Việt Nam 
English 
NAS bị lộ trực tiếp ra internet
Khi mở port, bất kỳ ai biết địa chỉ IP public và port tương ứng đều có thể truy cập tới dịch vụ đang được public.
Hướng dẫn Port Forward NAS Synology: Cách cấu hình và những rủi ro cần biết
Port Forward là cách nhiều người chọn khi muốn truy cập NAS Synology từ internet thật nhanh. Tuy nhiên, nếu không hiểu rõ cách hoạt động và các rủi ro đi kèm, việc mở port có thể khiến hệ thống bị phơi trực tiếp ra internet. Vì vậy, đây là cấu hình cần làm đúng và cần cân nhắc kỹ trước khi sử dụng lâu dài.
Port Forward là gì?
Khi thiết bị NAS nằm trong mạng nội bộ, internet bên ngoài sẽ không thể truy cập trực tiếp vào nó nếu không có một cơ chế chuyển tiếp. Đây là lúc Port Forward xuất hiện. Hiểu đơn giản, port forwarding là cách để router hoặc modem nhận lưu lượng từ internet ở một port cụ thể, sau đó chuyển tiếp lưu lượng đó vào đúng thiết bị trong mạng LAN.
Ví dụ, nếu NAS của bạn có địa chỉ nội bộ là 192.168.1.100 và bạn mở port 5001 trên router, người dùng bên ngoài có thể truy cập từ internet thông qua địa chỉ IP public rồi được chuyển tiếp vào NAS. Đây là nguyên lý NAT Port Forwarding mà rất nhiều hệ thống đang dùng khi muốn công bố một dịch vụ nội bộ ra bên ngoài.
Có thể hiểu ngắn gọn: Port Forward giống như bạn mở một “cánh cửa” từ internet đi thẳng vào NAS.
Khi nào người ta dùng Port Forward?
Trong thực tế, Port Forward thường được dùng khi người quản trị muốn truy cập trực tiếp vào giao diện DSM của NAS từ internet mà không cần thông qua QuickConnect hoặc VPN. Đây là cách làm tương đối phổ biến vì nhanh, ít bước cấu hình ở phía client và có thể triển khai được trên hầu hết các modem, router hoặc firewall có hỗ trợ NAT.
Một số tình huống thường gặp là cần truy cập NAS từ xa để kiểm tra nhanh, dùng tạm khi chưa có VPN, hoặc triển khai trong môi trường lab và thử nghiệm. Tuy nhiên, vì đây là cách mở đường truy cập trực tiếp từ internet vào thiết bị, bạn không nên xem nó là lựa chọn mặc định nếu dữ liệu trên NAS có giá trị quan trọng.
Port Forward thường được dùng khi
- Cần truy cập DSM trực tiếp từ internet
- Không muốn dùng QuickConnect
- Chưa triển khai VPN
- Test nhanh hệ thống hoặc môi trường lab
Cách cấu hình Port Forward để truy cập NAS
Về mặt kỹ thuật, việc cấu hình port forward là hoàn toàn khả thi và không quá phức tạp. Tuy nhiên, bạn nên làm đúng từng bước để tránh lỗi truy cập hoặc tạo ra lỗ hổng không cần thiết.
1
Xác định IP nội bộ của NAS
Trước tiên, vào DSM > Control Panel > Network để kiểm tra địa chỉ IP LAN hiện tại của NAS. Ví dụ, NAS có thể đang dùng IP 192.168.1.100.
Để tránh việc rule NAT bị sai sau này, bạn nên đặt IP tĩnh cho NAS hoặc DHCP reservation trên router.
2
Xác định port DSM cần dùng
Mặc định, giao diện quản trị DSM sử dụng:
- 5000 cho HTTP
- 5001 cho HTTPS
Trong thực tế, bạn nên ưu tiên HTTPS để truy cập an toàn hơn.
