Портал приложений
Портал приложений позволяет изменять настройки соединения различных приложений, обеспечивающих прямой доступ к этим приложениям и их запуск (например, File Station) в окнах и вкладках независимого браузера.
Примечание.
- Можно редактировать настройки доступа для таких приложений, как Audio Station, Download Station, Surveillance Station, Video Station, File Station и т. д.
Пользовательские псевдонимы
Каждому приложению, разработанному компанией Synology (например, приложению File Station), можно назначить псевдоним. Пользовательский псевдоним позволяет быстро открывать приложение, используя специальный URL-адрес.
Пользовательские псевдонимы для приложений
- Выберите Панель управления > Портал приложений > Приложение.
- Выберите приложение.
- Нажмите Редактировать > Общие.
- Во всплывающем окне выберите Включить пользовательский псевдоним и укажите псевдоним.
- Нажмите кнопку OK, чтобы сохранить настройки.
Примечание.
- У некоторых приложений есть псевдонимы по умолчанию: Audio Station (audio), Download Station (download), File Station (file), Surveillance Station (cam) и Video Station (video).
- Псевдонимы не могут совпадать с именами, зарезервированными системой, браузерами или используемыми другими приложениями, кроме того, их длина должна составлять от 2 до 20 символов.
- Псевдонимы могут содержать только буквы разного регистра, цифры и два специальных символа (-), (_).
- Они не могут начинаться или заканчиваться специальными символами (-) или (_).
Доступ к приложениям с помощью псевдонимов
Настроив псевдоним для приложения (например, File Station), можно быстро открыть приложение, указав URL-адрес в следующем формате: http://DS_IP_ИЛИ_ИМЯ_СЕРВЕРА/ПСЕВДОНИМ/
или https://DS_IP_ИЛИ_ИМЯ_СЕРВЕРА/ПСЕВДОНИМ/
Например, можно быстро открыть File Station, используя следующие URL-адреса: http://192.168.xx.xx/file/
или https://MySynologyNAS/file/
Пользовательские порты HTTP/HTTPS
Каждому приложению, разработанному компанией Synology (например, приложению File Station), можно назначить порт HTTP/HTTPS. Пользовательский порт позволяет быстро открывать приложение, используя специальный URL-адрес.
Настройка портов HTTP/HTTPS для приложения
- Выберите Панель управления > Портал приложений > Приложение.
- Выберите приложение.
- Нажмите Редактировать > Общие.
- Во всплывающем окне установите флажок Включить пользовательский порт (HTTP) или Включить пользовательский порт (HTTPS).
- Укажите номер пользовательского порта.
Примечание.
- Номер порта должен быть в диапазоне от 1 до 65535.
- Следующие порты не включены, поскольку предназначены для системного использования:
- 20, 21, 22, 23, 25, 80, 110, 137, 138, 139, 143, 199, 443, 445, 515, 543, 548, 587, 873, 993, 995, 3306, 3689, 5000, 5001, 5005, 5006, 5335, 5432, 6881, 8080, 7000, 7001, 8081, 9997, 9998, 9999, 50001, 50002
- Порты по умолчанию eMule: 4662 (TCP), 4672 (UDP)
- Диапазон портов FTP по умолчанию: фактический диапазон может отличаться в зависимости от различных моделей.
Доступ к приложениям через порты HTTP/HTTPS
Настроив порты HTTP/HTTPS для приложения (например, File Station), можно быстро открыть приложение, указав URL-адреса в следующем формате: http://DS_IP_ИЛИ_ИМЯ_СЕРВЕРА:ПОРТ_HTTP
или https://DS_IP_ИЛИ_ИМЯ_СЕРВЕРА:ПОРТ_HTTPS
Например, можно быстро открыть File Station, используя следующие URL-адреса: http://192.168.xx.xx:7000
или https://MySynologyNAS:7001
Настройка сертификата и уровня профиля TLS/SSL для портов HTTPS
Настроив порт HTTPS для приложения (например, File Station), можно открыть Панель управления > Безопасность > Сертификат и нажать Настроить. После этого необходимо найти имя службы, которое будет указано в формате Название_приложения - ПОРТ_HTTPS, чтобы настроить используемый сертификат.
