Firewall mit DSM 4.2 - wie tragt ihr ein Subnetz ein??

[ecryptFS]

Hi,

seit v4.2 frage ich mich, wie ich jetzt z.B. ein Subnetz in die Firewall eintrage. Alles, was ich eintrage wird rot unterstrichen und ich habe keine Ahnung, warum das mit v4.1 noch ging und was v4.2 nun für Angaben haben will.

also z.B. Firewall Zugriff auf DownloadStation Port 5555 mit dem Subnetz 192.168.3.0/255.255.255.0 - klappt nicht, da die Validierung bei der IP meckert. Ich kann nur Nummern und HEX-Buchstaben eingeben...

Danke!

 

[fpo4711]

Hallo,

scheinbar erwartet Synology hier als letzte Ziffer eine 1. Denke mal das ist ein Bug! Denn selbst wenn der erste Host zur Definition nötig wäre, dann müsste sich ja der Hinweis auf einen Fehler mit dem Verändern der Subnetzmaske ändern, was aber nicht passiert.

Gruß Frank

 

[klomann]

Evtl. muß die Subnetmask nicht mehr dotted eingetragen werden?
Also /24 statt 255.255.255.0?

Nur so ne Idee...

HTH

 

[Frogman]

Evtl. muß die Subnetmask nicht mehr dotted eingetragen werden?
Also /24 statt 255.255.255.0?

Nein, muss wie bisher eingegeben werden.

 

[ecryptFS]

das ja super und Downgrade geht nicht. Wenn man nicht alles über die Konsole macht... jetzt kann ich da in den iptables rumgraben?

 

[fpo4711]

Hallo,

der Bug scheint sich hier nur auf die GUI zu beschränken. Als Würgaround habe ich folgenden Vorschlag.

Um beispielsweise folgende Subnetzdefinition unter zu bringen 192.168.5.0/24 in der GUI neue Regel erstellen mit folgenden Angaben:

IP-Adresse: 192.168.5.1
Subnetz: 255.255.255.0

Danach in dem File /etc/firewall/eth0.conf die 1 in eine 0 ändern und Neustart (Script oder DSM) oder alternativ fiktive Regel erstellen und wieder löschen. Speichern nicht vergessen.

Nicht gerade perfekt aber scheint zu funktionieren. Die modifizierte Regel wird auch korrekt in der GUI angezeigt kann aber über diese auch nicht verändert werden.

Gruß Frank

 

[ecryptFS]

ja so gehts natürlich.

Nur ich glaub ich hab noch einen Bug entdeckt.

Ich habe die GUI explizit nur 4 IPs von PCs zugewiesen, kein anderes Gerät soll die GUI der Synology öffnen können - nur leider kann ich mich per VPN einwählen und drauf zugreifen - sprich, den interessiert das überhaupt nicht, was ich da für Firewallregeln eingerichtet habe. Kann das jemand bestätigen?

 

[toby17780]

Hi zusammen,

ich habe auch ein ganz seltsames Verhalten.
Ich nutze PPTP über die DS und hatte in der Firewall den Zugriff auf den PPTP Port für alle IPs frei gegeben.
Und das lokale Netz und VPN Netz darf auf alle Ports zugreifen - doch das funktioniert jetzt nicht mehr.
Die VPN Verbindung kann ich aufbauen - doch es gehen wenn die Firewall aktiv ist, keine Daten mehr durch. Bisher war das alles kein Problem.

Ich habe die Regeln auch mal neu angelegt, auch so wie es fpo4711 beschrieben hat geändert - funktioniert aber alles nicht...

Grüße Toby

 

[ecryptFS]

wird hier eigentlich vom Hersteller mitgelesen oder sollte man solche Bugs Synology melden??

 

[honu]

wird hier eigentlich vom Hersteller mitgelesen oder sollte man solche Bugs Synology melden??

Hier wird nicht mitgelesen. Den Bug zu melden wäre super...

 

[juscom]

woher weiss man ob dieser bug gff schon gemeldet ist?
Gibt es eine öffentliche request liste?

 

[bohne]

Nein, es gibt keine öffentliche request liste. Somit kann man auch nicht herausfinden ob der bug schon gemeldet wurde.

 

[ecryptFS]

Okay, ich weiß zwar nicht wo ich das melden kann aber ich such mal.

