Kategória: Synology

Nincsenek hozzászólások

Hogyan integráltam az UptimeRobotot a Synology tűzfallal úgy, hogy a biztonság is megmaradjon

  Szerző: ,

Régi problémám volt, hogy a Synology NAS-okon szigorú, ország alapú (GeoIP) tűzfalat használok, miközben az UptimeRobotnak is el kell érnie a DSM webfelületét és pingelnie kell a szervert. Ez elsőre ellentmondásnak tűnik: hogyan engedjek be egy rakás külföldi IP-t úgy, hogy közben a tűzfal továbbra is mindent tiltson, ami nem kell?

Ebben a bejegyzésben leírom, hogyan oldottam meg ezt két Synology NAS-on (köztük egy DS220+ készüléken), úgy, hogy:

  • az UptimeRobot minden monitorja stabilan zöld marad,
  • a DSM tűzfal továbbra is csak Magyarországról (és adott esetben még néhány országból) enged be forgalmat,
  • a megoldás reboot-álló, azaz újraindítás után automatikusan visszaállnak a szabályok.

Kiindulási helyzet: DSM tűzfal, GeoIP és UptimeRobot

A DSM beépített tűzfala alapból jól használható, de két fontos korlátja van:

  • Nem kezel IP-listákat dinamikusan (pl. UptimeRobot IP-k hosszú listája).
  • Reboot vagy Docker indulása után a belső iptables struktúrák változhatnak, ezért ha kézzel piszkáljuk, az nem tartós.

A saját NAS-aimon a tűzfal úgy néz ki, hogy az egyedi láncok (INPUT_FIREWALLFORWARD_FIREWALL) végén van egy olyan szabály, ami csak bizonyos országkódokat enged (pl. GB,HU), utána pedig egy végső DROP. Ez szuper biztonságos, de az UptimeRobot szerverei jellemzően több országból, különböző IP-tartományokból érkeznek.

A cél tehát az volt, hogy:

  • Az UptimeRobot IP-k kapjanak RETURN szabályt a lánc elején (icmp + TCP 5000/5001),
  • Minden más csak a GeoIP-szabályon keresztül mehessen,
  • Ezeket a plusz szabályokat automatikusan visszatöltsük minden reboot után.

1. UptimeRobot IP-k beépítése a mentett iptables szabályokba

Először kellett egy stabil, „referencia” iptables konfiguráció, amibe bele lehet injektálni az UptimeRobot IP-ket.

A lépések nagy vonalakban:

  1. Készítettem egy mentést a jelenlegi iptables szabályokról egy fájlba (fw-before-uptimerobot.rules).
  2. Ebbe a fájlba, a *filter táblán belül, az INPUT_FIREWALL és FORWARD_FIREWALL lánc végénél beszúrtam az UptimeRobot kommenteket és a hozzájuk tartozó szabályokat, például:bash# UptimeRobot – 3.12.251.153 -A INPUT_FIREWALL -s 3.12.251.153/32 -p icmp -j RETURN -A INPUT_FIREWALL -s 3.12.251.153/32 -p tcp -m multiport --dports 5000,5001 -j RETURN -A FORWARD_FIREWALL -s 3.12.251.153/32 -p icmp -j RETURN -A FORWARD_FIREWALL -s 3.12.251.153/32 -p tcp -m multiport --dports 5000,5001 -j RETURN Ugyanez a minta ismétlődik végig az összes UptimeRobot IP-re.
  3. Ügyeltem rá, hogy ezek a szabályok a GeoIP RETURN és a DROP elé kerüljenek, hogy az UptimeRobot sose essen bele a tiltásba.

Ezzel lett egy „golden” rules fájlom (fw-uptimerobot-stable.rules), amiben a filter tábla már tartalmazza az UptimeRobot számára szükséges engedélyeket.

2. Csak a filter tábla kivágása: fw-uptimerobot-filter.rules

Nem akartam az egész iptables állapotot visszatölteni, csak a filter táblát, azon belül is a saját láncokat érintő részeket. Ehhez egy egyszerű awk parancsot használtam, amivel a *filter és a hozzá tartozó COMMIT közötti rész került egy külön fájlba:

bashawk '
  $0 ~ /^\*filter/ {p=1; print; next}
  $0 ~ /^COMMIT/ && p==1 {print; exit}
  p==1 {print}
' /root/fw-uptimerobot-stable.rules > /root/fw-uptimerobot-filter.rules

Ellenőrzésként egy head és egy tail:

bashhead -n 20 /root/fw-uptimerobot-filter.rules
tail -n 20 /root/fw-uptimerobot-filter.rules

A végeredményben:

  • fent látszanak a láncdefiníciók (:INPUT_FIREWALL - [0:0], stb.),
  • lent a sok # UptimeRobot – ... komment és a hozzájuk tartozó -A INPUT_FIREWALL / -A FORWARD_FIREWALL sorok,
  • végén a GeoIP szabály és a DROP.