Кроме этого, можно открыть Панель управления > Безопасность > Дополнительно и нажать Пользовательские настройки. После этого необходимо найти имя службы, которое будет указано в формате Название_приложения - ПОРТ_HTTPS, чтобы настроить используемый уровень профиля TLS/SSL.
Например, если в качестве порта HTTPS File Station используется порт 7001, можно открыть две указанные выше страницы настроек и найти для дальнейшей настройки службу под названием «FileStation - 7001».
Пользовательские домены
Можно связать имя домена с приложением, разработанным Synology, например File Station. Пользовательский домен позволяет быстро открывать приложение через специальный URL-адрес.
Пользовательские домены для приложений
- Выберите Панель управления > Портал приложений > Приложение.
- Выберите приложение.
- Нажмите Редактировать > Общие.
- Во всплывающем окне выберите Включить пользовательский домен.
- Укажите пользовательский домен.
- Для дополнительных настроек можно выбрать Включить HSTS или Включить HTTP/2
Примечание.
- Перед настройкой этой функции необходимо запросить имена доменов от провайдеров доменов, чтобы пользователи могли получать доступ к службе из Интернета.
- Каждое имя домена может быть использовано только для одного отдельного приложения на DiskStation.
- Если домен не превышает в длину 15 символов и соответствует правилам наименования NetBIOS, система автоматически зарегистрирует и распространит имя домена.
- При доступе к приложениям по URL-адресам, использующим имена доменов, вы будете направлены через стандартный порт HTTP (80) или HTTPS (443).
- Если включить контроль доступа с сертификатом от Let's Encrypt, могут возникнуть проблемы с автоматическим обновлением сертификата. В этом случае необходимо сначала отключить контроль доступа. Затем выберите Панель управления > Безопасность > Сертификат, нажмите правой кнопкой мыши сертификат Let's Encrypt, который требуется обновить, и выберите Обновить сертификат. После обновления сертификата можно снова включить контроль доступа.
Доступ к приложениям через домены
Настроив домен для приложения (например, file.example.com), можно быстро открыть приложение, указав URL-адрес в следующем формате: http://ДОМЕН_ПРИЛОЖЕНИЯ
или https://ДОМЕН_ПРИЛОЖЕНИЯ
Например, можно быстро открыть File Station, используя следующие URL-адреса: http://file.example.com
или https://file.example.com
Если имя домена (например, FileFile) для приложения (например, File Station) соответствует правилам наименования NetBIOS, пользователи Windows смогут получать к нему доступ на Synology NAS в той же локальной сети с таким же URL-адресом: http://FileFile
или https://FileFile
Настройка сертификата и уровня профиля TLS/SSL для доменов
Настроив домен для приложения (например, File Station), можно открыть Панель управления > Безопасность > Сертификат и нажать Настроить. После этого необходимо найти имя службы, которое будет указано в формате Название_приложения - домен, чтобы настроить используемый сертификат.
Кроме этого, можно открыть Панель управления > Безопасность > Дополнительно и нажать Пользовательские настройки. После этого необходимо найти имя службы, которое будет указано в формате Название_приложения - домен, чтобы настроить используемый уровень профиля TLS/SSL.
Например, если в качестве домена File Station используется домен file.example.com, можно открыть две указанные выше страницы настроек и найти для дальнейшей настройки службу под названием «FileStation - file.example.com».
Установка профиля управления доступом
После установки профиля управления доступом для приложения (например, File Station) пользователи, которым будет отказано в доступе, не смогут открыть данное приложение, используя приведенные в этой статье специальные URL-адреса.
- Выберите Панель управления > Портал приложений > Приложение.
- Выберите приложение.
- Нажмите Редактировать > Общие.
- Во всплывающем окне нажмите Включить контроль доступа и выберите профиль управления доступом. Дополнительные сведения о создании профиля управления доступом см. ниже в разделе Настройка профилей управления доступом.
- Нажмите кнопку OK, чтобы сохранить настройки.
Пользовательские правила обратного прокси
Ваше устройство DiskStation может выступать в качестве обратного прокси-сервера, передающего запросы из Интернета на устройства в локальной сети. Правила обратного прокси помогают скрыть уязвимые порты от потенциальных угроз, как показано в двух сценариях ниже.
