Перейти к содержанию
Форум русской поддержки продукции Synology

DS Cam и порт 5000


Рекомендованные сообщения

это красио звучит на словах. В реальности на переборе портов целевого адреса вас будет блокировать не только самый тупой оконечный роутер, но и вся цепочка управляемых маршрутизаторов провайдера.

Вот нихрена подобного.

БОльшая часть отечественных провайдеров никак не защищает от сканирования портов и возлагает эту почетную обязанность на конечного пользователя.

В германии возможно и блокируют (может даже законодательно обязали), а у нас вот так.

 

И подавляющее большинство бытовых роутеров тоже не умеют защищать от сканирования. Там просто нет такого функционала.

А если говорить о не бытовых маршрутизаторах - там обычно надо предпринимать определенные телодвижения для включения такой защиты.

Например по умолчанию микроток не защищает от сканирования портов. Надо определенным образом модифицировать его фаервол. Например вот так - https://настройка-микротик.укр/blokirovka-s...tov-v-mikrotik/

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 64
  • Создано
  • Последний ответ

Лучшие авторы в этой теме

Лучшие авторы в этой теме

Ну и вопрос ближе к теме.

Можно свой QC замутить и подключить к нему NAS ?

Я думал над этим. Пришел к выводу что ничего не получится.

Можно заставить NAS поднять ВПН куда-то, и держать этот канал.

Панель управления - Сеть - Сетевой интерфейс - Создать профиль ВПН

Но это не решает проблему с приложениями для мобильных типа DS Cam

 

Они автоматически подставляют quickconnect.to к имени которое вы туда вбиваете.

Ссылка на сообщение
Поделиться на другие сайты
Вот нихрена подобного.

Отлично. Вот мой внешний белый ip.

95.84.207.205

Расскажите какие порты кроме 80 и 443 у меня открыты. И главное на каком весит dsm.

P.s. повторюсь. Исходя из логов, ваших, атака идёт не по результатам сканирования портов, а по факту наличия среди ПК, которые имеют доступ к вашему nas заражённой машины из состава какой-то бот сети. Если интересно, могу рассказать про ту бот сеть, которую мы выводили у себя на предприятии...

Ссылка на сообщение
Поделиться на другие сайты
Я думал над этим. Пришел к выводу что ничего не получится.

Можно заставить NAS поднять ВПН куда-то, и держать этот канал.

Панель управления - Сеть - Сетевой интерфейс - Создать профиль ВПН

Но это не решает проблему с приложениями для мобильных типа DS Cam

 

Они автоматически подставляют quickconnect.to к имени которое вы туда вбиваете.

QC онли? Да ну, не бывает чудес. DS Cam, судя по мануалу, в этом смысле мало отличается.

Думаю, Вы зря для себя зарубили эту идею. Тем более что то, что Вы описали, это как бы само собой разумеющаяся схема включения в ЛВС, с внешним статическим IP, удалённого NAS. И это действительно работает.

Ссылка на сообщение
Поделиться на другие сайты
QC онли? Да ну, не бывает чудес. DS Cam, судя по мануалу, в этом смысле мало отличается.

Думаю, Вы зря для себя зарубили эту идею. Тем более что то, что Вы описали, это как бы само собой разумеющаяся схема включения в ЛВС, с внешним статическим IP, удалённого NAS. И это действительно работает.

 

+1

 

Они автоматически подставляют quickconnect.to к имени которое вы туда вбиваете.

 

Но это не решает проблему с приложениями для мобильных типа DS Cam

 

 

Добавлю.

1. ничего никуда не подставляется. Есть https://quickconnect.to/<что-то> туда передается ID, оттуда получается ссылка IP + port для доступа к DSM NAS (при белом IP) и уже на веб страницу нас передается логин пароль. при работе через сервера сино - по

другому. Ответ сервера - другой.

2. все приложения для мобильных устройств отлично работают с IP и c DNS. НО с ограничениями связанными с портом...

Соответственно ничего не мешает закатать все выше указанное (IP + Port) в туннель, и вылезти из него сразу на локальный IP NAS с портом внутри DMZ.

Ссылка на сообщение
Поделиться на другие сайты
Отлично. Вот мой внешний белый ip.

