Weiterleitung Port --> Ordner auf Server

[zorgo]

Hallo Leute,

vielleicht bin ich da auf dem Holzweg, aber gibt es eine Möglichkeit, mit der 7390 Folgendes zu bewerkstelligen:

Ich habe ein NAS hinter meinem Router, der auch eine Fotoalbum-Software mit Berechtigungen, etc. drauf hat, also direkt für den Einsatz für außen vorgesehen ist. Ich möchte jetzt einige Alben Leuten zugänglich machen.

Die Fritz!Box ist per DynDNS erreichbar (NO-IP free). Ich würde den NAS-Server nun gerne per Port-Nr., z.B. 15000 ext. --> 80 int. zugänglich machen. Allerdings würden dann die Leute auf den Server direkt und nicht auf das Fotoalbum kommen. Das Fotoalbum liegt unter <SERVER>/photo.

Ich möchte es so einrichten, dass die Leute von extern keinen Zugriff auf den Rest des Servers bekommen, sondern nur die DynDNS-Adresse mit der Port-Nummer sehen. Also ähnlich wie bei einem FTP-Server, bei dem ein User auf ein Unterverzeichnis beschränkt ist.

Ist es irgendwie möglich, dies zu bewerkstelligen?

Danke!

EDIT: Zusatzfrage: Kann ich irgendwie 2 DynDNS in der Fritz!Box eintragen?

 

[HabNeFritzbox]

In der FB kannst Myfritz + eigenen DynDNS Dienst eintragen, wenn zwei eigene möchtest, müsstest es über die Konfigdatei basteln, bringt dir aber eher nichts.

Der NAS klingt nach ner DS. Kannst wenn eher Ports beschränken nur, und auf Port 80 laufen nur Webseiten, DSM und so laufen auf Port 5000.

 

[koyaanisqatsi]

Abend

"Irgendwie"

Mein Stichwort!

It depends

....würde der Brite jetzt sagen.

Ohne Portfreigabe, pro Benutzer ein geschütztes (nur lese) Verzeichnis?
Ja.
...aber...
Dafür braucht es einen Webserver auf der Fritz!Box der das kann.

Zum Beispiel: busybox httpd

...möchten Sie mehr wissen?

 

[Black-Panther]

Das geplante vorhaben ist ohne Modifikation der FW nicht möglich.
Entweder wird auf der Box ein Weiterer Webserver Angelegt, mit dem dann "Virtual" Hosts angelegt werden könnten.

Mit den Virtual-Hosts kannst du dann für einen xbeliebigem Port innerhalb der jeweiligen Virtualhost auf einen anderen Ordner "Zeigen" lassen.

Die Bilder müssten dann entweder Sep. z.b. an einem USB Stick, oder einer Ext. Festplatte über den USB Anschluss der Fritzbox installiert werden.

Bei diesem Vorgang wird das "Interne" NAS nebst Freigaben "umgangen".
[Ich habe diese art von Konfiguration noch nicht durchgeführt, da ich es nicht benötige]

Allenfalls ist es doch aber so, das wenn man über den NAS nach "aussen" eine Freigabe legt, dann hat man doch i.d.r einen "einzigartigen" Link.
In etwa so:

https://<myfritz-host>.myfritz.net/nas/filelink.lua?id=xxxxxxxxxxxxxxxx

Natürlich mit den Werten, die die NAS Freigabe generiert.
Wenn man selbst z.b. zusätzlich neben der MyFritz noch einen Dynhost hat (ich z.b. dtdns) dann könnte der link auch so aussehen:

https://<dtdns-host>.dtdns.net/nas/filelink.lua?id=xxxxxxxxxxxxxxxx

Im Webbrowser wird der Link dann nochmals "umgewandelt" dann siehts so aus:

https://<myfritz-host>.myfritz.net/nas?sid=yyyyyyyyyyyyyyyy
https://<dtdns-host>.dtdns.net/nas?sid=yyyyyyyyyyyyyyyy

x = Freigabelink zum versenden z.b an Freunde. Der Link bleibt immer gleich.
y = umgewandelter Link, mit einer entsprechenden Session = y die bei jedem aufruf des x links neu generiert wird.

Wenn ich so dann auf dem Link unterwegs bin, in meinem fall habe ich eine Ordnerfreigabe gemacht, komme ich auch nur bis zu diesem Ordner.

Der Aufbau des WebIF ist dem Fritz!Nas nachempfunden, aber er erkennt das es nur die Freigabe auf Ordner "z" gibt.

Klicke ich auf den Button fritz.nas der Freigabe, komme ich nur nach Ordner "z".
Tiefer, oder an den ursprung kommt man nicht.

 

[zorgo]

Myfritz + eigenen DynDNS Dienst

Stimmt, hatte ich vergessen, danke!

Der NAS klingt nach ner DS.

Genau das ist es. Es ist eine DS 1513+.

Kannst wenn eher Ports beschränken nur, und auf Port 80 laufen nur Webseiten, DSM und so laufen auf Port 5000.

Ja, das war so an sich auch mein Gedanke, allerdings würden dann auch die Leute theoretisch (wenn sie den Link kürzen) auf die DS selbst kommen, also, wenn der interne Webserver aktiviert ist, oder? Ich möchte diese Bereiche am liebsten trennen.

Hab schon überlegt ob ich eine Subdomain auf einer de-Domain einrichte, welche ein PHP-Skript enthält, welches (verschiedene Möglichkeiten) URL Masking betreibt, aber ob das sooo dolle ist?

...möchten Sie mehr wissen?

Aber immer!

Anhand meiner Antwort-Ausführungen @HabNeFritzBox: Ist das bei deiner Lösung gemeint, halt aber nur auf der Fritz!Box selbst? Oder beziehst du dich auf den NAS-Server der Fritz!Box und entsprechende Erweiterung der Funktionalität?

Das geplante vorhaben ist ohne Modifikation der FW nicht möglich.

Hi, vielen Dank für die ausführliche Antwort! Ich glaube aber, dass ein Missverständnis vorliegt: Es geht nicht um das interne NAS der FB, sondern um einen NAS-Server im Netzwerk.

 

[koyaanisqatsi]

...um, wahrscheinlich, dem "Rausch der Langsamkeit" des NAS der Fritz!Box entgegenzuwirken?

 

[zorgo]

...um, wahrscheinlich, dem "Rausch der Langsamkeit" des NAS der Fritz!Box entgegenzuwirken?

Das... habe ich jetzt nicht verstanden. :-?

 

[koyaanisqatsi]

Eine in die Fritz!Box eingesteckte USB-Festplatte oder USB-Stick als NAS.
Ist im Gegensatz zu einem "echten NAS im LAN, superlangsam.
...und macht vergleichsweise dann auch keinen Spaß.

Hey, so oft wie du mich zitierst, da kann ich meine Beiträge ja wieder löschen.

 

[zorgo]

Eine in die Fritz!Box eingesteckte USB-Festplatte oder USB-Stick als NAS.
Ist im Gegensatz zu einem "echten NAS im LAN, superlangsam.
...und macht vergleichsweise dann auch keinen Spaß.

Genau, deshalb habe ich ja ein echtes NAS und das NAS in der Fritz!Box nicht aktiviert.

 

[HabNeFritzbox]

Ignoriere einfach mal die Antworten von Koy, sind alles aufwendige Bastellösungen auf der langsamen FB und nicht auf deiner DS.

Man kommt über Port 80 und 443 nur auf normalen Webseiten die in /web liegen. DSM und WebDAV laufen auf 5000, 5001, 5005, 5006 ect. Falls du Webstatistiken verwendest diese müsstest noch absichern, phpMyAdmin hat ne Sicherung drinnen.

Ich habe auch noch Firewall in der DS aktiv zusätzlich zur FB, und habe nur nur aller nötigsten Ports offen für alle, meisten nur verschlüsselt wie DSM, FTP ect, ohne sind Ports oder der Dienst entsprechend dicht. Für Netzwerk ist alles offen.

In Automatische Blockierung kannst auch noch sagen z.b. nach 5 falschen Loginversuchen innerhalb von 60 Minuten IP für 30 Tage sperren. In Firewall kannst auch noch DDOS Schutz aktivieren.

Soweit ich log gesehen habe auf der DS erfolgen meisten Angriffe eher über ftp und imap/pop3 (unverschlüsselt). Im Web Verzeichnis kannst auch eine Platzhalteseite hinterlegen mit ner htaccess für eigene Fehlerseiten.

Unter Webdienste kannst zusätzlichen Port angeben, aber Webseiten und Photostation bleiben wohl zusammen auf selben Port erreichbar. Müsstest wenn ggf. über SSH drauf und dann die httpd.conf oder so bearbeiten im Template.

 

[koyaanisqatsi]

Im Prinzip muss der busybox httpd nicht auf der Fritz!Box laufen.
Irgendein von Aussen erreichbarer httpd könnte das tun.
Aber HabNeFritzbox hat mal wieder Recht.
Dazu müsste man doch tatsächlich mit einen Texteditor eine Konfigurationsdatei erstellen.

 

[HabNeFritzbox]

Er möchte seine DS verwenden als NAS, nicht die FB. Und es werden nicht gerade wenig Daten geladen/verarbeitet, da würde ich von irgendwelche Pseudo-Proxys absehen über extra Webserver oder PHP Scripte.

Einfach Port 80 und 443 Freigeben und gut ist, ohne ganze noch extra zu verbiegen.

 

[zorgo]

Ich danke allen für die Beiträge / Lösungsvorschläge!

Ich schaue mir das alles noch mal in Ruhe nächstes Wochenende an und werde noch ein wenig recherchieren, aber ich denke mal, dass ich mit der Port 80 und 443-Version gut leben kann.

Vielen Dank aber explizit an alle!

 

[Black-Panther]

Ich habe den Beitag dest "Start" Threads zu #1 nochmal genauer durchgelesen.

Und habe dabei "NAS hinter" leicht überlesen..

Bitte vielmals um entschuldigung.

Wenn der NAS in der lage ist, mittels "Virtualhost" zu Arbeiten, dann ist es möglich das du für jeden Ordner per Portangabe auf eben nur jenes
"Document Root" Verzeichnis kommst, was du in der "Virtualhost" angelegt hast.

Bsp:

/hddx/ordner/ordner1 für Port 15000

würde dann bei dem aufruf von "http(s)://<ServerIP/DynHost>:15000/" aufrufen. Hier landet man über das Web direkt in das Verzeichnis wir in der Virtualhosts angegeben.

Du musst an der Fritzbox den Port 15000-15000 Freigeben, und ihn an deinem "Webserver" an Port 15000 durchleiten.

Für jeden weiteren ordner, den du jetzt so anlegen willst, musst du den Port z.b. um +1 erweitern.

Wenn du einen DynHost hast, der "Wildcard" (*) fähig ist, könntest du das auch mit Subdomains lösen z.b
"http(s)://bilder.<Dynhost-Domain>.dynhost-anbieter.tld/" lösen.

Dann viele der Port krams weg, und du könntest alles über den Standard Port "80/443" laufen lassen.

Wenn jetzt z.b. anhand der Subdomain der Ordner bestimmt wurde (Er muss mit der Virtualhost übereinstimmen) kommst du jetzt
in das von dir erstellte Verzeichnis.

Wenn der Virtualhost eintrag gelöscht wird [Neustart des Webservers erforderlich] dann ist der Zugriff über die Subdomain jetzt nicht mehr möglich.

Damit du zu Kontrollzwecken in deinem LAN eine Privatisierte Virtualhost anlegen (nur 1x nötig) und sicherst ihn so ab, das nur du vom LAN aus drauf zugreifen kannst
und legst innerhalb dieses Virtualhostes "Aliases" an.

Vorrausgesetzt du hast einen eigenen DNS Server im LAN ansonsten müsstest du für deine Clients in der Hostsdatei einen Verweis mit
IP Hostname-des-pvt-Virtualhost # Kontrolle für NAS pvt Alias.

Die # ist dafür da, um einen Kommentar eintrag zu hinterlege, damit du für später weisst, warum du den eintrag gesetzt hast [die # ist eine Freiwillige angabe, man muss es so nicht machen, ausser man hat viele einträge, dann wäre es wünschenswert dies zu hinterlegen, damt man weiss wozu der eintrag ist]
Von deinem Privatvirtualhost kannst du dann mittels der angelegten Aliases auf die der subdomain hinterlegten Verzeichnisse zugreifen.

