概要と設定方法
SynologyNASは外部公開等の設定も大変便利なわけですが、試験的に数時間~数日間公開するならばまだしも、日常利用する前提であればセキュリティ設定は必ず行いましょう。
特に、やりたいことにはすぐ目が行くのですが、セキュリティの記事にはあまり目を通さない傾向があるので(特に私)、ほんと要注意です。
ここで、私が実施したセキュリティ対策について、ご紹介をいたしますので、参考になればと思います。
なお、この設定で重要なのは、一旦、全てのアプリケーションをアクセス拒否状態として、外部に公開したいアプリケーションのみを許可することです。
しかし、手順上、最初に拒否設定してしまうとDSMへのアクセスも拒否されてしまいますので(誤って実行した場合、DSMがエラーで知らせてくれますので安心してお試しください)、先に外部利用するアプリケーションを許可する設定を行ってから、すべて拒否の設定を行います。
- [コントロールパネル]→[セキュリティ]を起動します。
- [ファイアウォール]タブを選択して、<ファイアウォールプロファイル>の「規則の編集」ボタンを押します。
- プロファイルの編集 “XXXX” ウィンドウの左上にある「作成」ボタンを押します。
ちなみにこの設定は私のSynologyNASの設定です。
- ファイアウォールルールの編集画面が表示されますので、項番3・4の操作を必要なだけ繰り返します。
DSMの許可設定だけは、忘れずに実施してください。
私の設定はページ下部に記載しておりますので、そちらを参考に操作してください。
【解説】 -
一番最後に項番3・4の手順で、以下の設定を登録します。
【ポート】すべて
【ソースIP】すべて
【操作】拒否
- 全て完了したら、プロファイルの編集画面の右下の「OK」を押します。
これでファイアウォールの設定が反映されます。
- 最後に外部からのアクセス(スマホでWifi無しでアクセスしてみる等)を試して期待通りの設定になっているかを確認してください。
私の設定
設定1~2
ポート
- すべて
ソースIP
サブネットを2つ設定していますので、2つのルールを作成する必要があります。
- サブネット 192.168.11.0/255.255.255.0 ←ローカルネットワークからのアクセスを許可
- サブネット 10.8.0.0/255.255.255.0 ←VPNからのアクセスを許可
操作
- 許可
設定3
VideoStationは、普段は共有とかせず自分用ですが、稀に誰かと共有とか、外部アクセスにおいてVPNを使用すると若干読み込みが遅くなるのも嫌なので、エリアを日本に限定して公開にしました。
ポート(組み込みアプリケーションの一覧から選択)
- 管理UI, FileStation, Surveillance Station, Download Station, CMS
- DLNA/UPnPメディアサーバー
- Video Station(Video Station)
ソースIP
- 位置 JP(日本)
操作
- 許可
設定4
ポート・ソースIP
- すべて
操作
- 拒否
というわけで、以上です。
あなたも安全安心なNASライフを~
2018/03/01 02:24 追記
Synologyのナレッジベースを見ると、どうもVideoStationが管理UIのポート(デフォルト5001)を要求するようで、上記の設定だと外部からVideoStationにアクセスできないよう。
不本意でしたが認証情報を管理UIの辺りから得ているようなので、やむなく開放し、更に、設定が漏れていた「DLNA/UPnPメディアサーバー」を追加&追記(設定3)。
また、ローカルおよびVPNからのアクセスには制限を設けないようにしました(設定1~2)。
更に判明したこととして、プロファイルの編集画面はどうやらドラッグ&ドロップができるみたいで、上から順にチェックが入っているようです。
なので、許可の設定が「すべて拒否」よりも下段にあると、同じ設定をしても有効になりません。
これで悩むこと15分ほど( ^ω^)・・・。おかげで似たような設定を何個も作っては消す羽目に。
しかし管理UIだけはローカル辺りに限定したかったなぁ。
そのうち、管理UIのポートを変えておきたいところ。