Portfreigabe nur für bestimmte IP, Webserver durchschleifen?

M

Maxm123

Erfahrenes Mitglied
Hallo Leute,

ich schilder einfach mal mein Vorhaben und vielleicht kann mir jemand helfen.

Also ich habe hier ein NAS von QNAP stehen. Ganz feine Sache eigentlich. Das NAS hat einen eingebauten Webserver. Diesen möchte ich nun gerne auch aus dem Internet erreichen. Funktioniert auch super über die Portfreigabe meiner Fritzbox. Nun ist es ja so das jeder offene Port ein super Angriffspunkt für Hacker ist.

Nun habe ich mir folgendes überlegt: Da ich auch im Besitz eines vServer's bin möchte ich gerne die Anfragen an den Webserver des NAS's über den vServer schleifen. So das NUR der vServer über den freigegeben Port mit dem NAS kommuizieren kann. KEINE andere IP. So dass, ich halt z.B.: "qnap.meinedomain.de" aufrufe und mir auch weiterhin die URL angezeigt wird aber sich der Webserver meines vServers sich seine Informationen von dem Webserver vom NAS holt und übergibt.

Ist es möglich Ports nur für bestimmt IP's freizugeben oder mein Vorhaben auf einen anderem Weg zu realisieren? Funktioniert die Sache mit dem durchschleifen?
 
In der FritzBox ist meines aktuellen Wissenstands nach eine solche Funktion nicht implementiert,
eine praktikable lösung wäre eine einfach Autentifizierung über eine Parameter übergabe zuregeln.

Das würde bedeuten, dass zwar alle eine Verbindung zu deinem NAS Aufbauen können, sie den Inhalt aber nur bei entsprechender Autentifizierung einsehen können. Eine Möglichkeit die Autentifizerung zu implementieren wäre ein kleiner PHP-Script der Überprüft ob ein Bestimmter Wert übergeben wurde, ist der Wert vorhanden wird eine Session gesetzt, ohne die eine Anzeige der Daten nicht möglich ist.

Gerne kannst du mir Fragen die sich auf die Umsetung des Scripts beziehen gerne per PN stellen

Mit freundlichen Grüßen
Leon Bergmann
 
Hi

wenn das Programm dahinter keine Probleme hat
ist ein offener Port komplett egal.
Und das, was auf dem vServer ist, ist nicht sicherer als Programme,
die man auch am eigenen Computer haben kann.
Würde so eine Umleitung daher eher lassen.

IPs in Packeten können sowieso gefälscht werden.
Um zwei Rechner zu verbinden, eher in Richtung VPN/SSL schauen.
Nur, wie ausreichend die Möglichkeiten am Qnap bzw. Rechte am vServer sind...
 
@SkyDevMent: Danke für deine Hilfe, ich glaube das Skript bekomme ich hin wenn es zu deinem Lösungsvorschlag kommen sollte :)


Meine Bedenken sind ja nur, dass wenn ich den Port aufmache, mein gesamtes Heimnetzwerk gefährdet ist. Oder ist dann nur der Port des Gerätes den ich freigegeben habe gefährdet für Angriffe und keine anderen Geräte im Netzwerk?

@sheel: VPN habe ich auch schon überlegt aber da muss ich ja auch wieder Ports öffnen
 
Ohne offene Ports wirds in keinem Fall gehen.
Mindestens für den vServer müsste man beim Heimrechner was offenhalten.

Aber nochmal: Offene Ports sind nicht von Haus aus "böse".
Probleme gibts nur, wenn das verantwortliche Programm Probleme hat/macht.

Wie weit man ins Netzwerk eindringen kann hängt auch von der Menge/Art der Fehler
im Programm ab, und welche Rechte etc. das Programm im Betriebssystem hat,
und ob das Betriebssystem und/oder andere Programme eventuell auch Fehler haben...usw.

Solche Fehler sind der Grund für die ganzen Sicherheitsupdates jeder Software.
Sobald erkannt wird, dass es ein ausnutzbares Problem gibt, muss der Fehler berichtigt werden.
 
Oh das hört sich natürlich schon besser an :)

Also ansich steht ja hinter dem Port nur der Apache Server. Also ist jetzt nur die Frage wieviele Sicherheitslücken der Apache hat. Ich werde mich da mal informieren.

Ich danke vielmals für die Hilfe. Bin nun ein ganzes Stück weitergekommen :)
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück