DSM 6.x und darunter Firewall blockiert SSH Port 22 trotz Freigabe

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Hallo,

nach einigem Suchen kann ich folgenden Fehler nachvollziehen ...

In der Firewall der DS109 ist eingestellt "Zugriff verweigern" und einige Regeln für die Ausnahmen.
Ich habe für mein internes Subnetz die Funktion "Anwendung auswählen
" benutzt und mit "Alle auswählen" sämtliche Haken gesetzt. Somit sind die Ports für alle laufenden Anwendungen freigegeben.
Dann ist kein Zugriff über SSH Port 22 mehr möglich.
Nach einigen Versuchen habe ich jetzt raus gefunden, dass alle Haken gesetzt sein dürfen, ausser der oberste "iSCSI". Ist der oberste Haken nicht gesetzt, so funktioniert SSH wieder, obwohl die Ports garnichts miteinander zu tun haben ...

Ich kann auch eine benutzerdefinierte Regel aufstellen, in der ich ALLE Ports freigebe. Dann geht es auch. Das Problem tritt wirklich nur auf, wenn in der Liste der iSCSI haken gesetzt ist :(

Kann das jemand nachvollziehen. Und wenn ja, wo schreibt man(n) solche Bugs rein ??
 

Anhänge

  • ds_bug_fw.jpg
    ds_bug_fw.jpg
    94,5 KB · Aufrufe: 66

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
All deine Regeln haben als Aktion "erlauben"? Wie genau hast du das interne Netzwerk definiert? Mit IP und Subnetzmaske? Oder als einzelner Host?
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
All deine Regeln haben als Aktion "erlauben"? Wie genau hast du das interne Netzwerk definiert? Mit IP und Subnetzmaske? Oder als einzelner Host?

In dem Fenster mit allen Regeln steht unten "wenn nichts zutrifft - verbieten". In den einzelnen Regeln steht "Bei Betrieb - erlauben" (schön übersetzt :)

Das Netz ist 192.168.1.1 mit Maske 255.255.255.0

Für extern habe ich dann nur 3 Ports freigegeben , in einer zweiten Regel.

(Ist jetzt auch nicht schlimm, da ich iSCSI und emule ... nicht brauche. Ist mir nur aufgefallen, da SSH nicht mehr ging.)
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
kann ich so nicht bestätigen. Habe es genau so nachgestellt. Poste mal die Ausgabe von
iptables -nvL


Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Das Netz ist 192.168.1.1 mit Maske 255.255.255.0

Für extern habe ich dann nur 3 Ports freigegeben , in einer zweiten Regel.

(Ist jetzt auch nicht schlimm, da ich iSCSI und emule ... nicht brauche. Ist mir nur aufgefallen, da SSH nicht mehr ging.)
geht es denn wenn du das LAN mit 192.168.1.0/255.255.255.0 definierst?
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Hallo,
kann ich so nicht bestätigen. Habe es genau so nachgestellt. Poste mal die Ausgabe von
iptables -nvL

so sieht es aus, wenn alle Haken gesetzt sind, und SSH nicht geht


iptables -nvL
Chain INPUT (policy ACCEPT 2 packets, 120 bytes)
pkts bytes target prot opt in out source destination
134 15026 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 3260,4662,6881:6890,55736:55863,21,55536:55663,548,137,138,139,445,111
3 862 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 892,443,80,25,110,143,3493,873,3306,3689,1900,50001,50002,5001,5000
3 132 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 tcp dpt:23
2 168 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 udp spt:137
27 10002 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 4672,6881,55900:55910,161,111,2049,892,1234,9997,9998,9999,1900,50001,50002
5 622 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 139 packets, 18586 bytes)
pkts bytes target prot opt in out source destination

-----------------------------------------

so sieht es aus, wenn der iSCSI Haken weg ist. Dann geht SSH, aber Telnet dafür nicht :((

iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
45 5048 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 4662,6881:6890,55736:55863,21,55536:55663,548,137,138,139,445,111,2049
2 822 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 443,80,25,110,143,3493,873,3306,3689,1900,50001,50002,5001,5000,22
0 0 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 udp spt:137
15 4552 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 4672,6881,55900:55910,161,111,2049,892,1234,9997,9998,9999,1900,50001,50002
5 610 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 41 packets, 6094 bytes)
pkts bytes target prot opt in out source destination

-----------------------------------------------

hier sind die ersten 3 Haken weg / iSCSI + emule
dann geht SSH und Telnet


iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
113 9061 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 6881:6890,55736:55863,21,55536:55663,548,137,138,139,445,111,2049,892
5 1018 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 80,25,110,143,3493,873,3306,3689,1900,50001,50002,5001,5000,22,23
2 168 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 udp spt:137
85 25944 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 6881,55900:55910,161,111,2049,892,1234,9997,9998,9999,1900,50001,50002
35 3534 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 112 packets, 13090 bytes)
pkts bytes target prot opt in out source destination

-----------------
sieht mal sich die Ports an, so macht die Firewall offenbar genau, was da steht. Nur funktioniert das Bedieninterface nicht so, wie es soll.
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
welche Regeln hast Du noch definiert? Sowohl auf meiner 106 als auch der 107+ gibts keine Probleme. Allerdings ist die Reihenfolge der Ports bei beiden Systemen anders und bei Dir nochmal anders. Deine anderen Regeln wären interessant. Den Link zum Support hat Matthieu bereits gepostet.

Gruß Götz
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Ich habe keine anderen Regeln. Für den Test habe ich nur die im Bild zu sehenden Haken gemacht.
Die zweite Regel für externen Zugriff habe ich für den Test deaktiviert.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
dann muß wohl jemand mit einer DS-109 das mal gegenprüfen. Wie gesagt auf meinen beiden Systemen kein Problem.

Gruß Götz
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Ich habe einen Bug-Report geschrieben. Mal sehen, was für eine Antwort kommt.
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Ich habe einen Bug-Report geschrieben. Mal sehen, was für eine Antwort kommt.

Hier die Antwort nach einigem e-mail Verkehr

... bitte warten ...

Thanks for your message.

After replicating this issue myself, I found the exact problem mentioned earlier. We will officially log this request and further research is on pursuit.

We hope that this issue will be fixed by our later firmware release.

Thanks for bringing this problem to our attention.

Best Regards,
Antoine Yang
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat