【NAS分享】手動設定 Firewall Port Forwarding

現在 NAS 愈來愈普及, 而欲將 NAS 上眾多的服務 '公開' 於 Internet 上時, 此時就必須在 Firewall (router, IP 分享器...) 上做 Port Forwarding (又稱 port mapping, port redirection, virtual server...), 雖然不少 NAS 廠商已經在 NAS 上提供所謂的自動設定 UPnP 路由器的功能, 但當遇到 Firewall 不支援 UPnP 或是一直無法找到連線問題時, 手動設定 Firewall 上 Port forwarding 應該是較建議的做法.

到底要在 firewall 開什麼 port
這是 User 第一個會遇到的問題, NAS 提供的服務 (service) 非常多, 到底我要在 Firewall 開什麼 Port? 這部份可以查閱 NAS 手冊上的 '常見服務清單', 針對你所需要的 service, 在 Firewall 上做設定, 此處僅以 QNap & Synology NAS 為例.

QNap:
登入 WEB 管理界面 > MyCloudNAS 服務 > 自動設定路由器, 此處系統即會根據你所開啟的 NAS service, 列出所有必須開啟的 port number, 而這個表也是手動設定 firewall port forwarding 所需參照的, 但請注意, 有些 service 你並不對外公開, 那麼這些 service port number 就不需要在 firewall 上設定, 例如: telnet or ssh 僅限在 LAN (內網) 使用, 那麼就不要將它設在 firewall 上, 一個簡單的法則, 在 Internet 只公開必要的 service.



Synology:
登入 DSM 管理界面 > 控制台 > 路由器配置 > 新增 > 內建應用程式, 出現下列的畫面, 這就是 Synology NAS service 在 firewall 上所需要開啟的 port forwarding 資訊. 不過在 Synology 並未明確標出 TCP or UDP 協定, 通常只在 '通訊協定' 一欄加註, 如果未特別註明 UDP 協定, 一般預設都是 TCP.


慎用 NAS 自動設定路由器功能
Synology NAS 上除了自動設定 UPnP 路由器功能外, 另外在控制台 '路由器配置' 上, 提供自動設置路由器功能, 這是一項貼心的設計, 但此處建議網友在使用上要非常小心, 由於此功能對於 Firewall 的機型及 firmware 版本非常 '挑剔', 主要是它利用 script 方式 '模擬' 登入路由器, 以程式 '手動' 加入 firewall 設定值, 如果你的 firmware 版本不符, 就可能發生設定錯誤, 甚至於將自己手動設定的 rule 覆蓋掉的情況發生, 此處小弟的建議是: 除非你看了這篇說明, 還是不曉得如何手動設定 port forwarding, 而且你的 Firewall 也不支援 UPnP, 又很碰巧你的路由器機型在 '自動設定路由器' 列表上, 不然還是少用為妙.

Firewall (IP分享器) 的設定
Firewall 百百種, 無法詳細解說, 但此處還是大致說明一些常見路由器上的 port forwarding 的作法. 通常在 Firwall 上找一下 'port forwarding', 'port redirection', 'port mapping', '連接埠轉發', 'NAT' or 'virtual server' 這些 keyword, 這就是我們欲設定的功能.

居易 Draytek Vigor 系列:
Vigor 是小弟較常使用的 firewall, 主要是它提供非常詳盡的 log 及即時流量, 對於要抓出網路上異常連線提供很好的協助. 此處以英文版的 firmware 說明.

同前, 假設欲於 Internet 上 開啟 QNap NAS WFM(網頁檔案總管) 功能, 於前面說明可得知必須在 firewall 上開啟 8080 port. 那麼設定如下:

NAT > Port Redirection,


此處可以做一些變化, 例如為了安全性考量, 我們可以將 'Public Port' 從眾所週知的 8080 改為 '5678', 這樣從外面連上網頁檔案總管時, 我們只要在 server IP 後面加上 :5678 port number, 這樣在安全性會再好一些.

在 Vigor router 上另外也可以用 'Open Ports' 來設定 port forwarding. 這適合同一台 NAS 對外開放的 service 較多時.


DLINK DIR-655:
在 DLINK DIR-655 上可以透過 Virtual Server & Port Forwarding 兩種方式來做, 主要的差別是 Virtual Server 僅能設定單一 port number, 而 Port forwarding 在同一條 rule 裡面可以設定多個 port number or port range.

virtual server(取自 D-LINK 手冊)


port forwarding(取自 D-LINK 手冊)


大部份的 IP 分享器及 firewall 在 Port forwarding 設定上都大同小異. 自己手動設定 Firewall port forwarding 能夠更了解所開放的 NAS service 為何, 當發生連線問題時也更容易找到問題點.

其他資源
Synology service port list
Tomato port forwarding