3. restore-iptables.sh: a varázsscript, ami mindent visszaállít

A kulcs a tartóssághoz egy kis shell script lett, amelyet a NAS bootolás után automatikusan futtatok. A script feladata:

  • várni egy kicsit, amíg DSM és Docker teljesen feláll;
  • kiüríteni az INPUT_FIREWALL és FORWARD_FIREWALL láncokat;
  • soronként visszatölteni csak azokat a szabályokat, amelyek ezekre a láncokra vonatkoznak (beleértve az UptimeRobot IP-ket).

A script tartalma:

bash#!/bin/sh

# 120 mp várakozás, hogy DSM + Docker felálljon
sleep 120

RULES_FILE="/root/fw-uptimerobot-filter.rules"

if [ -f "$RULES_FILE" ]; then
    # 1) Kiürítjük a saját láncokat az élő táblában
    /sbin/iptables -F INPUT_FIREWALL
    /sbin/iptables -F FORWARD_FIREWALL

    # 2) Csak az INPUT_FIREWALL / FORWARD_FIREWALL sorokat adjuk hozzá soronként a mentett rules-ból
    grep '^-A INPUT_FIREWALL '   "$RULES_FILE" | while read line; do /sbin/iptables $line; done
    grep '^-A FORWARD_FIREWALL ' "$RULES_FILE" | while read line; do /sbin/iptables $line; done
fi

exit 0

A scriptet elmentettem ide:

bash/usr/local/bin/restore-iptables.sh
chmod +x /usr/local/bin/restore-iptables.sh

Kézi teszthez csak futtatni kell:

bash/usr/local/bin/restore-iptables.sh &

sleep 120 miatt kell egy kis türelem, de utána az iptables -L INPUT_FIREWALL -n -v | head és az iptables -L FORWARD_FIREWALL -n -v | head már szépen mutatja az UptimeRobot IP-ket a láncok elején.

4. Automatizálás: DSM Feladatütemező

Hogy rebootok után is minden magától helyreálljon, a DSM Feladatütemezőben hoztam létre egy új feladatot:

  • Típus: Felhasználó által megadott script.
  • Futó felhasználó: root.
  • Ütemezés: Indításkor (system boot után).
  • Parancs:bash/usr/local/bin/restore-iptables.sh

Nem kötelező a &, mert a scriptben benne van a sleep 120, ettől függetlenül a rendszer ettől nem „akad meg”, a feladat simán lefut a háttérben.

Ezt a megoldást több NAS-on is ugyanazzal a logikával alkalmaztam (köztük egy DS220+), így mindenhol egységes:

  • UptimeRobot gond nélkül éri el a NAS-t pinggel és a DSM portokon,
  • a GeoIP-alapú ország szűrés és a többi tűzfalszabály változatlanul éles,
  • reboot után sem kell kézzel „igazítani” az iptables beállításokon.

Összegzés

Ez a megoldás egy praktikus kompromisszum a monitorozhatóság és a biztonság között:

  • A DSM saját tűzfalát használja, nem „tapossa szét” a Synology logikáját.
  • Az UptimeRobot IP-k külön, átlátható blokkban vannak, könnyen frissíthetők.
  • restore-iptables.sh és a Feladatütemező gondoskodik arról, hogy az egész konfiguráció tartós legyen.

Ha te is erősen szűrt, GeoIP-alapú tűzfalat használsz Synology NAS-on, és közben szeretnéd UptimeRobottal monitorozni a DSM-et (ping + webfelület), ez a módszer bevált, stabil és viszonylag egyszerűen karbantartható.

Nincsenek hozzászólások

Synology: DSM 7.2.2-72806 4. frissítés

  Szerző:

On July 25, 2025, Synology released a new DSM version called DSM 7.2.2-72806 Update 4.

Version: 7.2.2-72806 Update 4

(2025-07-24)

Important notes

  1. Your Synology NAS may not notify you of this DSM update because of the following reasons. If you want to update your DSM to this version now, please click here to update it manually.
    • The update is not available in your region yet. The update is expected to be available for all regions within the next few days, although the time of release in each region may vary slightly.
    • Your DSM is working fine without having to update. The system evaluates service statuses and system settings to determine whether it needs to update to this version.
  2. This update will restart the device.