Hier mal meine bond0.conf:

DiskStation> vi bond0.conf
[ADAPTER_bond0]
         policy=1
[RULE_00001]
        ports=SYS:dms_https,dms,ssh,telnet
        enabled=1
        source=192.168.1.140
        protocol=1
        allow=0
[RULE_00002]
        ports=SYS:dms_https,dms,ssh,telnet
        enabled=1
        source=192.168.1.145
        protocol=1
        allow=0
[RULE_00003]
        ports=SYS:dms_https,dms,ssh,telnet
        enabled=1
        source=192.168.1.147
        protocol=1
        allow=0
[RULE_00004]
        ports=SYS:dms_https,dms,ssh,telnet
        enabled=1
        source=192.168.1.149
        protocol=1
        allow=0
[RULE_00005]
        ports=SYS:dms_https,dms,ssh,telnet
        enabled=1
        source=192.168.1.160
        protocol=1
        allow=0
[RULE_00006]
        ports=SYS:cifs
        enabled=1
        source=192.168.1.0/255.255.255.0
        protocol=3
        allow=0
[RULE_00007]
        ports=SYS:SYNO.SDS.App.FileStation3.Instance_https
        enabled=1
        source=192.168.1.0/255.255.255.0
        protocol=1
        allow=0
[RULE_00008]
        ports=SYS:cifs
        enabled=1
        source=192.168.24.0/255.255.255.0
        protocol=3
        allow=0
[RULE_00009]
        ports=SYS:SYNO.SDS.App.FileStation3.Instance_https
        enabled=1
        source=192.168.24.0/255.255.255.0
        protocol=1
        allow=0
[RULE_00010]
        ports=SYS:SYNO.SDS.DownloadStation.Application_https,SFTP,cloudstation,b
        enabled=1
        source=all
        protocol=3
        allow=0

(ich hab beide Netzwerkkarten zusammengefasst) - die Regel 1-5 habe ich nun erstellt, weil ich ja das Subnetz nicht nehmen kann.

Klar, ich kann es jetzt auf der Konsole editieren aber... wenn ich mich um jedes Problem so intensiv kümmern müsste macht es keinen Spaß. Ich hab eine Menge Geld für wenig Hardware bezahlt. Ich sehe ein, dass die Software hier das Innovative ist. Aber dann erwarte ich doch bei so simplen Sachen, dass sie funktionieren :/

Was mir gerade so auffällt. OBWOHL ich ausgewählt habe "Wenn keine Regel zutrifft Zugriff verweigern" ist das dort nicht gespeichert - wo wird das denn abgelegt?

 

[toby17780]

Nur zur Info: im offiziellen Syno-Forum gibt es dazu auch schon Beiträge.

Und das ist gerade aufgrund von zu vielen Nutzern in die Knie gegangen... ;-)

Scheinen viele Probleme mit der 4.2 zu haben...

 

[Spooky_]

Okay, ich weiß zwar nicht wo ich das melden kann aber ich such mal.

Hier: https://myds.synology.com/support/support_form.php

 

[toby17780]

Da ich meine DS aktuell ohne Firewall betreiben muss um VPN nutzen zu können, habe ich jetzt mal einen Security Vorfall gemeldet. Mal sehn wie schnell da was passiert...

 

[jahlives]

Was mir gerade so auffällt. OBWOHL ich ausgewählt habe "Wenn keine Regel zutrifft Zugriff verweigern" ist das dort nicht gespeichert - wo wird das denn abgelegt?

normalerweise wird das als default Action der entsprechenden iptables-Chain gespeichert

 

[ecryptFS]

Support-Kontaktformular

Vielen Dank, dass Sie die Synology Online-Unterstützung nutzen.

Wir haben Ihre Anfrage erhalten. Sie erhalten in Kürze eine automatische Antwort. Wenn Sie diese Meldung nicht erhalten, überprüfen Sie bitte Ihren Spam-Filter und sehen Sie nach, ob Sie die richtige E-Mail-Adresse angegeben haben.

Wir melden uns schnellstmöglich bei Ihnen. Vielen Dank für Ihre Geduld.

So, mal abwarten was passiert.

Ich hab auf englisch das Problem mit der Formvalidierung/DSM beim Subnetz geschildert und dann auch noch mal auf das andere Problem hingewiesen... hab ich das hier schon aufgeführt?

Hab drei Regeln, die nur 3 Rechner mit FESTER IP auf die DSM Verwaltung sowie SSH zulassen, alles andere wird in der Finalen Regel geblockt. Das interessiert nur die Firewall nicht so wirklich: zwar kann ich von anderen Rechnern im selben Netz dann nicht auf die Dienste zugreifen ABER über OpenVPN ist das alles kein Problem - ist also eher ein Bug im OpenVPN-Paket in Verbindung mit der Firewall.

 

[jahlives]

das liegt imho daran, dass Synology beim VPN NAT einsetzt. Damit verliert man die ursprüngliche Client IP und sieht nur noch diejenige des nattenden Servers

 

[ecryptFS]

...aber trotzdem dürfte dann doch die Firewall greifen....? Ich erhalte doch z.B. über OpenVPN eine 192.168.24.6 während das "richtige" Netz die 192.168.1.1 oder wie auch immer ist...