...ja vielä portinohjaus esimerkki kuvitettuna, esimerkkinä D-Link DIR-655: Kun haluat päästä esim. selaimella sisäverkon laitteelle "Jukeboksi", jonka sisäverkon osoite on 192.168.0.192 kirjoita selaimen osoiteriville http://***.***.***.***:8081, jossa tuo ***.***.***.*** on se IP-numero, jonka ADSL-modeemisi saa palveluntarjoajan DHCP-palvelimelta (esim. 84.68.166.35) Se löytyy usein jonkilaiselta modeemin Status-sivulta tms. Tällöin modeemin palomuuri ohjaa ulkopuolisen http://84.68.166.35:8081 -> 192.168.0.192 ja liikenne toimii molempiin suuntiin, ellei sitä ole jostain syystä estetty. Toivottavasti näistä on apua. Vinkit: Osa 1. Osa 2. Osa 3.
Ei ole olemassa mitään laitetta (ainakaan omassa tiedossani), jota ei voisi hakkeroida verkkoliitynnän kautta sen jälkeen, kun SMB:hen liittyvät portit on avattu internetin suuntaan. Pätee niin Windowsiin kuin muihinkin alustoihin. Kokeilkaapa googleen "smb vulnerabilities". Hardsoftin sisäverkko-ohjeistus on ok. DMZ:n osalta selostus on vähintäänkin epäselvä. DMZ:n tarkoituksena on mahdollistaa ulkoisten palveluiden tarjoaminen, ilman että sisäverkko vaarantuu (google "dmz wiki"). Reitin/palomuuri suojaa myös DMZ:llä olevia palveluita ja yleensä porttiohjaukset tehdään juuri sinne, jos DMZ on vain käytettävissä. DMZ:n ja sisäverkon välillä ei ole mitään erityistä suhdetta vaan sisäverkon näkökulmasta DMZ on yhtä vaarallinen kuin internetkin. Porttien ohjaus sisäverkkoon tulee tehdä erittäin harkitusti, turvallisiksi tunnettuja protokollia käyttäen ja osaavin käsin. SMB, jota ilmeisesti ainakin joku yritti käyttää, EI OLE turvallinen protokolla. Pelottavaa on se, että QNAP:n omilla sivuillakin (http://www.qnap.com/pro_application.asp?ap_id=111) opastetaan avaamaan tusina kaiken maailman portteja ottamatta mitenkään kantaa homman turvallisuuteen :hitme: Toistan ÄLKÄÄ MISSÄÄN TAPAUKSESSA AVATKO PORTTEJA 137, 138, 139 TAI 445 internetin suuntaa.
No ei ole tullut niin perehdyttyä DMZ:aan kun ilmankin pärjää... DMZ Host DMZ means "Demilitarized Zone." If an application has trouble working from behind the router, you can expose one computer to the Internet and run the application on that computer. When a LAN host is configured as a DMZ host, it becomes the destination for all incoming packets that do not match some other incoming session or rule. If any other ingress rule is in place, that will be used instead of sending packets to the DMZ host; so, an active session, virtual server, active port trigger, or port forwarding rule will take priority over sending a packet to the DMZ host. (The DMZ policy resembles a default port forwarding rule that forwards every port that is not specifically sent anywhere else.) The router provides only limited firewall protection for the DMZ host. The router does not forward a TCP packet that does not match an active DMZ session, unless it is a connection establishment packet (SYN). Except for this limited protection, the DMZ host is effectively "outside the firewall". Anyone considering using a DMZ host should also consider running a firewall on that DMZ host system to provide additional protection. Packets received by the DMZ host have their IP addresses translated from the WAN-side IP address of the router to the LAN-side IP address of the DMZ host. However, port numbers are not translated; so applications on the DMZ host can depend on specific port numbers. The DMZ capability is just one of several means for allowing incoming requests that might appear unsolicited to the NAT. In general, the DMZ host should be used only if there are no other alternatives, because it is much more exposed to cyberattacks than any other system on the LAN. Thought should be given to using other configurations instead: a virtual server, a port forwarding rule, or a port trigger. Virtual servers open one port for incoming sessions bound for a specific application (and also allow port redirection and the use of ALGs ). Port forwarding is rather like a selective DMZ, where incoming traffic targeted at one or more ports is forwarded to a specific LAN host (thereby not exposing as many ports as a DMZ host). Port triggering is a special form of port forwarding, which is activated by outgoing traffic, and for which ports are only forwarded while the trigger is active. Few applications truly require the use of the DMZ host. Following are examples of when a DMZ host might be required: •A host needs to support several applications that might use overlapping ingress ports such that two port forwarding rules cannot be used because they would potentially be in conflict. •To handle incoming connections that use a protocol other than ICMP, TCP, UDP, and IGMP (also GRE and ESP, when these protocols are enabled by the PPTP and IPSec ALGs ).
