Rendere il NAS inaccessibile a tutti sia da remoto e sia su rete domestica tranne che alcuni indirizzi IP da me indicati

[Oracle]

Buongiorno, per me questo è il primo nas ossia il DS115j (molto economico ma adatto ad uso sporadico che dovrei farne). Le basi le conosco ma grazie a voi spero di poter crescere in questo campo. Voglio rendere il nas inaccessibile ad internet sia da remoto utilizzando un account ddns con host da me creato e sia alla rete lan/wifi di casa e renderlo invece accessibile sia da remoto che a casa solo a determinati indirizzi ip. Ho visto che tra le impostazioni esiste il firewall che dovrebbe in teoria risolvere questo problema, infatti nel campo ip consentiti inserisco per prova solo l'ip del mio pc mentre nel campo bloccati lascio tutto vuoto non sapendo ovviamente l'indirizzo ip di qualche malintenzionato, applico tutto, provo ad accedere con il mio pc tutto ok accede, provo con un altro pc per mia sorpresa accede comunque e così via con gli altri pc. Ma il nas appunto non dovrebbe consentire solo me? Sto sbagliando io oppure non è fattibile come cosa. Esiste qualche altra alternativa che mi permetta di fare ciò? In pratica voglio che se anche un malintenzionato su internet riesca a reperire l'indirizzo ddns con la porta da me aperta lo digiti sul browser non carichi la pagina di accesso al nas ma che lo faccia solo io che sono consentito dall'indirizzo IP impostato. In questo modo rendo inaccessibili a tutti i miei file. Ho già impostato i tentativi di accesso e blocco automatico ip ma se si potesse rendere il nas inaccessibile a tutti tranne che ad alcuni sarebbe per me un ulteriore grado di protezione. Ringrazio a chiunque voglia aiutarmi.

[burghy86]

Nel firewall in fondo c'è che se non ha corrispondenza la regola blocca tutto

[Oracle]

Buongiorno, ho fatto come hai detto Burghy86 per l'interfaccia LAN ma invece se volessi raggiungere come ho scritto nel messaggio precedente il NAS da indirizzo DDNS per esempio dallo smartphone su che interfaccia dovrei impostare la regola, ho provato ad aggiungere l'indirizzo ip del telefono nella sezione lan ma come prevedibile non funziona. Quindi per quanto riguarda la sezione LAN burghy86 ti ringrazio funziona perchè appunto è la lan della mia rete domestica inserisco gli ip che devono accedere e tutto va come deve, la cosa va male se devo accedere da remoto con ddns e porta per esempio dallo smartphone, oppure internet point oppure pc di casa di un mio amico ecc. In questo caso cosa dovrei fare per consentire solo alcuni indirizzi ip da remoto con ddns e porta? Grazie mille.

[burghy86]

sia tu che i client dovrebbero avere un ip fisso. e poi dovresti usare un firewall a monte. che è nato proprio per quello

perchè mi scrivi in privato?

[Oracle]

Scusami ho letto contatta ho sbagliato, sono nuovo del forum non so ancora bene come si usa, non ho ben capito quello che dici, potresti spiegarti meglio: il nas ha ip fisso, i pc che voglio far accedere hanno ip fisso il problema sta quando mi devo connettere da remoto con http://host-ddns-da-me-creato:porta sia da smartphone che dal mio pc connesso al wifi in casa del mio amico dove per accedere non essendo nella rete lan devo usare il ddns, oppure con il wifi pubblico ecc. Come dovrei fare?

P.S.
il ddns è impostato sul router e non sul nas.

[burghy86]

Prendere un firewall e mettilo a monte della tua rete. Pfsense zeroshell o a pagamento zyxel kerio ecc. Quelle sono macchina fatte per quel servizio che chiedi

[marcotarelli]

Buongiorno a tutti. So che la questione firewall è una cosa che esula in senso stretto dal mondo synology ma credo sia comunque collegato.
Premesso che di firewall ne so zero, ma vorrei capirne di più, non sarebbe più sensato e sicuro legare l'accesso a un certo numero di mac address prestabiliti che corrispondono ai tuoi dispositivi (ammesso che si possa)?.
Chiedo a burghy86 se ha tempo e voglia di spiegarci un paio di nozioni di base sull'argomento...

Grazie

[burghy86]

I mac address non sono propriamente univoci e possono essere clonati con facilità
In più lavorano a layer 2 quindi sulla rete fisica. Per proteggersi bisogna lavorare sugli ip quindi sul layer 3 se vuoi proteggerti da accessi remoti.

Perché non vuoi usare una vpn?
Se proprio ti senti insicuro perché non abiliti l'autenticazione due fattori?

[marcotarelli]

I mac address non sono propriamente univoci e possono essere clonati con facilità
In più lavorano a layer 2 quindi sulla rete fisica. Per proteggersi bisogna lavorare sugli ip quindi sul layer 3 se vuoi proteggerti da accessi remoti.

Immaginavo ci fosse un motivo preciso... Come ti ho detto non ne so assolutamente niente di firewall...