Fixed Issues

  1. Fixed a security vulnerability regarding SDK library (CVE-2025-8024).
  2. Fixed multiple security vulnerabilities.

Nincsenek hozzászólások

Mi a teendő, ha „a fájl használatban van, vagy a hozzáférés megtagadva” üzenet jelenik meg a Synology Drive Client szinkronizálása közben?

  Szerző:

„A fájl nem szinkronizálható, mert használatban van, vagy a hozzáférés megtagadva” üzenet jelenik meg a Synology Drive Clientben végzett fájlok szinkronizálása közben.

1.png

Módosítsa a fájl vagy mappa engedélybeállításait a számítógépen

A fájlok vagy mappák nem szinkronizálhatók, ha más alkalmazások használják őket, vagy ha nem rendelkezik megfelelő jogosultságokkal. Próbálja ki a következő módszereket a probléma megoldásához.

Windowshoz

  • Kattintson a jobb gombbal a fájlra vagy mappára a Windows Fájlkezelőben, válassza a Tulajdonságok lehetőséget , törölje a jelet a Csak olvasható jelölőnégyzetből, és próbálja meg újra a szinkronizálást.
  • Győződjön meg arról, hogy jelenlegi Windows felhasználói fiókja teljes írási-olvasási engedéllyel rendelkezik a Synology Drive Client helyi mappájához. A mappa engedélybeállításainak módosításához tekintse meg ezt a cikket . 1
  • A LockHunter segítségével megtudhatja, melyik alkalmazás használja a fájlt. Letöltheti és többet megtudhat a LockHunterről a webhelyéről .

Machez

  • Győződjön meg arról, hogy jelenlegi Mac felhasználói fiókja teljes írási-olvasási engedéllyel rendelkezik a Synology Drive Client helyi mappájához. A mappa engedélybeállításainak módosításához tekintse meg ezt a cikket .
  • Győződjön meg arról, hogy a Synology Drive Client teljes lemezhozzáférési engedéllyel rendelkezik a Rendszerbeállítások > Biztonság és adatvédelem > Adatvédelem > Teljes lemezhozzáférés menüpontban .
    2.png

Ubuntuhoz

  • Győződjön meg arról, hogy jelenlegi felhasználói fiókja teljes írási-olvasási engedéllyel rendelkezik a Synology Drive Client helyi mappájához. A mappa engedélybeállításainak módosításához tekintse meg ezt a cikket .

Adja hozzá a Synology Drive Client programot a víruskereső program engedélyezési listájához

Ha meg szeretné akadályozni, hogy a víruskereső mechanizmusok zárolják a fájlokat, adja hozzá a Synology Drive Client programot és a szinkronizálási mappát a víruskereső program engedélyezési listájához.

Kerülje el ugyanazon fájlok egyidejű szerkesztését a szerveren és az asztali segédprogramban

Egyes alkalmazások zárolhatnak egy fájlt, amikor a fájlt megnyitják és elérik a kiszolgálóról, ami a Synology Drive Client segítségével történő szinkronizálás meghiúsulását okozhatja.

Ha több felhasználónak 2 szeretné engedélyezni, hogy szerkeszthesse ugyanazt a fájlt, amelyet szinkronizálnak, győződjön meg arról, hogy minden felhasználó ugyanarról a csatlakozási módról éri el (pl. csak a Synology Drive Client segítségével vagy csak a szerveren SMB-n keresztül).

Kerülje a folyamatosan elérhető fájltípusok szinkronizálását

Egyes fájlok természetükből adódóan folyamatosan elérhetők, például naplófájlok, virtuális lemezek és adatbázisok. Nem javasoljuk az ilyen fájlok szinkronizálását, mivel a Synology Drive Client segítségével történő szinkronizálás valószínűleg sikertelen lesz. A szinkronizálási probléma elkerülése érdekében próbálkozzon az alábbi módszerek valamelyikével.