:king: lähenee jo... mutta valitettavasti ei vieläkään ole oikea määritelmä DMZ:lle ("DMZ Host":lle kylläkin). Ilmeisesti Hardsoftin lainaama pätkä on jonkin laitteen käyttöohjeesta? "DMZ Host" on joidenkin reititin/palomuurien tarjoama erikoistoiminto, joka ei ole sama kuin DMZ. DMZ:lla tarkoitetaan oikeasti omaa verkkoa, joka on täysin irrallaan sisäverkosta (siis kolme verkkoaluetta: internet, dmz ja LAN). "DMZ Host":ssa on kaksi pahaa ongelmaa: 1. "DMZ Host"-konetta ei eroteta sisäverkosta, onhan itse "DMZ Host"-konekin sisäverkossa. Tällöin sisäverkkoon pääsee murtautumaan "DMZ Host"-koneen kautta. 2. "DMZ Host"-koneelle ohjataan kaikki erikseen määrittämätön sisäänpäin suuntautuva liikenne (mm. pahamaineinen SMB). Turvallinen käyttö vaatisi "DMZ Host"-koneeseen erittäin huolella suunnitellun sisäisen palomuurin tai erillisen palomuurilaitteen. En näe "DMZ Host":n käytölle mitään järkevää perustetta ja sen turvallinen käyttö on vielä vaikeampaa kuin em. SMB:n. Joten myös se menee listalla: ÄLKÄÄ KÄYTTÄKÖ kotona. Source: http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)
Terve, Oikea palaute oikeaan aiheeseen. Tattista. Kyllä se porttien kautta menee. Viitsitkö Henris valaista hieman tuohon "oikean" yhteyden luomiseen?
Omakohtaista kokemusta on vain VPN:stä mutta sen pystyttäminen haluamaasi käyttötarkoitukseen on liian hankalaa. Suosittelen SMB:n sijaan perehtymistä turvatun FTP:n käyttöä (SFTP): - http://en.wikipedia.org/wiki/SSH_file_transfer_protocol - http://en.wikipedia.org/wiki/OpenSSH - http://www.freesshd.com/ - http://www.crushftp.com/index.html Myös SMB:n pystyy ohjaamaan SSH-putkeen mutta homma ei ole ihan yksinkertaista. Oheisen linkin takana on yksi ohje, missä kerrotaan myös "sivuvaikutuksista": http://blog.namran.net/2007/05/16/smb-over-ssh/
Ihan unohtui, että kyseessä oli QNAP QNAP:ssa on ilmeisesti sisäänrakennettu SSH-tuki, jolloin homma ei vaadi muuta kuin SFTP:ä tukevan FTP-clientin ja SSH:n käyttämän portin forwardoinnin ADSL-purkissa (kannattaa käyttää jotain muuta kuin 22 vakioporttia, vähentää kolkuttelijoiden määrää). Googlatessa törmäsin myös SFTPDrive ohjelmaan (http://www.expandrive.com/sftpdrive), millä pystyy luomaan levymäppäykset Windows:ssa SFTP:n yli. Aikaisemmista tämän säikeen viesteistä päätellen ainakin jollain on SSH käytössä, joten he voisivat antaa tarkemmat ohjeet SSH:n käytöstä QNAP:n kanssa.
Se tapahtuu juurikin näin, edellä mainitsemallasi tavalla. Tosin ainoastaan admin tunnuksella ja vahvalla salasanalla pääsee qnappiin vakio ssh asetuksella. Lisäksi TS-209II tehot tulee ssh siirrossa vastaan (prossukuorma 100%) eli ei kovin suurista tiedonsiirtonopeuksista pääse juhlimaan. Lähellä 100kB/s, vastannee 1MB adsl linjaa max. Windows sisäverkossa normaali samba siirrossa (ei ssh) tulee gigabitin verkossa jumboframe 4K asetuksilla nyt 26MB/s luku ja 17MB/s kirjoitus ihan perus XP asennuksella. SFTP käyttö: SSH tuki päälle "remote login" osiosta eli "allow ssh connection" portti siis mielellään jotain ihan muuta kuin 22, jos yhteydet internetin yli käytössä. Ja telnet pois päältä. Sitten vaan vaikka ilmainen SFTP ohjelma Win scp täältä: http://winscp.net/eng/index.php ja sinne naputtaa yhteysosoitteen portteineen ja admin tunnuksella tosiaan omaan qnappiin sisään, kunhan kyseinen portti on forwardoitu adsl/kaapeli purkista.