3
Đăng nhập modem, router hoặc firewall
Truy cập giao diện quản trị của thiết bị mạng đang làm gateway cho hệ thống, thường là địa chỉ như 192.168.1.1. Sau đó tìm đến các mục như:
- Port Forwarding
- NAT
- Virtual Server
Tên gọi có thể khác nhau tùy thiết bị, nhưng bản chất đều là tạo rule chuyển tiếp port từ internet vào thiết bị bên trong mạng LAN.
4
Tạo rule Port Forward
Một rule cơ bản thường sẽ gồm các trường:
- Name: ví dụ Synology NAS
- Private IP: 192.168.1.100
- Public Port: 5001
- Private Port: 5001
- Protocol: TCP
Sau khi nhập xong, nhấn Save hoặc Apply để lưu rule.
5
Dùng DDNS nếu IP public thay đổi
Nếu đường truyền internet của bạn không có IP public cố định, bạn nên dùng thêm DDNS để truy cập thuận tiện hơn. Ví dụ, bạn có thể dùng địa chỉ như:
yourname.synology.meKhi đó, thay vì nhớ IP public đang thay đổi, bạn chỉ cần dùng tên miền DDNS đã cấu hình.
6
Test truy cập từ internet
Sau khi rule NAT đã hoạt động, bạn có thể thử truy cập từ bên ngoài bằng cú pháp:
https://IP-public:5001hoặc:
https://tenmien:5001Nếu cấu hình đúng, giao diện DSM sẽ hiển thị trên trình duyệt từ internet.
Những rủi ro khi mở port NAS
Đây là phần quan trọng nhất khi nói về Port Forward. Về kỹ thuật, cách này có thể giúp bạn truy cập NAS rất nhanh. Nhưng về mặt bảo mật, nó cũng đồng nghĩa với việc bạn đang đưa giao diện hoặc dịch vụ của NAS ra trước internet công cộng.
Bị scan port tự động
Internet luôn có các bot tự động quét những port phổ biến như 5000 hoặc 5001 để tìm các dịch vụ NAS hoặc web quản trị đang lộ ra ngoài.
Nguy cơ brute force
Nếu user dùng mật khẩu yếu hoặc không bật thêm lớp xác thực, NAS có thể trở thành mục tiêu cho các đợt thử đăng nhập tự động.
Rủi ro ransomware hoặc khai thác lỗ hổng
Nếu NAS không được cập nhật, hoặc dịch vụ bị exposed quá nhiều, nguy cơ bị khai thác sẽ tăng lên đáng kể.
Điểm quan trọng cần nhớ
Port Forward giúp truy cập nhanh hơn, nhưng cũng đồng nghĩa với việc bạn đang mở NAS trực tiếp ra internet.
Nếu vẫn dùng Port Forward, cần làm gì để an toàn hơn?
Trong một số trường hợp, bạn vẫn có thể cần dùng Port Forward vì yêu cầu vận hành, vì hệ thống nhỏ hoặc chỉ dùng tạm thời. Nếu vậy, hãy cố gắng gia cố thêm các lớp bảo vệ để giảm bớt rủi ro.
Những việc nên làm ngay
- Đổi port mặc định, tránh dùng trực tiếp 5000 hoặc 5001 nếu không thực sự cần
- Bật xác thực hai lớp cho tài khoản quan trọng
- Dùng mật khẩu mạnh và không dùng lại mật khẩu cũ
- Disable tài khoản admin mặc định
- Bật Auto Block để chặn IP đăng nhập sai nhiều lần
- Giới hạn dải IP truy cập nếu hạ tầng cho phép
Có thể nâng cao thêm
- Firewall rule trên NAS
- Geo blocking
- Reverse proxy
- Giám sát log truy cập định kỳ
So sánh nhanh với VPN
Để nhìn rõ hơn vì sao Port Forward không nên là lựa chọn lâu dài cho NAS, bạn có thể đặt nó cạnh VPN. Cả hai đều giúp truy cập từ xa, nhưng mức độ an toàn và tư duy triển khai là rất khác nhau.