Schaue dazu aber bitte, ob dein NAS System in der lage ist "Virtualhosts" zu erstellen.
Zu meist geht das nur wenn man das NAS System eine bestimmte Firmware verpassen muss, weil es von nöten ist
das du auf dem NAS "root" rechte benötigen wirst.

Das kann nicht jedes NAS daher suche ggf. im Netz nach deiner NAS Typenbezeichnung mit dem Stihwort (Zusatz) "Virtualhost".

Wenn das dein NAS nicht hergibt, kann man diese Anleitung bzw. Hilfshinweis nicht umsetzen.

 

[zorgo]

Schaue dazu aber bitte, ob dein NAS System in der lage ist "Virtualhosts" zu erstellen.
Das kann nicht jedes NAS daher suche ggf. im Netz nach deiner NAS Typenbezeichnung mit dem Stihwort (Zusatz) "Virtualhost".

Hm... im Datenblatt der 1513+ (Synology) wird beim Thema "eingebauter Webserver" das hier genannt:

Web Station - Virtual Host (up to 30 websites), PHP/MySQL, 3rd-Party Applications Support

Allerdings ist die Photo Station unter einem anderen Punkt aufgelistet. Wenn ich allerdings per SSH auf dem NAS bin und "ps | grep httpd" ausführe, dann findet er den apache httpd (mehrfach). Der muss ja wahrscheinlich wegen dem Wartungsinterface (DSM) und u.U. auch wegen der PhotoStation (webbasiert) laufen. Dann müsste das ja eigentlich sowieso einrichtbar sein, auch wenn ich das Webserver-Modul im DSM nicht aktiviere, sondern nur den Apache entsprechend konfiguriere? Ich nehme an, dass du die Apache-Konfig gemeint hast?

Zu

Vorrausgesetzt du hast einen eigenen DNS Server im LAN ansonsten müsstest du für deine Clients in der Hostsdatei einen Verweis mit
IP Hostname-des-pvt-Virtualhost # Kontrolle für NAS pvt Alias.

:
Mein DNS wird von meiner Fritz!Box gemacht. Meintest du einen separaten DNS, in den ich was eintragen muss?

Danke für die Hilfe!

 

[HabNeFritzbox]

Der DNS ist egal, der löst nur den Hostnamen in eine IP auf, da brauchst du nichts ändern, zumal die Anfragen eh von extern kommen.

Hatte in #10 schon geschrieben, müsstest wenn via SSH die Apache Konfig ändern. Ändert im Angriffsfall eher nichts, da es vom selben Dienst abgewickelt wird.

In der DSM kannst du für den HTTP Dienste noch zusätzlichen Port anlegen, damit könntest so zumindest vom Standardport abweichen wenn es möchtest.

 

[zorgo]

Der DNS ist egal, der löst nur den Hostnamen in eine IP auf, da brauchst du nichts ändern, zumal die Anfragen eh von extern kommen.

Ja, soweit bisher auch mein Kenntnisstand, daher war ich verwundert und habe mich gefragt was Black-Panther meinte. Betrachte ich dann erstmal als erledigt.

Hatte in #10 schon geschrieben, müsstest wenn via SSH die Apache Konfig ändern. Ändert im Angriffsfall eher nichts, da es vom selben Dienst abgewickelt wird.

Ah, ok, ja dann wäre das was. Es geht mir eher nicht um einen Angriff von außen. Eher darum, anderen Leuten ne Domain wie foddos.meinedomain.de angeben zu können und sie kommen nur auf den Foto-Webdienst des NAS. Ein bisschen Richtung Obfuscation / Masquerading.

Ich guck mir das alles nächstes Wochenende mal näher an...

Danke nochmal!

 

[HabNeFritzbox]

Wenn die nur Domain angeben sollen, dann ist Standard Port 80 zu verwenden, sonst muss extra Port angegeben werden also z.B. foddos.meinedomain.de:55555.

Wie gesagt, kommst mit 80 und 443 mit Standard Vorgaben eh nur auf die Photostaion und Inhalte aus dem web Ordner auf Volume 1.

Mit nur den beiden Ports kannst du auch keine DS Apps verwenden auf dem Smartphone, da die zwingend noch WebDAV brauchen was auf anderen Port läuft.