PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall blockiert ausgehende Verbindungen - Lösung



goetz
07.03.2012, 13:30
Hallo,
wie bereits mehrfach vermeldet blockiert die eingerichtete Firewall auf der DS sämtlichen von ihr initiierten Netzwerkverkehr (nicht mal ein Ping zum Router geht). Alle Anfragen gehen zwar raus aber die Antworten werden blockiert.
iptables meldet folgendes:

DS411plusII> iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 6690,1723,137,138,139,445,111,2049,892,80,5000,22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 1194,161,111,2049,892
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
d.h. für die konfigurierten Ports ist INPUT erlaubt, alles andere wird verworfen. Hier fehlt nun eine Regel in der INPUT chain. Diese Regel erlaubt alle bereits initiierten und akzeptierten Verbindungen.

iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit -I INPUT 1 wird die Regel an die erste Stelle der INPUT chain gestellt.

DS411plusII> iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 6690,1723,137,138,139,445,111,2049,892,80,5000,22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:137
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 1194,161,111,2049,892
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Gruß Götz

jahlives
07.03.2012, 13:38
d.h. Synology hat hier echt sehr grossen Mist gebaut. sorry aber das ist peinlich :-) Haben sie das bei allen Modellen verbockt?

DKeppi
07.03.2012, 13:39
Also bei der 712+ auf alle Fälle...

rotadrep
07.03.2012, 14:00
so wie es bei mir aussieht auch bei der DS211

jahlives
07.03.2012, 14:08
kann ein Mod mit entsprechenden Rechten diesen Thread ganz prominent irgendwo festpinnen?

rauppe31
07.03.2012, 14:09
Also bei der 712+ auf alle Fälle...

Gut zu wissen. Dann warte ich mit dem Update und bleibe bei der Beta :)

DKeppi
07.03.2012, 14:23
Gut zu wissen. Dann warte ich mit dem Update und bleibe bei der Beta :)

Naja...wenn du die interne FW deaktivierst (alles erlauben) gehts ja...und die brauch ich ja eigentlich eh nicht ;)
Also no stress...

ansijuda
07.03.2012, 16:18
Hallo goetz,

ich habe versucht Deinen Hinweis zu verstehen und umzusetzten, doch kenne ich mich leider nicht so gut mit Linux und Telnet aus.

Mit Telnet funktionieren deine Hinweise nicht so richtig, bzw. der erste Befehl (iptables -nL) führt zu Meldungen die ich nicht verstehen...

Synology-DS212j> iptables -nL
modprobe: chdir(2.6.32.12): No such file or directory
iptables v1.4.2: can't initialize iptables table `filter': iptables who? (do you
need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Ich verwende Windows 7 64-Bit mit den neusten Updates/ServicePacks.

Würdest Du mir einen Tip übermitteln wie welchen Befehl ich wie mit welchem Tool am besten absetze um das Problem zu beheben?

Vielen Dank für deine Unterstützung.

Gruß ansijuda

jahlives
07.03.2012, 16:19
bist du sicher auch als root angemeldet?

goetz
07.03.2012, 16:24
Hallo,
im Moment ist Deine Firewall aus und deshalb sind die Kernelmodule entladen. Also Firewall wieder konfigurieren und dann

iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Gruß Götz

ansijuda
07.03.2012, 16:36
nein, dass wusste ich nicht. Hatte mich mit dem "ADMIN-Konto" angemeldet.

Habe es mittlerweile hinbekommen (mit Anmeldung als root und dem Tool Putty)

Danke für die Unterstützung. :o)

utzocker
07.03.2012, 19:08
hatte das Problem auch, danke Goetz, funktioniert wieder mit Firewall :)

auge
07.03.2012, 21:36
Danke!
Hab ebenfalls schon den ganzen Nachmittag daran rumgebastelt, aber dass eine Zeile in den iptables fehlt ist mir nicht aufgefallen ... :)

jahlives
07.03.2012, 21:37
...aber dass eine Zeile in den iptables fehlt ist mir nicht aufgefallen ... :)
den Synology-Entwicklern scheinbar auch ned :D

Matthieu
08.03.2012, 05:35
Synology hat reagiert, es gibt eine Firmware mit Version 2198.
http://www.synology-forum.de/showthread.html?27652-DSM-4.0-2198-zum-Download-bereit

M (http://www.synology-forum.de/showthread.html?27652-DSM-4.0-2198-zum-Download-bereit)fG Matthieu

ansijuda
10.03.2012, 17:44
Hallo Götz,

habe vom Support den Hinweis bekommen auf 4.0-2198 bezüglich des Problems, dass keine Außenverbindung möglich ist, upzudaten.
Das habe ich gemacht. Der von dir gepostete Hinweis "iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT" ist ebenfalls hinterlegt und wird auch korrekt mit dem Befehl "iptables -nL" angezeigt.

Leider geht seit dem Update auf 2198 gar nichts mehr nach Außen. Weder mit aktiver, noch inaktiver Firewall, noch wenn ich sämtliche Firewallregeln lösche.
Kein Update-/Paketserver erreichtbar. Mails werden nach dem Update auch nicht mehr abgeholt.

Leider hat das Update 2198 wohl etwas verschlimmbessert oder hättest Du noch eine Idee oder einen Tipp für mich?

Danke für Deine Unterstützung.

Gruß ansijuda

jahlives
13.03.2012, 22:28
geht es mittlerweile oder hast du den Fehler immer noch? Falls ja poste doch mal deine kompletten Regeln

pfender
14.03.2012, 00:23
Also bei der DS111 habe sie es auch vermurkst habe mich gewundert das ich keine Pakete laden konnte ipkg nix lief und der Time Syn. die ganze Zeit Fehler ausspuckt. Ohje :(

ec66
17.03.2012, 12:19
Hallo

ich hab auf meine DS 106j die FW 2198 der DS 108j und habe das selbe Problem - mit oder ohne Firewall - ich bekomme keine externe IP-Adresse. iptables ist bereits korrekt.
Bei DSM-Aktualisierung steht unter Status nach einer gewissen Zeit 'Verbindung zum Server fehlgeschlagen"...
Irgendwelche Hinweise?

ec66

rauppe31
17.03.2012, 12:30
Schau mal unter Systensteuerung->Netzwerk ob noch alles korrekt eingetragen ist.

ec66
17.03.2012, 12:33
alles korrekt!

ec66

ec66
17.03.2012, 13:09
Oh nein!
Es war die Firewall im Router...
Hat sich damit erledigt!

ec66

ansijuda
17.03.2012, 17:50
Hallo jahlives,

danke der Nachfrage, es funktioniert wieder.

Musste aber die komplette DS mit DMS 4.0 neuinstallieren und neunkonfigurieren :(
Egal, nun funktioniert es wieder.

Gruss aus Dortmund.
ansijuda