| Tiêu chí | Port Forward | VPN |
|---|---|---|
| Dễ cấu hình | Có | Phức tạp hơn |
| Truy cập trực tiếp | Có | Không trực tiếp |
| Mức độ an toàn | Thấp hơn | Cao hơn |
| Phù hợp lâu dài | Không nên ưu tiên | Phù hợp hơn |
Nếu cần hình dung nhanh: Port Forward là mở cửa trực tiếp, còn VPN là đi vào qua một lớp kiểm soát an toàn hơn.
Khi nào có thể chấp nhận dùng Port Forward?
Không phải lúc nào Port Forward cũng “sai”. Trong một số tình huống, nó vẫn có thể là lựa chọn chấp nhận được nếu bạn hiểu rõ mình đang làm gì và chấp nhận rủi ro đi kèm.
Một số trường hợp có thể chấp nhận
- Môi trường lab hoặc test
- Hệ thống nhỏ, ít user
- Dùng tạm thời trong thời gian ngắn
- Không có yêu cầu bảo mật cao
Tuy nhiên, nếu NAS chứa dữ liệu công việc, dữ liệu khách hàng, tài liệu nội bộ hoặc backup quan trọng, Port Forward không nên là lựa chọn lâu dài. Lúc này, VPN thường là hướng đi hợp lý hơn.
Kết luận
Port Forward là một cách đơn giản để truy cập NAS Synology từ internet, nhưng không phải là phương án an toàn nếu sử dụng lâu dài. Việc mở port đồng nghĩa với việc bạn đang đưa hệ thống của mình ra trước internet, nơi luôn tồn tại các nguy cơ scan, thử đăng nhập và khai thác.
Nếu chỉ cần truy cập nhanh, Port Forward có thể chấp nhận được trong ngắn hạn. Nhưng khi dữ liệu bắt đầu quan trọng hơn hoặc hệ thống có nhiều người dùng hơn, bạn nên cân nhắc chuyển sang VPN để đảm bảo an toàn và ổn định hơn.
Gợi ý bài liên quan
Sau khi hiểu rõ cách Port Forward hoạt động và các rủi ro đi kèm, bạn nên xem tiếp bài về VPN để chọn hướng truy cập từ xa an toàn hơn cho NAS Synology.
Bài viết liên quan
/file/media/uploads/article/how-to-setup-nas.jpg)
Hướng dẫn cài đặt hệ điều hành DSM cho NAS Synology (DSM 7.x)
Khi triển khai NAS Synology mới hoặc sau khi thay ổ cứng, thiết bị sẽ chưa có hệ điều hành để quản lý hệ thống lưu trữ. Để NAS có thể hoạt động và cung cấp các dịch vụ như chia sẻ dữ liệu, backup hay quản lý người dùng, bạn cần cài đặt DSM (DiskStation Manager).
Đọc thêm /file/media/uploads/article/click-connect.jpg)
Hướng dẫn tìm địa chỉ IP NAS Synology trong mạng LAN
Khi cần truy cập vào giao diện quản trị DSM của NAS Synology, việc đầu tiên bạn cần biết là địa chỉ IP của thiết bị trong mạng nội bộ. Trong thực tế, nhiều trường hợp NAS nhận IP động từ DHCP, hoặc sau một thời gian người dùng không còn nhớ thiết bị đang sử dụng IP nào.
Đọc thêm /file/media/uploads/article/screenshot-2026-03-16-144757.jpg)
Hướng dẫn đặt địa chỉ IP tĩnh trên NAS Synology
Trong quá trình sử dụng NAS Synology, việc đặt địa chỉ IP tĩnh là bước cấu hình rất quan trọng để thiết bị luôn giữ nguyên địa chỉ mạng trong hệ thống nội bộ. Điều này giúp bạn truy cập DSM ổn định hơn, thuận tiện cho việc chia sẻ dữ liệu, map drive và cấu hình các dịch vụ liên quan.
