登录门户 (Login Portal) 定制指南

你是不是每次都在浏览器里输入 192.168.1.100:5000 登录 NAS？这太原始了。登录门户 (Login Portal) 可以让你用 nas.com 或 nas.com/file 这种优雅的方式访问。

1. 别名设置 (Alias)

这是最简单的“内网穿透”技巧。

场景：
- 以前：File Station 是 http://192.168.1.100:7000 (需要单独记端口)。
- 现在：只要记住 http://192.168.1.100/file。
设置：
- 控制面板 > 登录门户 > 应用程序。
- 双击 File Station > 别名 > 输入 file。
- 注意：你还可以设置 photo, audio, video, drive 等。
优点：不需要开通防火墙端口，只要 80/443 通了就能访问所有套件。

如果你有公网 IP 和域名，想让每个套件都有专属域名。

场景：
- DSM: dsm.yourdomain.com
- Photos: photo.yourdomain.com
- Drive: drive.yourdomain.com
设置：
- 控制面板 > 登录门户 > 应用程序。
- 双击 Synology Photos > 自定义域名 > 输入 photo.yourdomain.com。
- 注意：这会自动配置反向代理，你不需要再去“反向代理服务器”里手动设置。证书也会自动匹配。
HSTS (HTTP Strict Transport Security)：
- 勾选：强制浏览器只使用 HTTPS 访问。这能防止中间人攻击，特别是你在公共 WiFi 下登录时。

虽然这不影响功能，但既然是你的私人云，就要有你的风格。

这是企业级的安全功能，但家庭用户也很有用。

场景：
- 只想让内网访问 DSM 管理界面，公网只能访问 File Station。
- 禁止某些 IP 段访问特定的套件。
设置：
- 控制面板 > 登录门户 > 高级 > 访问控制配置文件。
- 新增：创建一个名为“仅限内网”的规则。
- 规则：允许 192.168.1.0/24，拒绝所有。
- 应用：回到 应用程序 标签页，双击 DSM，在 访问控制配置文件 中选择“仅限内网”。
效果：现在即使你有公网 IP，黑客也无法从外网打开你的 DSM 登录页，但你可以通过 VPN 连回家后再访问。

这是 Login Portal 最强大的隐藏功能，用于让 Docker 容器也能拥有优雅的域名。

路径：控制面板 > 登录门户 > 高级 > 反向代理服务器。
场景：
- 以前：访问 Jellyfin 需要输入 http://nas-ip:8096。
- 现在：配置反向代理后，访问 https://movie.yourdomain.com 即可。
优势：
- 端口复用：所有服务共用 443 端口，无需在路由器映射一堆乱七八糟的端口。
- 安全性：配合证书和 HSTS，全站 HTTPS 加密。
详细教程：请参考反向代理与 HTTPS。

自动注销 (Auto Logout)：
- 路径：控制面板 > 安全性 > 常规 > 自动注销计时器。
- 建议：设置为 15 分钟。如果长时间不操作，自动登出，防止被他人利用。
忽略 IP 检查：
- 路径：控制面板 > 安全性 > 安全性 > 忽略 IP 检查。
- 场景：如果你在公司通过多层代理访问 NAS，IP 可能会频繁变动导致被迫登出。此时勾选此项可保持会话稳定。
HTTP -> HTTPS 重定向：
- 路径：控制面板 > 登录门户 > DSM。
- 勾选 自动将 HTTP 连接重定向到 HTTPS。
- 注意：这会占用 80 端口（用于跳转）。如果你的 80 端口被封或被 Web Station 占用，此功能可能失效。

Q: 为什么用 IP 访问 HTTPS 会报红？
- A: 因为 SSL 证书是颁发给域名的，不是颁发给 IP 的。浏览器发现证书上的名字 (yourdomain.com) 和你访问的地址 (192.168.x.x) 不一致，就会报警。
- 解法：在内网也使用域名访问（配合 DNS Server 或 hosts 文件），或者手动添加信任（不推荐）。
Q: 设置了别名 /file 打不开？
- A: 检查是否开启了 Web Station。如果 Web Station 占用了 80/443 端口，Login Portal 的别名可能会冲突。建议尽量使用自定义域名或不同端口。