safonov_ivan

Избавиться от использования внешних портов

Recommended Posts

Всем привет!

Возможно уже подобное решалось, но что-то туплю с поиском, найти не могу, сильно не пинайте.

 

Помогите решить.

 

1. у меня есть ddns, name1.name2.com, на роутере он связан

2. на роутере проброшены порты:

         - до портов 5000, 5001, пример 1234->5000 IP1, 5678->5001 IP1- видео\аудио\файловая станции и для самой морды dsm

         - до портов 80, 443, пример 443->443 IP1, 80->80 IP1 - web\фото станции

3. в dsm для видео\аудио\файловой станция прописаны псевдонимы video\audio\file, для фотостанции, как я понял, этого не настроить, использую умолчательный псевдоним photo

4. в dsm в настройках web станции добавлен виртуальный хост, где имя хоста=name1.name2.com (от ddns), порты 80/443

5. получен сертификат с let's encrypt для dsm

 

Получаю следующее:

 - в локалке могу попасть на фото\видео\аудио\файловая станции как http(s)://IP1/photo (video\audio\file)

 - из внешней сети могу попасть на фото\видео\аудио\файловая станции как http(s)://IP_WAN/photo (video\audio\file)

 - из внешней сети через ddns могу попасть на фото\видео\аудио\файловая станции как http(s)://name1.name2.com:порт/photo (video\audio\file)

 

Как избавиться от ввода порт при подключении через ddns? Т.е. хотелось бы следующего http(s)://name1.name2.com/photo (video\audio\file)

Сейчас получаю

1487851790_2020-01-2810_13_48-MozillaFirefox.png.addded04e9a7d93bcb1c286368591746.png

Edited by safonov_ivan

Share this post


Link to post
Share on other sites

Где-то видать намудрили с переадресацией портов, я открываю те что по умолчанию. доступ из вне есть как и  по audio.xxxx.xx так и xxx.xx/audio

 

 

 

 

Скрытый текст

2.thumb.JPG.2837485bd22d3544c5b61cf296966da4.JPG3.thumb.JPG.27dd59a0ee4bc538e5595642bdf1ec23.JPG4.thumb.JPG.ad78e3abf0f2aa356fd0b2eefa4efa16.JPG5.thumb.JPG.256b9e64b8eb37ccbfbad231900f5ad6.JPG

 

Share this post


Link to post
Share on other sites
3 часа назад, safonov_ivan сказал:

Как избавиться от ввода порт при подключении через ddns?

Например так:

Внешний 443 прокидываете на внутренний 5001

И ставите галку

Скрытый текст

82353281_.thumb.png.864e82face4cf5d82bf5dd6c06135451.png

тогда весь трафик пойдет по https.

А на 80 порту остались web и фото

Edited by Olegin

Share this post


Link to post
Share on other sites
13 минуты назад, Olegin сказал:

Например так:

Внешний 443 прокидываете на внутренний 5001

И ставите галку

  тут (Показать содержимое)

82353281_.thumb.png.864e82face4cf5d82bf5dd6c06135451.png

тогда весь трафик пойдет по https.

А на 80 порту остались web и фото

Cпособ "Внешний 443 прокидываете на внутренний 5001" заработал для аудио, видео, файлов, спасибо!

 

Теперь бы заставить работать фотостанцию без порта авторизоваться

Share this post


Link to post
Share on other sites

Походу как-то криво прописали в роутере переадресацию 80 порта, либj на несколько IP в домашней сети.

Share this post


Link to post
Share on other sites
1 час назад, Olegin сказал:

Походу как-то криво прописали в роутере переадресацию 80 порта, либj на несколько IP в домашней сети.

Победил, это скотороутер archer c6 с включенным SPI меня отпинывал. Всем спасибо!

 

Сейчас на роутере настроил проброс 80 идет на 80 NAS, 443 идет на 443 NAS, на сколько это плохо?

Share this post


Link to post
Share on other sites
1 час назад, Olegin сказал:

А для чего 443 на NAS прокидываете?

Получил сертификат, ходить на фото/видео/аудио/файловую станции через https без запросов, что сертификат нельзя проверить

Share this post


Link to post
Share on other sites

Добавьте NAS в зону dmz роутера, только пересмотрите все порты на хранилке, не нужные лучше отключить, SSH и телнет обязательно выключить.

Share this post


Link to post
Share on other sites
2 часа назад, sel сказал:

Добавьте NAS в зону dmz роутера, только пересмотрите все порты на хранилке, не нужные лучше отключить, SSH и телнет обязательно выключить.

ssh у меня на не стандартном порту, telnet выключен, стандартные учётки выключены, стоит опция банить ip при 3 ошибках в течение 5 минут. 

Порты смотреть в Информационный центр\Службы?

И после можно вырубить проброс на роутере? 

Share this post


Link to post
Share on other sites
1 час назад, safonov_ivan сказал:

ssh у меня на не стандартном порту, telnet выключен, стандартные учётки выключены, стоит опция банить ip при 3 ошибках в течение 5 минут. 

Порты смотреть в Информационный центр\Службы?

И после можно вырубить проброс на роутере? 

Проброс можно выключить так как обращение будет на прямую, но защиту портов роутером потеряете, ее будет делать встроенный брандмауэр сино.

SSH лучше включать при необходимости, так как сканер портов по ip никто не отменял(не думаю что у вас стоит защита от сканирования).

Порты смотреть и настраивать в Панель управления- Безопасность - Брандмауэр(Должен быть включен), а ревизию портов в правилах бранмауэра

Edited by sel

Share this post


Link to post
Share on other sites
8 часов назад, sel сказал:

Проброс можно выключить так как обращение будет на прямую, но защиту портов роутером потеряете, ее будет делать встроенный брандмауэр сино.

SSH лучше включать при необходимости, так как сканер портов по ip никто не отменял(не думаю что у вас стоит защита от сканирования).

Порты смотреть и настраивать в Панель управления- Безопасность - Брандмауэр(Должен быть включен), а ревизию портов в правилах бранмауэра

Понял, спасибо за инфу!!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.