DSM(DiskStation Manager)是群晖(Synology)NAS设备的管理系统,其正常运行需依赖特定网络端口的开放。以下是 DSM服务所需的核心端口及配置指南,涵盖基础访问、文件传输、远程服务等场景:
一、基础访问与控制端口
服务 | 端口 | 协议 | 说明 |
DSM Web管理界面 | 5000 | TCP | HTTP默认端口(建议关闭,使用HTTPS) |
5001 | TCP | HTTPS默认端口(推荐开启) | |
SSH远程管理 | 22 | TCP | 用于命令行管理NAS(建议限制IP访问) |
Telnet | 23 | TCP | 传统远程登录(不推荐启用) |
二、文件传输与共享端口
服务 | 端口 | 协议 | 说明 |
SMB/CIFS | 137-139, 445 | TCP/UDP | Windows文件共享(需开放所有端口) |
AFP(Apple文件协议) | 548 | TCP | macOS文件共享(DSM 7.0后默认禁用) |
FTP | 20, 21 | TCP | 主动模式(21控制,20数据传输) |
SFTP | 22 | TCP | 基于SSH的安全文件传输 |
NFS | 111, 2049 | TCP/UDP | Unix/Linux文件共享(需同时开放RPC端口) |
WebDAV | 5005 (HTTP) | TCP | 基于HTTP的WebDAV服务 |
5006 (HTTPS) | TCP | 基于HTTPS的WebDAV服务 |
三、远程访问与同步服务
服务 | 端口 | 协议 | 说明 |
QuickConnect | 5000/5001 | TCP | 依赖DSM默认HTTP/HTTPS端口 |
Synology Drive Server | 6690 | TCP | 文件同步服务(需HTTPS) |
Cloud Station | 6690 | TCP | 多设备同步(与Drive共用端口) |
VPN Server (L2TP/IPSec) | 500, 4500 | UDP | L2TP/IPSec VPN连接 |
VPN Server (OpenVPN) | 1194 | TCP/UDP | OpenVPN协议默认端口 |
四、多媒体与备份服务
服务 | 端口 | 协议 | 说明 |
Video Station | 9025-9040 | TCP | 视频流媒体服务(HTTP/HTTPS) |
Audio Station | 5000-5001 | TCP | 依赖Web管理端口 |
Surveillance Station | 9900-9901 | TCP | 监控摄像头管理端口 |
Active Backup for Business | 5510 | TCP | 备份客户端通信端口 |
五、数据库与开发工具端口
服务 | 端口 | 协议 | 说明 |
MySQL/MariaDB | 3306 | TCP | 数据库服务默认端口 |
PostgreSQL | 5432 | TCP | 数据库服务默认端口 |
Docker | 2375, 2376 | TCP | Docker守护进程API端口(需加密) |
Git Server | 22, 80, 443 | TCP | 基于SSH或HTTP/HTTPS的代码仓库 |
六、安全配置建议
- 最小化开放端口
- 仅开启必要的服务端口,禁用未使用的协议(如Telnet、AFP)。
- 示例:若无需远程SSH访问,关闭22端口。
- 修改默认端口
- 更改DSM的HTTP/HTTPS默认端口(5000/5001),避免被自动化工具扫描攻击。
- 操作路径:控制面板 → 网络 → DSM设置。
- 防火墙规则
- 启用NAS内置防火墙(控制面板 → 安全性 → 防火墙),限制来源IP访问敏感端口(如SSH、数据库)。
- 示例:仅允许公司IP段访问3306(MySQL)。
- VPN替代公网暴露
- 使用Synology VPN Server或Tailscale建立私有隧道,避免直接暴露DSM到公网。
- 定期更新与日志监控
- 启用日志中心监控异常连接,及时更新DSM系统和安全补丁。
七、端口冲突与故障排查
- 检查端口占用
- 使用命令行工具(如netstat -tuln)查看NAS上的端口监听状态。
- 若端口被占用(如5000冲突),修改DSM或冲突服务的端口。
- 路由器端口转发
- 在路由器设置中,将外部端口映射到NAS内网IP(如外网8080→内网5000)。
- 避免使用知名端口(如80、443)以减少扫描风险。
- ISP限制
- 部分运营商封锁80/443端口,需联系ISP确认或改用非标准端口。
八、总结
DSM服务的正常运行依赖特定端口的开放,但需平衡功能与安全性。核心原则:
- 按需开放:仅启用实际使用的服务端口。
- 强化防护:修改默认端口+防火墙限制+VPN接入。
- 持续监控:通过日志与更新应对潜在威胁。
如需详细端口列表,可参考Synology官方文档:Synology 路由器端口转发配置指南。