mijn eigen apparaten. Ik weet nml. niet of hun telefoons niet besmet zijn met malware. En ik heb een tablet met een oude android versie die ik niet meer kan upgraden. Dat tablet heeft ook expliciet minimale rechten op de nas.

[damonnk]

Ik wil je nog een andere mogelijkheid geven dan FTP.
Gebruik SSH zodat je kan SCP'en of rsync over SSH.
Voor windows heb je bijvoorbeeld winscp om over ssh files te kopiëren en als je linux gebruikt kan je het met het scp command doen.

[postvak]

Als je nog andere apparaten hebt, moet je die ook expliciet toegang geven. Dat is natuurlijk het nadeel van het aanzetten van de firewall. Als je het doet, moet het ook in een keer voor alles.

Je kunt het jezelf echter makkelijker maken door een regel te maken waarin je je thuisnetwerk uitsluit van de firewall.

Maak een regel waar je alle poorten toestaat maar geef dan als bron-IP je netwerk range op. Als jouw PC b.v. het IP 192.168.178.x heeft dan is je netwerk range 192.168.178.1 tot 192.168.178.255. Dan is de firewall vanuit je thuis apparaten niet meer werkzaam.

Beter is het natuurlijk om niet alle, maar expliciete poorten open te zetten. Open dan de poort-selectie optie bij de firewall regels en vink alle functies aan die je gebruikt. Doorgaans spreekt alles voor zich.

Dit is de oplossing. Super bedankt voor je hulp !