95.84.207.205

Расскажите какие порты кроме 80 и 443 у меня открыты. И главное на каком весит dsm.

Последняя цифра порта DSM 1

Plex 0

Kamera 4

И ещё порт 1

:)

Ссылка на сообщение
Поделиться на другие сайты
Последняя цифра порта DSM 1

Plex 0

Kamera 4

И ещё порт 1

:)

И еще 20 портов.

Открытых портов на нас с 1 в конце у меня 3... камеры с 4 на конце нет, или имелось ввиду что то другое?

Ссылка на сообщение
Поделиться на другие сайты
Открытых портов на нас с 1 в конце у меня 3... камеры с 4 на конце нет, или имелось ввиду что то другое?

По 554-му порту у вас видео с камер. Можете сами посмотреть - rtsp://95.84.207.205:554

Пароль думаю вы знаете)

 

А вообще, из того что на вскидку - 80, 443, 554, 5551, 9025-9040, 9900, 9901, 16881, 32400 (plex), возможно еще и SSH на 22-м, но это не точно, глубоко не копал. Ну и 6881 для торрентов)

На 80-й вы ftp что-ли повесили? С адресом ftp://pervolianinen.synology.me ???

 

Сухим остатком:

а - вы НИКАК не защищены от сканирования

б - у вас куча портов светит в инет хоть и большинство со статусом closed

в - ваш DSM висит на порту 5551 с адресом https://95.84.207.205:5551 Заходи кто хошь и делай что хошь)

г - как я и предполагал, вы НАПРМУЮ ходите на свой сервак через DS Cam используя QC ТОЛЬКО ПОТОМУ ЧТО У ВАС ОТКРЫТ ПОРТ 5551. Если вы его закроете - напрямую вы ходить не сможете. Только в обход через облако QC.

А как только вы открыли порт 5551 - вы засветили вебморду своей DSM на весь интернет.

Ссылка на сообщение
Поделиться на другие сайты
По 554-му порту у вас видео с камеры в интернет идет)

А вообще, из того что на вскидку - 80, 443, 554, 5551, 9025-9040, 9900, 9901, 16881, 32400 (plex), возможно еще и SSH на 22-м. Ну и 6881 для торрентов)

На 80-й вы ftp что-ли повесили?

 

Сухим остатком:

а - вы НИКАК не защищены от сканирования

б - у вас куча портов светит в инет хоть и большинство со статусом closed

в - ваш DSM висит на порту 5551 с адресом https://95.84.207.205:5551 Заходи кто хошь и делай что хошь)

г - как я и предполагал, вы НАПРМУЮ ходите на свой сервак через DS Cam используя QC ТОЛЬКО ПОТОМУ ЧТО У ВАС ОТКРЫТ порт 5551. Если вы его закроете - напрямую вы ходить не сможете. А как только вы открыли порт 5551 - вы засветили вебморду своей DSM на весь интернет.

1. Спасибо что проделали данную работу, мне из дома самого себя смотреть не интересно, так как не ясно как отреагирует оборудование провайдера...

2. На 80 у меня классический http. Просто идёт подмена ответа... Ftp у меня вообще нет.

3. Closed = закрыт, отсутствует

4. Мы уже обсуждали с вами, что если все порты закрыть, то ds cam работать не будет, как и любой сетевой продукт. Нет порта , нет доступа. Вариант - vpn и вход изнутри.

5. Светится по причине того, что вы знаете конкретный текущий ip, учитывая что он плавающий осуществлять автоматизированное сканирование - сложно. Ну и блокировка icmp отключена. Любопытно было посмотреть, что светится. МТС на мобильном за nmap периодически жёстко наказывает. А на работе все исходящие нестандартные залочены.

Странно что на 9901 dsm нет. Должен быть ((

Ссылка на сообщение
Поделиться на другие сайты
4. Мы уже обсуждали с вами, что если все порты закрыть, то ds cam работать не будет, как и любой сетевой продукт. Нет порта , нет доступа. Вариант - vpn и вход изнутри.

QC так и работает. Если порт не проброшен конечно.

