アプリケーション ポータル
アプリケーション ポータルを活用すると、さまざまなアプリケーションの接続設定を行うことができます。そのため、これらのアプリケーション (File Station など) を個別のブラウザ タブや画面で直接アクセス、起動することができるようになります。
注:
- Audio Station、Download Station、Surveillance Station、Video Station、File Station、その他の各種アプリケーションへのアクセス設定を編集できます。
エイリアスのカスタマイズ
File Station など、Synology が開発したアプリケーションにエイリアスを割り当てることができます。 カスタム エイリアスがあると、特別な URL からアプリケーションを開くことができます。
アプリケーションのエイリアスをカスタマイズする:
- [コントロール パネル] > [アプリケーション ポータル] > [アプリケーション]の順に進みます。
- アプリケーションを選択します。
- [編集] > [全般] をクリックします。
- ポップアップ ウィンドウで [カスタマイズしたエイリアスを有効にする] を選択し、エイリアスを指定します。
- [OK]をクリックして、設定を保存します。
注:
- 一部のアプリケーションにはデフォルトのエイリアスがあります。 Audio Station (audio)、Download Station (download)、File Station (file)、Surveillance Station (cam)、Video Station (video)。
- エイリアス名はシステム、ブラウザ用に予約されているものや、他のアプリケーションが使用しているものと同じ名前を使用することはできません。また文字数は 2 文字から 20 の範囲で指定しなければなりません。
- エイリアスは大文字と小文字、数字、2 個の特殊文字 (-) と (_) を混ぜて作成します。
- 特殊文字 (-) または (_) を先頭と末尾に使用することはできません。
エイリアスでアプリケーションにアクセスする:
アプリケーション (File Station) にエイリアスを設定すると、次のフォーマットで URL を入力することでアプリケーションをすばやく開くことができます: http://DS_IP_OR_SERVER_NAME/ALIAS/
または https://DS_IP_OR_SERVER_NAME/ALIAS/
たとえば、次の URL で File Station にアクセスできます: http://192.168.xx.xx/file/
または https://MySynologyNAS/file/
HTTP/HTTPS ポートのカスタマイズ
File Station など、Synology が開発したアプリケーションに HTTP/HTTPS ポートを割り当てることもできます。 カスタム ポートがあると、特別な URL からアプリケーションを開くことができます。
アプリケーションの HTTP/HTTPS ポートをカスタマイズする:
- [コントロール パネル] > [アプリケーション ポータル] > [アプリケーション]の順に進みます。
- アプリケーションを選択します。
- [編集] > [全般] をクリックします。
- ポップアップ ウィンドウで [カスタマイズしたポート (HTTP) を有効にする] または [カスタマイズしたポート (HTTPS) を有効にする] にチェックマークを付けてください。
- カスタム ポート番号を指定します。
注:
- ポート番号の範囲は 1~65535 です。
- 以下のポートはシステム使用のために予約されているので除外してください。
- 20, 21, 22, 23, 25, 80, 110, 137, 138, 139, 143, 199, 443, 445, 515, 543, 548, 587, 873, 993, 995, 3306, 3689, 5000, 5001, 5005, 5006, 5335, 5432, 6881, 8080, 7000, 7001, 8081, 9997, 9998, 9999, 50001, 50002
- eMule のデフォルト ポート: 4662 (TCP)、4672 (UDP)
- デフォルトの FTP ポート範囲: 実際の範囲は、モデル毎に異なります。
HTTP/HTTPS ポートでアプリケーションにアクセスする:
アプリケーション (例えば、File Station) に HTTP/HTTPS ポートを設定すると、次のフォーマットで URL を入力することでアプリケーションをすばやく開くことができます: http://DS_IP_OR_SERVER_NAME:HTTP_PORT
または https://DS_IP_OR_SERVER_NAME:HTTPS_PORT
たとえば、次の URL で File Station にアクセスできます: http://192.168.xx.xx:7000
または https://MySynologyNAS:7001
HTTPS ポートに関する証明書および TLS/SSL プロファイル レベルを構成する方法:
