• EN
Question

La dirección IP [xxxx ha sido bloqueada por NAS mediante SMB

S
Userlevel 2

Buenos días.. tengo una NAS en una ubicación externa a las instalaciones pero no dispongo de cortafuegos en esa red así que últimamente no paro de recibir avisos de bloqueos de IP. La nas la enciendo y apago sólo para las copias.. 

Decidí en su día dejarla en esa ubicación por tener una copia fuera de la zona de trabajo pero me estoy planteando traerla a y ubicarla dentro de la red junto a las otras por que así estará con el cortafuegos.

Alguna opinión o sugerencia?¿ Tengo doble factor para acceder a la NAS pero me da que esto no se aplica a sMB..?¿

Gracias

7 comments

E
Userlevel 2
Badge

Buenas @SPagola ,

 

Todas las NAS tienen IPTables si te conectas por SSH a la NAS podras generar una regla de acceso a los puertos del SMB para solo permitir los accesos desde tus IP.

 

Si es una NAS Synology o QNAP esto se puede realizar desde el panel web.

 

El doble factor NO aplica a los protocolos, solamente a la GUI.

 

Un saludo,

 

Manuel Rios - easydatahost.com
S
Userlevel 2

Si he filtrado para que sólo admita mi IP como conexión y rechace las demás pero me da miedo que por fuerza fruta acaben entrando.. no se si poner alguna contramedida más.

Gracias

HunterLAFR
Userlevel 7
Badge +8

Hola,

El tema de exponer puertos / accesos SMB así, aunque tengas control de IPs y tal, no me gusta demasiado.
Tienes otras opciones de conectividad, si no dispones de Cortafuegos donde se encuentra el Synology, puedes habilitarle con VPN, o bien que él sea el server, o que se conecte al sitio central por VPN, 

o mirar un servicio de VPN tipo TailScale.

Siempre es bueno tener una copia fuera de las instalaciones.
Por último, no se cuantos TBs de informacion estás guardando, ni retención, ni nada, pero sino un servicio de almacenamiento externo Cloud, o Veeam Cloud Connect, podría ser otra alternativa, eliminando el coste y la gestión del Synology, y el uso de esa segunda conexion a internet.

https://tailscale.com/kb/1131/synology/

https://www.synology.com/en-global/dsm/packages/Tailscale

saludos.

Luis F.- HunterLF - HunterLAFR - lfconsulting.org
E
Userlevel 2
Badge

Si he filtrado para que sólo admita mi IP como conexión y rechace las demás pero me da miedo que por fuerza fruta acaben entrando.. no se si poner alguna contramedida más.

Gracias

La fuerza bruta dependerá de tu contraseña, del nivel de actualizaciones que tengas en tu NAS y si tienes activado el bloqueo tras varios intentos.  Como dicen @HunterLAFR  , puedes habilitarle la VPN pero creo que vas a tener bastantes limitaciones en cuanto al performance al enviar/recibir el trafico.

Manuel Rios - easydatahost.com
S
Userlevel 2

Pero si pongo una vpn la NAS, el pc-veam se podrá conectar sin más?¿ o tendré que dejar activa la vpn de el pc donde lanzo el veam?¿

gracias

HunterLAFR
Userlevel 7
Badge +8

En el caso de VPN desde tu red donde está el Servidor Veeam y el sitio donde está el Synology, puedes hacer que el propio Synology sea cliente de la VPN, por tanto, no es un Site to Site, sino un Cliente.

En el caso de Tailscale, tienes que instalar el agente en el servidor Veeam y el el NAS, y se crea una red virtual VPN entre ambos, permitiendo la comunicación entre el NAS y el Veeam Server.

Debes tener en cuenta, como bien dijo @edh que el rendimiento en cuanto a velocidad de transferencia bajará por ser VPN, y no conexion directa, pero estará algo más securizado.

te dejo un par de entradas donde hice unas pruebas con Tailscale para que eches un ojo

saludos

Luis F.- HunterLF - HunterLAFR - lfconsulting.org
S
Userlevel 2

Genial.. muchas gracias por vuestra ayuda..

Comment


Terms & Conditions