Избавиться от использования внешних портов


Recommended Posts

Всем привет!

Возможно уже подобное решалось, но что-то туплю с поиском, найти не могу, сильно не пинайте.

 

Помогите решить.

 

1. у меня есть ddns, name1.name2.com, на роутере он связан

2. на роутере проброшены порты:

         - до портов 5000, 5001, пример 1234->5000 IP1, 5678->5001 IP1- видео\аудио\файловая станции и для самой морды dsm

         - до портов 80, 443, пример 443->443 IP1, 80->80 IP1 - web\фото станции

3. в dsm для видео\аудио\файловой станция прописаны псевдонимы video\audio\file, для фотостанции, как я понял, этого не настроить, использую умолчательный псевдоним photo

4. в dsm в настройках web станции добавлен виртуальный хост, где имя хоста=name1.name2.com (от ddns), порты 80/443

5. получен сертификат с let's encrypt для dsm

 

Получаю следующее:

 - в локалке могу попасть на фото\видео\аудио\файловая станции как http(s)://IP1/photo (video\audio\file)

 - из внешней сети могу попасть на фото\видео\аудио\файловая станции как http(s)://IP_WAN/photo (video\audio\file)

 - из внешней сети через ddns могу попасть на фото\видео\аудио\файловая станции как http(s)://name1.name2.com:порт/photo (video\audio\file)

 

Как избавиться от ввода порт при подключении через ddns? Т.е. хотелось бы следующего http(s)://name1.name2.com/photo (video\audio\file)

Сейчас получаю

1487851790_2020-01-2810_13_48-MozillaFirefox.png.addded04e9a7d93bcb1c286368591746.png

Edited by safonov_ivan
Link to post
Share on other sites

Где-то видать намудрили с переадресацией портов, я открываю те что по умолчанию. доступ из вне есть как и  по audio.xxxx.xx так и xxx.xx/audio

 

 

 

 

Скрытый текст

2.thumb.JPG.2837485bd22d3544c5b61cf296966da4.JPG3.thumb.JPG.27dd59a0ee4bc538e5595642bdf1ec23.JPG4.thumb.JPG.ad78e3abf0f2aa356fd0b2eefa4efa16.JPG5.thumb.JPG.256b9e64b8eb37ccbfbad231900f5ad6.JPG

 

Link to post
Share on other sites
3 часа назад, safonov_ivan сказал:

Как избавиться от ввода порт при подключении через ddns?

Например так:

Внешний 443 прокидываете на внутренний 5001

И ставите галку

Скрытый текст

82353281_.thumb.png.864e82face4cf5d82bf5dd6c06135451.png

тогда весь трафик пойдет по https.

А на 80 порту остались web и фото

Edited by Olegin
Link to post
Share on other sites
13 минуты назад, Olegin сказал:

Например так:

Внешний 443 прокидываете на внутренний 5001

И ставите галку

  тут (Показать содержимое)

82353281_.thumb.png.864e82face4cf5d82bf5dd6c06135451.png

тогда весь трафик пойдет по https.

А на 80 порту остались web и фото

Cпособ "Внешний 443 прокидываете на внутренний 5001" заработал для аудио, видео, файлов, спасибо!

 

Теперь бы заставить работать фотостанцию без порта авторизоваться

Link to post
Share on other sites
1 час назад, Olegin сказал:

Походу как-то криво прописали в роутере переадресацию 80 порта, либj на несколько IP в домашней сети.

Победил, это скотороутер archer c6 с включенным SPI меня отпинывал. Всем спасибо!

 

Сейчас на роутере настроил проброс 80 идет на 80 NAS, 443 идет на 443 NAS, на сколько это плохо?

Link to post
Share on other sites
1 час назад, Olegin сказал:

А для чего 443 на NAS прокидываете?

Получил сертификат, ходить на фото/видео/аудио/файловую станции через https без запросов, что сертификат нельзя проверить

Link to post
Share on other sites
  • 2 weeks later...

Добавьте NAS в зону dmz роутера, только пересмотрите все порты на хранилке, не нужные лучше отключить, SSH и телнет обязательно выключить.

Link to post
Share on other sites
2 часа назад, sel сказал:

Добавьте NAS в зону dmz роутера, только пересмотрите все порты на хранилке, не нужные лучше отключить, SSH и телнет обязательно выключить.

ssh у меня на не стандартном порту, telnet выключен, стандартные учётки выключены, стоит опция банить ip при 3 ошибках в течение 5 минут. 

Порты смотреть в Информационный центр\Службы?

И после можно вырубить проброс на роутере? 

Link to post
Share on other sites
1 час назад, safonov_ivan сказал:

ssh у меня на не стандартном порту, telnet выключен, стандартные учётки выключены, стоит опция банить ip при 3 ошибках в течение 5 минут. 

Порты смотреть в Информационный центр\Службы?

И после можно вырубить проброс на роутере? 

Проброс можно выключить так как обращение будет на прямую, но защиту портов роутером потеряете, ее будет делать встроенный брандмауэр сино.

SSH лучше включать при необходимости, так как сканер портов по ip никто не отменял(не думаю что у вас стоит защита от сканирования).

Порты смотреть и настраивать в Панель управления- Безопасность - Брандмауэр(Должен быть включен), а ревизию портов в правилах бранмауэра

Edited by sel
Link to post
Share on other sites
8 часов назад, sel сказал:

Проброс можно выключить так как обращение будет на прямую, но защиту портов роутером потеряете, ее будет делать встроенный брандмауэр сино.

SSH лучше включать при необходимости, так как сканер портов по ip никто не отменял(не думаю что у вас стоит защита от сканирования).

Порты смотреть и настраивать в Панель управления- Безопасность - Брандмауэр(Должен быть включен), а ревизию портов в правилах бранмауэра

Понял, спасибо за инфу!!

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.