Ссылка на сообщение
Поделиться на другие сайты
5. Светится по причине того, что вы знаете конкретный текущий ip, учитывая что он плавающий осуществлять автоматизированное сканирование - сложно. Ну и блокировка icmp отключена.

Да не так уж и сложно. Ботсети осуществляют сканирование горааааздо быстрее чем допустим Shodan или там Censys.

А блокировка пингов nmap-у не помеха...

Ссылка на сообщение
Поделиться на другие сайты
2. все приложения для мобильных устройств отлично работают с IP и c DNS. НО с ограничениями связанными с портом...

Соответственно ничего не мешает закатать все выше указанное (IP + Port) в туннель, и вылезти из него сразу на локальный IP NAS с портом внутри DMZ.

Это будет шило на мыло.

Ну подниму я ВПН на NAS в сторону допустим арендованной виртуалки.

Запускаю DS Cam и в поле адреса вбиваю адрес этой виртуалки. Не важно, IP или DNS. И все естественно заработает.

Но если я зайду на эту виртуалку просто по hhtp через браузер - Я ОПЯТЬ УВИЖУ ВЕБМОРДУ СВОЕЙ DSM :-)

Потому что порт для DS Cam ВСЕГДА совпадает с портом DSM. Ну или с портом вебморды Surveillance Station.

 

По хорошему порты для DS Cam (да и остальных мобильных приложений) и DSM должны быть разными. Но Synology решила сделать так как сделала.

У меня например стоит охранная сигнализация Paradox. Там вебморда работает на стандартном порту 443, а вот управление через мобильное приложение висит на совершенно другом порту который относительно безбоязненно можно выводить в интернет.

Ссылка на сообщение
Поделиться на другие сайты
Это будет шило на мыло.

Ну подниму я ВПН на NAS в сторону допустим арендованной виртуалки.

Запускаю DS Cam и в поле адреса вбиваю адрес этой виртуалки. Не важно, IP или DNS. И все естественно заработает.

Но если я зайду на эту виртуалку просто по hhtp через браузер - Я ОПЯТЬ УВИЖУ ВЕБМОРДУ СВОЕЙ DSM :-)

Потому что порт для DS Cam ВСЕГДА совпадает с портом DSM. Ну или с портом вебморды Surveillance Station.

 

По хорошему порты для DS Cam (да и остальных мобильных приложений) и DSM должны быть разными. Но Synology решила сделать так как сделала.

У меня например стоит охранная сигнализация Paradox. Там вебморда работает на стандартном порту 443, а вот управление через мобильное приложение висит на совершенно другом порту который относительно безбоязненно можно выводить в интернет.

Не на нас. Какая тогда дмз?

На роутере перед нас. И никаких портов наружу. Вход через vpn сразу на локальный адрес со стандартным портом дсм.

 

другом порту который относительно безбоязненно можно выводить в интернет.

Хм. Какая разница тогда со сменой порта в дсм? Теже тапки. Вы можете и дсм дать безбоязненый порт...

Ссылка на сообщение
Поделиться на другие сайты
Не на нас. Какая тогда дмз?

На роутере перед нас. И никаких портов наружу. Вход через vpn сразу на локальный адрес со стандартным портом дсм

Тогда на смартфон надо устанавливать клиента VPN.

Т.е. сначала со смартфона надо будет поднять ВПН до маршрутизатора, потом на смарте запускать DS Cam в котором в поле адреса указывать адрес NAS-а в локалке.

За такой изврат стандартные пользователи меня просто разорвут)

Тут люди не понимают куда адрес QC в DS Cam вбивать, а вы предлагаете ТАКОЕ :-)

Ссылка на сообщение
Поделиться на другие сайты
Хм. Какая разница тогда со сменой порта в дсм? Теже тапки. Вы можете и дсм дать безбоязненый порт...

Разница в том что даже зная служебный порт охранной сигнализации вы абсолютно ничего (в теории) не можете сделать. Вебинтерфейса там нет, управление идет по каким-то непонятным закрытым протоколам. Которые еще и зашифрованы.

А вот что делать с открытой вебмордой которая вам в открытую предлагает ввести логин/пароль - все прекрасно знают)

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в этой теме...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

×
×
  • Создать...