アプリケーション (例えば、File Station) の HTTPS ポートを構成後、[コントロール パネル] > [セキュリティ] > [証明書]の順に進んで、[構成]をクリックします。 次にApplication_Name - HTTPS_PORTのフォーマットのサービス名を見つけて、使用される証明書を構成します。
また、[コントロール パネル] > [セキュリティ] > [詳細設定] を選択し、[カスタム設定] をクリックします。 次にApplication_Name - HTTPS_PORTのフォーマットのサービス名を見つけて、使用される TLS/SSL プロファイル レベルを構成します。
例えば、File Station のドメインが 7001 の場合、上記の2つの設定ページに進み、FileStation - 7001 の名前の下にあるサービスを見つけて追加の構成をしてください。
メインのカスタマイズ
File Station など、Synology が開発したアプリケーションとドメイン名を合わせることができます。 カスタム ドメインがあると、特別な URL からアプリケーションを開くことができます。
アプリケーションのドメインをカスタマイズする:
- [コントロール パネル] > [アプリケーション ポータル] > [アプリケーション]の順に進みます。
- アプリケーションを選択します。
- [編集] > [全般] をクリックします。
- ポップアップ ウィンドウで [カスタマイズしたドメインを有効にする] を選択します。
- カスタム ドメインを指定します。
- 追加設定については、必要に応じて [HSTS を有効にする] または [HTTP/2 を有効にする] を選択してください。
注:
- この機能を設定する前に、インターネットからサービスにアクセスできるように、ドメイン プロバイダーからドメイン名を適用する必要があります。
- 各ドメイン名は、DiskStation で単独のアプリケーションにしか使用できません。
- ドメイン名が 15 文字以下になり、NetBIOS naming conventions に準拠しているとき、システムがドメイン名を自動的に登録し、ブロードキャストします。
- ドメイン名を使う URL を介してアプリケーションにアクセスするとき、標準 HTTP ポート (80) または標準 HTTPS ポート (443) を介します。
- Let's Encrypt が発行する証明書でアクセス コントロールを有効化できる場合、それが証明書の自動更新の不具合につながることがあります。 これが生じた場合、アクセス コントロールをまず無効化してください。 次に、[コントロール パネル] > [セキュリティ] > [証明書]の順に進んで、更新したい Let's Encrypt 証明書のうちの1つを右クリックし、[証明書を更新]を選択してください。 証明書の更新後、アクセス コントロールを再度有効化できます。
ドメインからアプリケーションにアクセスする:
アプリケーション (File Station) にドメイン (file.example.com) を設定すると、次のフォーマットで URL を入力することでアプリケーションをすばやく開くことができます: http://APP_DOMAIN
または https://APP_DOMAIN
たとえば、次の URL で File Station にアクセスできます: http://file.example.com
または https://file.example.com
アプリケーション(例:File Station)のドメイン名(例:FileFile)が NetBIOS naming conventions に準拠する場合、Windows ユーザーの方は類似した URL で同一ローカル ネットワーク内にある Synology NAS 上のそれにアクセスすることができます: http://FileFile
または https://FileFile
ドメインに関する証明書および TLS/SSL プロファイル レベルを構成する方法:
アプリケーション (例えば、File Station) のドメインを構成後、[コントロール パネル] > [セキュリティ] > [証明書]の順に進んで、[構成]をクリックします。 次にApplication_Name - Domainのフォーマットのサービス名を見つけて、使用される証明書を構成します。
また、[コントロール パネル] > [セキュリティ] > [詳細設定] を選択し、[カスタム設定] をクリックします。 次にApplication_Name - Domainのフォーマットのサービス名を見つけて、使用される TLS/SSL プロファイル レベルを構成します。
例えば、File Station のドメインが file.example.com の場合、上記の2つの設定ページに進み、FileStation - file.example.com の名前の下にあるサービスを見つけて追加の構成をしてください。
アクセス コントロールのプロファイルを指定する方法:
アクセス コントロールのプロファイルをアプリケーション (例えば、File Station) にセットアップした後では、拒否されたユーザーはこの記事で言及された特定の URL を入力してもアプリケーションを開くことはできません。.
