NFS-regel bij gedeelde mappen

[Jan-Willem]

Goedemorgen,

Ik krijg van de security advisor de opmerking dat ik geen jokertekens mag gebruiken bij de hostnaam of IP.
Wat moet ik daar dan invullen? Wat bedoelt men met hostnaam?


Binnen het gezin zijn er drie die toegang hebben tot die gedeelde map.
Ik wil het natuurlijk zo veilig mogelijk doen. Screenshot is bijgesloten.

Alvast bedankt
Jan Willem

[DSGebruiker]

Je kan ipv "*" ook gewoon je interne IP-range ingeven, vb 192.168.0.0/24 of 192.168.1.0/24 ofzo.
Voor de rest niet veel van wakker liggen, een "*" of de bovengenoemde /24 regel doet hetzelfde.

Indien je 3 toestellen VASTE IP's hebben kan je die natuurlijk ook specifiek ingeven. Vb 192.168.1.22/32 (/32 wil zeggen, "deze host alleen")

Apart dat jullie NFS gebruiken binnen een gezinscontext.
Welke "client" systemen zijn het dan ? Linux machines ?

NFS is tyisch ook gebruikt indien je vb een Media Player hebt die aan films moet kunnen oid. Maar een tablet,iphone, Win10 PC zie ik niet zo snel NFS gebruiken "standaard"

[Jan-Willem]

Dank je wel.

Dat is duidelijk dan.

Er wordt inderdaad gebruik gemaakt van een mediaplayer.
Bij mijn beste weten moest ik nfs gebruiken zodat deze toegang kreeg.

[Birdy]

Bij mijn beste weten moest ik nfs gebruiken zodat deze toegang kreeg.

Klopt, wijzig * dus in het IP-adres van Mediaplayer (Host).

[Briolet]

Wel een beetje tegenstrijdig dat je het advies krijgt geen jokertekens te gebruiken, maar dit wel mogelijk is en zelfs in voorbeelden gebruikt wordt.

Geef het apparaat (de mediaplayer in dit geval) een vast ip en geef dat op in de nas.

[Babylonia]

Wel een beetje tegenstrijdig dat je het advies krijgt geen jokertekens te gebruiken, maar dit wel mogelijk is en zelfs in voorbeelden gebruikt wordt.

Ligt aan de context of het tegenstrijdig is, als je dat jokerteken maar op de juiste wijze inzet.
Met alleen slechts dat jokerteken ingevuld en verder niets, zet je feitelijk NFS open voor alle IP-adressen, ook alle externe IP-adressen.

Als voorbeeld wordt gegeven:        *,*.synology.com

Er wordt nog wel verwacht zelf daarin ook nog wel iets daarbij te kunnen bedenken, met wat je dan invult.   

[Briolet]

Ben ik het niet mee eens. De meeste mensen zijn al lang blij dat ze het werkend krijgen met alleen een '*'. Synology laat dit toe omdat ze dan ook af zijn van allerlei klachten dan men het niet werkend krijgt.

Dit is dus een typisch voorbeeld van het inruilen van security tegen gebruiksgemak. Op zich niets mis mee als je niet pretendeert een veilig product te leveren. Synology wil echter dat hun product als iets veiligs gezien wordt. Dan moet je dit ook afdwingen en niet dit '*' teken als invul-voorbeeld geven. Desnoods 'verstop' je deze optie met jokertekens in de handleiding, als je toch jokertekens wilt toestaan.

[DSGebruiker]

>Met alleen slechts dat jokerteken ingevuld en verder niets, zet je feitelijk NFS open voor alle IP-adressen, ook alle externe >IP-adressen.

In theorie, maar natuurlijk kan je niet zomaar over Internet een NFS volume gaan mounten. Alle consumenten installaties met IPv4 gaan dat dus alvast niet toelaten tenzij je manueel bepaalde port-mappings gaat opzetten.
Binnen je eigen "huis" netwerkje is er geen enkel probleem een "** of heel je LAN-range 192.168.1.0/24 (of wat je ook gebruikt) in te geven.

Je kan nog gaan filosoferen dat indien je een "besmette" host op je LAN heeft die zou dan volumes kunnen gaan mounten etc,etc. Mah bon, ik denk dat die meer met CIFS/SMB-shares zal voorvallen...

[Briolet]

Je vergeet dat er hele hordes zijn die hun nas in de DMZ van de router zetten omdat dit zo gemakkelijk is en de nas heeft toch wel een firewall. (Die hier dan juist niets doet).

Verder laten veel mensen de router forwarden via de UPnP functie van DSM. Synology heeft dan de gewoonte om alle services die je aanzet ook direct in de router te forwaren naar de nas. (In elk geval gebeurde dat een paar jaar geleden nog steeds)

[Ferret]

Ok, dit wordt voor mij heel technisch maar ik haak even in. Ik heb twee mediaplayers met Kodi die ik wil gaan gebruiken om content af te spelen. Als ik het goed begrijp moet ik dus op de map waar de content in staat een NFS regel toekennen met 192.168.2.0/24

Mijn ip-range loopt van 192.168.2.0 t/m 192.168.2.255.

Wat is dat Squash eigenlijk in de regel? Wel duidelijk denk ik...

[DSGebruiker]

Is inderdaad prima en gaat werken.

[Ferret]

  Thanks!