Đọc thêm /file/media/uploads/article/screenshot-2026-03-16-145652.png)
Hướng dẫn cấu hình RAID 1 trên NAS Synology
Khi triển khai NAS Synology, một trong những bước quan trọng là thiết lập hệ thống lưu trữ để đảm bảo dữ liệu được bảo vệ an toàn. Trong đó, RAID 1 là cấu hình phổ biến cho người dùng cá nhân và văn phòng nhỏ vì giúp bảo vệ dữ liệu bằng cách sao chép dữ liệu sang hai ổ cứng giống nhau.
Đọc thêm /file/media/uploads/article/shared-folder.jpg)
Hướng dẫn tạo Shared Folder trên NAS Synology
Trên NAS Synology, Shared Folder (thư mục chia sẻ) là nơi lưu trữ dữ liệu chính của hệ thống. Các file và thư mục được tạo trong Shared Folder có thể được truy cập bởi nhiều người dùng khác nhau trong mạng nội bộ hoặc thông qua internet.
Đọc thêm /file/media/uploads/article/map-network-drive.png)
Hướng dẫn Map Network Drive đến NAS Synology trên Windows và macOS
Sau khi tạo Shared Folder trên NAS Synology, bước tiếp theo để sử dụng NAS thuận tiện hơn là map network drive trên máy tính. Khi thực hiện thao tác này, thư mục trên NAS sẽ hiển thị giống như một ổ đĩa cục bộ trong hệ điều hành.
Đọc thêm /file/media/uploads/article/filestation.png)
Hướng dẫn chia sẻ link file qua File Station trên NAS Synology
Trong nhiều trường hợp, bạn cần gửi nhanh một file hoặc thư mục từ NAS Synology cho đồng nghiệp, khách hàng hoặc đối tác mà không muốn tạo tài khoản truy cập cho họ.
Đọc thêm /file/media/uploads/article/synology-file-request-2.png)
Hướng dẫn tạo File Request trên NAS Synology để người khác upload file mà không cần tài khoản
Trong nhiều tình huống, bạn cần yêu cầu khách hàng, đối tác hoặc đồng nghiệp gửi file vào NAS Synology nhưng không muốn tạo tài khoản DSM cho từng người. Đây là lúc tính năng File Request phát huy tác dụng.
Đọc thêm /file/media/uploads/article/howto451-1.png)
Hướng dẫn tạo User và Group trên NAS Synology
Khi triển khai NAS Synology cho nhiều người dùng, việc tạo User và Group là bước quan trọng để kiểm soát truy cập dữ liệu và đảm bảo hệ thống hoạt động an toàn.
Đọc thêm /file/media/uploads/article/howto450-1.png)
Hướng dẫn phân quyền cơ bản trên NAS Synology
Khi nhiều người cùng sử dụng NAS Synology, việc phân quyền truy cập dữ liệu là bước rất quan trọng để đảm bảo mỗi người chỉ được xem hoặc chỉnh sửa đúng phần dữ liệu được phép.
Đọc thêm Ý nghĩa các phân quyền nâng cao trên NAS Synology
Sau khi đã nắm được cách cấp quyền cơ bản cho folder trên NAS Synology, bước tiếp theo là hiểu cơ chế phân quyền nâng cao để tránh các lỗi truy cập khó xử lý trong thực tế.
Đọc thêm /file/media/uploads/article/howtoresetadminaccount.jpg)
Hướng dẫn Reset mật khẩu admin trên NAS Synology
Nếu bạn quên mật khẩu tài khoản quản trị trên NAS Synology và không thể đăng nhập vào hệ thống DSM, bạn vẫn có thể khôi phục quyền truy cập mà không cần cài lại toàn bộ hệ thống.
Đọc thêm