  • Számítógépén helyezze át a szinkronizáláshoz nem ajánlott fájltípusokat a szinkronizálási mappából. Alternatív megoldásként válasszon másik helyi mappát a szinkronizálási feladathoz.
  • Állítsa be számítógépén a szinkronizálási szabályokat a Synology Drive Client alkalmazásban.
    1. Nyissa meg Synology Drive Clientjét, lépjen a Feladatok szinkronizálása elemre , válasszon ki egy feladatot, majd kattintson a Szinkronizálási szabályok > Fájlszűrő elemre a kizárt fájltípusok megtekintéséhez. Ha például nem szeretné, hogy az ios fájlkiterjesztés szinkronizálva legyen, írja be a *.ios karakterláncot a beviteli mezőbe, és kattintson a ” + ” gombra, hogy hozzáadja a listához.
      3.png
    2. Nyissa meg a Synology Drive Client alkalmazást, lépjen a Szinkronizálási szabályok > Mappa menüpontra , és jelölje be a Mappaalapú szelektív szinkronizálást . Csak az itt bejelölt mappák szinkronizálódnak.
      4.png
  • A Synology NAS-on állítsa be a felhasználói szinkronizálási profilokat a Synology Drive felügyeleti konzoljában. 3
    • Jelentkezzen be a DSM-be, indítsa el a Synology Drive felügyeleti konzolt, kattintson a Beállítások > Felhasználói szinkronizálási profilok elemre , válasszon profilt, majd kattintson a Szerkesztés gombra . Ha fiókja szerepel az Alkalmazott felhasználók listáján, akkor a profil fájlszűrő szabályai vonatkoznak majd a fiókjára.
      5.png

Lépjen kapcsolatba a műszaki támogatással

Ha a fenti módszerek mindegyike sikertelen, forduljon a Synology műszaki támogatásához . Ehhez be kell jelentkeznie Synology-fiókjába. Ahhoz, hogy a Synology diagnosztizálhassa a problémát, győződjön meg arról, hogy tartalmazza a rendszernaplófájljait, a Synology Drive Client naplóját, valamint körülbelül 1-5 olyan fájl elérési útját és fájlnevét, amelyek nem szinkronizálhatók.

A Synology NAS rendszernaplófájlok beszerzése:

  1. Jelentkezzen be a DSM-be a rendszergazdák csoportjához tartozó fiókkal.
  2. Lépjen a Főmenü > Támogatási központ > Támogatási szolgáltatások menüpontra .
    • DSM 5.x és 6.x esetén: A Napló generálás alatt jelölje be a Rendszer és Synology Drive Server jelölőnégyzetet , kattintson az Alkalmaz gombra , majd kattintson a Naplók generálása elemre .
    • DSM 7.0 és újabb verziók esetén: A Napló generálás alatt jelölje be a Synology Drive Server jelölőnégyzetet , kattintson az Alkalmaz gombra , majd kattintson a Naplók generálása elemre .

Synology Drive Client naplók beszerzése:

  1. Számítógépén nyissa meg a Windows rendszertálcáját vagy a Mac menüsorát, és kattintson egyszer a bal gombbal a Synology Drive Client ikonra. Kattintson a jobb alsó sarokban lévő ellipszisre, és lépjen a Hibaelhárítás > Diagnosztikai napló exportálása menüpontra .
  2. A naplók lekéréséhez kattintson az Exportálás gombra . Alapértelmezés szerint a naplók a letöltési mappába kerülnek.
Nincsenek hozzászólások

Synology Photos Mobile Widget iOS-en

  Szerző:

A Photo Widget beállítása

A fénykép widget segítségével újraélheti emlékeit telefonja kezdőképernyőjén.

Fotó widget létrehozása:

  1. Érintse meg hosszan a kezdőképernyőt. Koppintson a Szerkesztés > Widget hozzáadása elemre .
  2. Keressen a Photos Mobile alkalmazásban , és adja hozzá a fénykép widgetet.
  3. Kövesse a varázslót a megfelelő widgettípus és megjelenítendő album kiválasztásához.
  4. Érintse meg a Widget hozzáadása lehetőséget , hogy hozzáadja a kezdőképernyőhöz.

Ha a későbbiekben módosítani szeretné a widget beállításait, érintse meg és tartsa lenyomva a widgetet.

Jegyzet:

Nincsenek hozzászólások

Nézze meg a kötethasználatot

  Szerző:

A Használati részletek valós időben jeleníti meg a kötethasználatot. Az információk alapján meghatározhatja, hogy mely szolgáltatások foglalják el a legtöbb helyet, és olyan műveleteket hajthat végre, mint például a szükségtelen fájlok eltávolítása vagy a kötet méretének bővítése.

Mielőtt elkezded

  • A használati részletek csak a Btrfs fájlrendszerben lévő köteteknél engedélyezhetők.
  • A használati adatok csak akkor engedélyezhetők (vagy tilthatók le), ha a kötet az alábbi állapotok valamelyikében van:
    • A kötet állapota Egészséges.
    • A kötet állapota Figyelmeztetés , mert nincs elegendő kapacitás.
  • A használati részletek alapértelmezés szerint engedélyezve vannak a DSM 7.0 és újabb verziójában létrehozott köteteknél. Ha a kötetet egy korábbi DSM-verzióban hozta létre, manuálisan kell engedélyeznie ezt a lehetőséget, miután frissítette a rendszert a DSM 7.0-ra.