- [コントロール パネル] > [アプリケーション ポータル] > [アプリケーション]の順に進みます。
- アプリケーションを選択します。
- [編集] > [全般]の順に進みます。
- ポップアップ ウィンドウで[アクセス コントロールを有効化]をクリックしてアクセス コントロールのプロファイルを選択します。 アクセス コントロールのプロファイルを作成する方法の詳細は下記のアクセス コントロールのプロファイルのカスタマイズを参照してください。
- [OK]をクリックして、設定を保存します。
リバース プロキシ規則のカスタマイズ
DiskStation は、インターネットからローカル ネットワークのデバイスにリクエストを転送するリバース プロキシ サーバーとして機能させることができます。 リバース プロキシ規則を設定すると、次の 2 つのシナリオのように、可能性のある脅威から感度の高いポートを隠すことができます:
シナリオ 1: 感度の高いポートが 80 で、ファイアウォール規則に基づいて外部アクセスを許可すべきではないと仮定します。 リバース プロキシ規則を設定し、信頼できるユーザーが別のオープンポート(81 など)を使ってインターネットから感度の高いポート 80 にアクセスできるように許可することができます。 このようにすると、信頼できるユーザーはファイアウォールを迂回し、ポート 80 にアクセスすることが可能になります。
シナリオ 2: 感度の高いポートが 80 で、特定のデバイス(「MyTrustee」という名前のサーバーなど)以外からの外部アクセスを許可すべきではないと仮定します。 リバース プロキシ規則を設定すると、MyTrustee からのトラフィックのみポート 80 にアクセスでき、他のデバイスからのトラフィックはアクセスさせないようにすることができます。
リバース プロキシの規則を設定する:
- [コントロール パネル] > [アプリケーション ポータル] > [リバース プロキシ]の順に進みます。
- [作成] をクリックし、[全般]ページで次の設定を指定します。
- 説明: 規則機能を識別するのに役立つ名前を指定します。
- [ソース] (インターネットからリクエストを送信するデバイス) および [ディスティネーション] (ローカルネットワークのデバイス) に規則を指定します:
- プロトコル: ソース/ディスティネーションが使用する HTTP プロトコルまたは HTTPS プロトコル。
- ホスト名: ソース/ディスティネーション デバイスの名前
- ポート: ソース/ディスティネーション デバイスが使用するポート
- [HSTS を有効にする] と [HTTP/2 を有効にする] (ソースのみ)
- アクセス コントロールのプロファイルを指定するには、[アクセス コントロールを有効化] をクリックしてアクセス コントロールのプロファイルを選択します。 アクセス コントロールのプロファイルを作成する方法の詳細は下記のアクセス コントロールのプロファイルのカスタマイズを参照してください。
注:
- [作成]のドロップダウン メニューから[WebSocket]をクリックし、WebSocket 機能のヘッダーを高速作成して、リバース プロキシに WebSocket をサポートさせます。
- リバース プロキシの他の動作を調整するには、[詳細設定]ページに進んでください。
- プロキシ接続タイムアウト (秒): ターゲット サーバーにプロキシ接続の時間制限を設定します。
- プロキシ送信タイムアウト (秒): ターゲット サーバーにリクエストが送信されるプロキシの時間制限を設定します。
- プロキシ読み取りタイムアウト (秒): ターゲット サーバーの応答を待つためのプロキシの時間制限を設定します。
- プロキシ HTTP バージョン: プロキシ サーバーとターゲット サーバー間で通信するために使用せれる HTTP バージョンを選択します。
- ターゲット サーバーから送り返されたエラー ページを使用: ターゲット サーバーがエラー HTTP コードを送り返した場合、このオプションにチェックを入れた後でターゲット サーバーのウェブ エラー ページが表示されます。 そうでない場合、DiskStation エラー ページが表示されます。
- [OK]をクリックして、設定を保存します。
アクセス コントロールのプロファイルのカスタマイズ
ユーザーのソース IP に従って、アプリケーション ポータルやリバース プロキシへのユーザー アクセスを制限したい場合は、アクセス コントロールのプロファイルを作成してください。 拒否されたユーザーにはアクセスが拒否されたページが表示されます。
アクセス コントロールのプロファイルを作成する方法:
- [コントロール パネル] > [アプリケーション ポータル] > [アクセス コントロールのプロファイル]の順に進みます。
- [作成]をクリックします。 ポップアップ ウィンドウでこの新しいプロファイルの規則をカスタマイズできます。
- [作成] をクリックして、新しい規則を作成します。 規則は上位から下位への優先順位で適用され、アクセス権限を決定します。
- 編集する規則をダブルクリックします。 規則を削除するには、削除する規則を選択して[削除]をクリックします。
- [OK]をクリックして規則のリストを新しいプロファイルとして保存します。
- プロファイルの名前のフィールドをクリックして名前を変更します。
注:
- ソースのホスト名を空白にすると、規則はすべてのソースに適用されます。
- Let's Encrypt が発行する証明書でアクセス コントロールを有効化できる場合、それが証明書の自動更新の不具合につながることがあります。 これが生じた場合、アクセス コントロールをまず無効化してください。 次に、[コントロール パネル] > [セキュリティ] > [証明書]の順に進んで、更新したい Let's Encrypt 証明書のうちの1つを右クリックし、[証明書を更新]を選択してください。 証明書の更新後、アクセス コントロールを再度有効化できます。
- ホワイトリストの適用を希望する場合、許可されたソースに関する規則を作成する他に拒否されたソースに関する規則をセットアップして、規則を有効化する必要があります。
例えば、http://192.168.xx.xx
のみが許可されている場合、以下を行う必要があります。
- 許可されたソースとして
http://192.168.xx.xx
を追加します。
- 新しい規則を追加し、それを「拒否」として設定します。