Сценарий 1. Предположим, что имеется уязвимый порт 80, к которому нужно запретить внешний доступ в соответствии с правилом брандмауэра. Можно настроить правило обратного прокси, чтобы разрешить доверенным пользователям из Интернета получать доступ к уязвимому порту 80 через другой открытый порт (например, 81). В этом случае доверенные пользователи могут обойти брандмауэр и получить доступ к порту 80.
Сценарий 2. Предположим, что имеется уязвимый порт 80, к которому нужно запретить внешний доступ для всех, кроме определенного устройства (например, сервера с именем «MyTrustee»). Правила обратного прокси позволяют получать на порт 80 только трафик от MyTrustee, блокируя трафик от всех других устройств.
Настройка правил обратного прокси
- Выберите Панель управления > Портал приложений > Обратный прокси.
- Нажмите Создать и задайте следующие параметры на странице Общие
- Описание. Укажите имя, которое поможет вам определить функцию правила.
- Укажите правила для Источника (устройства, отправляющего запросы из Интернета) и Целевого устройства (устройства в локальной сети):
- Протокол. Протоколы HTTP или HTTPS, которые используются источником или целевым устройством.
- Имя хоста. Имя исходного или целевого устройства.
- Порт. Порт, который используется исходным или целевым устройством.
- Включить HSTS и Включить HTTP/2 (только для источника)
- Чтобы установить профиль управления доступом, нажмите Включить контроль доступа и выберите профиль управления доступом. Дополнительные сведения о создании профиля управления доступом см. ниже в разделе Настройка профилей управления доступом.
Примечание.
- Нажмите WebSocket в раскрывающемся меню Создать для быстрого создания заголовка функции WebSocket, чтобы разрешить поддержку обратного прокси для WebSocket.
- Чтобы настроить другие функции обратного прокси, перейдите на страницу Дополнительные параметры.
- Время ожидания прокси-соединения (сек.). Установите ограничение времени подключения прокси-сервера к целевому серверу.
- Время ожидания отправки на прокси-сервер (сек.). Установите ограничение времени отправки запроса прокси-сервером на целевой сервер.
- Время ожидания чтения с прокси-сервера (сек.). Установите ограничение времени ожидания прокси-сервером ответа от целевого сервера.
- Версия прокси-сервера HTTP. Выберите версию сервера HTTP, который используется для обмена данными между прокси-сервером и целевым сервером.
- Использовать страницу ошибки, отправленную целевым сервером. После установки этого параметра код ошибки HTTP, возвращаемый сервером, будет содержать веб-страницу ошибки целевого сервера. В противном случае будет отображаться страница ошибки DiskStation.
- Нажмите кнопку OK, чтобы сохранить настройки.
Настройка профилей управления доступом
Если необходимо ограничить доступ пользователя к порталу приложений или обратным прокси-серверам на основании исходного IP-адреса пользователя, можно создать профиль управления доступом. Пользователь, которому будет отказано в доступе, увидит страницу отказа в доступе.
Создание профиля управления доступом
- Откройте Панель управления > Портал приложений > Профиль управления доступом.
- Нажмите Создать. Во всплывающем окне можно настроить правила для нового профиля.
- Нажмите Создать, чтобы создать новое правило. Правила будут применяться по приоритету сверху вниз, определяя разрешения на доступ.
- Чтобы отредактировать правило, дважды нажмите его. Чтобы удалить правила, выберите их и нажмите Удалить.
- Чтобы сохранить список правил в виде нового профиля, нажмите ОК.
- Чтобы переименовать профиль, нажмите поле имени.
Примечание.
- Если поле имени хоста оставить пустым, правило будет применяться ко всем источникам.
- Если включить контроль доступа с сертификатом от Let's Encrypt, могут возникнуть проблемы с автоматическим обновлением сертификата. В этом случае необходимо сначала отключить контроль доступа. Затем выберите Панель управления > Безопасность > Сертификат, нажмите правой кнопкой мыши сертификат Let's Encrypt, который требуется обновить, и выберите Обновить сертификат. После обновления сертификата можно снова включить контроль доступа.
- Чтобы применять фильтрацию по белому списку и активировать правила, помимо создания правил для разрешенных источников, необходимо установить правила для запрещенных источников.
Например, чтобы разрешить только источник http://192.168.xx.xx
, выполните следующее.
- Добавьте
http://192.168.xx.xx
в качестве разрешенного источника.
- Добавьте новое правило и установите для него значение «Запретить».