Engedélyezze és tekintse meg a használati részleteket

A kötet használati adatainak engedélyezése:

  1. Nyissa meg a Tárhelykezelő > Tárhely menüpontot.
  2. Kattintson a konfigurálni kívánt Btrfs-kötet jobb felső ikonjára.
  3. Válassza a Beállítások lehetőséget.
  4. Lépjen a Használati részletek szakaszba, és jelölje be a Használati részletek elemzésének engedélyezése jelölőnégyzetet.
  5. A megerősítéshez kattintson a Mentés gombra.

Jegyzet:

  • A használati adatok engedélyezése átmenetileg befolyásolhatja a rendszer teljesítményét. Például a rendszer teljesítménye 3–10%-kal csökkenhet a releváns szolgáltatások mennyiségi felhasználásának elemzésekor.

Egy kötet használati adatainak megtekintéséhez:

  1. Nyissa meg a Tárhelykezelő > Tárhely menüpontot.
  2. Kattintson a megtekinteni kívánt Btrfs-kötet jobb felső ikonjára, és válassza a Használati részletek lehetőséget.
    Megjegyzés: A Használat részletei lehetőség csak akkor kattintható, ha a kötet a „Mielőtt elkezded” részben említett állapotban van.
  3. Használati részletek ablakban megtekintheti a kötet teljes és elérhető kapacitását, valamint a használat szolgáltatásonkénti bontását. Ezek a szolgáltatások magukban foglalják:
    • Megosztott mappa
    • Hibrid megosztási mappa
    • LUN/VMM
    • Synology Drive adatbázis
    • Pillanatkép
    • Egyéb (pl. rendszer- és csomagkonfigurációs fájlok és felhasználói adatok)
Nincsenek hozzászólások

A Storage Manager azt mutatja, hogy a tárhelyhasználatom magasabb a vártnál. Mit tehetek?

  Szerző:

Ha a tárhelyhasználat a vártnál magasabb, érdemes ellenőrizni, hogy mi foglalja el a legtöbb tárhelyet, és tegyen intézkedéseket a tárhely felszabadítására.

Például az általános tárhelyhasználat magas annak ellenére, hogy az összes megosztott mappa és LUN együttesen nem foglalnak el sok tárhelyet.

1. Ellenőrizze a kötet-használatot (csak a DSM 7.0 és újabb verziókra vonatkozik)

Tekintse meg kötete használati adatait , hogy megtudja, hogy a következő szolgáltatások bármelyike ​​jelentős mennyiségű helyet foglal-e el:

  • Megosztott mappa
  • Hibrid megosztási mappa
  • LUN/VMM
  • Synology Drive adatbázis
  • Pillanatkép
  • Egyéb (pl. rendszer- és csomagkonfigurációs fájlok és felhasználói adatok)

2. Ellenőrizze az alkalmazásokat és a szolgáltatásokat

Az alábbiakban felsoroljuk azokat a lehetséges alkalmazásokat és szolgáltatásokat, amelyek nagy tárhelyet foglalhatnak el:

  • Synology Drive vagy Cloud Station
  • Pillanatkép replikáció
  • Download Station
  • Active Backup for Business
  • Lomtárak (megosztott mappák)
  • Hyper Backup

3. Ellenőrizze, hogy nincsenek-e szokatlanul nagy mappák

Ellenőrizze, hogy valamelyik mappája nem tartalmaz-e nagy mennyiségű adatot:

  1. Jelentkezzen be Synology NAS-jába SSH-n keresztül. ( oktatóanyag )
  2. Futtassa a következő parancsot a célkötet eléréséhez:cd /volumeX
    • Az „X” a kötet nevét jelöli. Ha például a célkötet „1. kötet”, írja be a „cd /kötet1” parancsot.
  3. Futtassa a „du” parancsot:  du -h -d1 | sort -h -r
  4. Használja a következő információkat az eredmények megértéséhez, és keresse meg a nagy mennyiségű adatot tartalmazó mappákat:
    • @synologydrive/@cloudstation: A Synology Drive-hoz vagy a Cloud Stationhöz tartozó megosztott mappa.
    • @sharesnap: Megosztott mappák pillanatképei.
    • @iSCSI: LUN pillanatképek.
    • @download: A Download Stationhöz tartozó megosztott mappa.
    • @ActiveBackup: Az Active Backup for Business-hoz tartozó megosztott mappa.
    • @img_bkp_cache: A Hyper Backup 7- hez tartozó megosztott mappa