Uudet 119 ja 219 mallit julkaistu, nämä vastaavat pitkälti vanhoja Pro II-malleja, mutta muistia ja prossutehoa on tuplasti enemmän. http://www.qnap.com/Products.asp edit: QNAP-store 219-malli 279£ + postikulut, en tiedä toimittavatko Suomeen, tuo olisi kyllä hyvinkin kohtuullinen hinta moisesta laitteesta. http://www.qnapstore.co.uk/index.php
Himottaisi päivittää nykyinen TS209PRO uudempaan...tosin 4:n levyn malliin mieluummin.... Tuossa on muutamia mukavia uusia ominaisuuksia. - Ajax-käyttöliittymä - FTP Write Only access - Schedule Power on/ off Epäilen onko nopeammasta prosessorista hyötyä kotikäytössä - pienyrityksessä voi ollakkin, jos on useita samanaikaisia käyttäjiä. Ehkä kuitenkin Web File Managerin ruudun päivitys nopeutuisi - se on ainoa hitaus joka häiritsee myös yksittäiskäytössä.
Verkkolevyn prosessorin ja tiedostojen siirtonopeuden välillä on selvä yhteys. On varmasti reilusti nopeampi jo yhdelle koneelle dataa siirrettäessä toi uus malli... Voit katella huviksesi TS-209 prossukuormaa samalla kun pistät tiedostoja siirtymään, katoppa kui käyp edit... Heii, toi Ajax tulee nähin vanhoihin purkkeihinkin! -Kiva kiva
Käykääpä lataamassa Ajax - asennus Qnapin Administrator osiossa -> System Tools -> QPKG -> Upload (eikä tarvii edes bootata) Toimii KAIKISSA malleissa :king: QNAP RULES !!! P.S. Uudempi 2.4 versio löytyy täältä, mutta siinä ei ole esimääriteltynä Qnapin oletusjakoja, vaan uudet kansiot täytyy luoda tai tehdä linkki olemassaoleviin Settings > Repositories kohdassa. Anna kansion näyttönimi ja polku (/share/kansion_nimi) . Kansio tulee näkyviin kun loggaat ulos ja takaisin sisään. Ajax on ohjelmoitu JAVA:lla.
Tulipas kokeiltua tuota 2.1.4 firmistä omaan 209 II purkkiin. Public kansiosta tehtyyn verkkoasemaan ei enää päässyt winukan resurssienhallinnalla ja kokeiltukin kolmella XP koneella. Eikä onnistu verkkoaseman uudelleen kytkeminen. Resurssienhallinalla kuitenkin pääsi niihin muihin QNAP: kansioihin En nyt tarkaan muista mitä XP herjasi tuosta public kansiosta, jotain ei löytynyt... Koitin muutella QNAP.sta käyttäjiä yms, ei apua. Palautin 2.1.2 version niin toiminta palasi heti normaaliksi. Tämmöinen varoituksen tynkä, vaikka voihan vika olla täällä näppiksen takanakin
Eikä hinnassa ollut edes ALV mukana Saksassa hinnat juuri nyt alkaen 399,- eli menee jo kohtuullisen tyyriiksi. Diesl: Tuolla QNAP 219 näyttäisi olevan 369,- joka tämäkin on minusta vielä aika tyyris hinta, joku 209 Pro II mallin noin 300€ olisi jo siedettävämpi sillä näin pysyttäisiin alle 500€ kun hintaa laskee mukaan pari hiljaista 1Tt levyä (halvin hinta per Gt) ja postikulut.
Tilasin oman TS-119 laitteeni täältä: http://www.wifimedia.eu/catalog/index.php?language=EN 20e rahteja tulee päälle ja maksu PayPalilla. Laite tuli viikossa ja seurantaa pystyi tekemään Hollannin TNTn (=paikallinen posti) sivujen kautta. Jakelu Suomessa meni Matkahuollon kautta ja sain käytyä hakemassa oman pakettini henkkareita vastaan paikallisesta Valintatalosta, kun olin ensin Matkahuollon asiakaspalvelun kanssa selvittänyt, että paketti on perillä (saapumisilmoitus tuli paria päivää myöhemmin).