DSM 6.x und darunter Zugriff nur über internes LAN - von Außen Blockieren - Welche Einstellungen?

[hnmnn]

Hallo Leute,

ich habe meine Firewall so eingestellt, dass sie jeden Zugriff von außen Blockieren soll, indem ich lediglich meine interne IP-Range freigegeben habe, siehe Screenshot:



Nun dachte ich, dass ich somit nur zugreifen kann, wenn meine IP aus diesem Bereich stammt und sämtliche andere IP's geblockt werden. Leider funktioniert das aber nicht, sprich: Ich kann von unterwegs ohne weiteres über quickconnect mich als admin einloggen und alle Funktionen nutzen.

Was mache ich falsch?

 

[joku]

Leider funktioniert das aber nicht, sprich: Ich kann von unterwegs ohne weiteres über quickconnect mich als admin einloggen und alle Funktionen nutzen.

Hallo, wenn DU von extern nicht zugreifen möchtest,
da brauchst Du die Einstellungen in der Firewall nicht
und DDNS sowie Quickconnect ist da auch überflüssig.

Gruß Jo

 

[Fusion]

Erstmal könntest du QuickConnect weglassen, keine Portforwardings im Router einrichten etc. dann wäre die DS ja schon prinzipiell gar nicht von außen erreichbar, mit und ohne Firewall.


Hast du denn auch noch eine Verbots-Regel unterhalb der zugelassenen?

Wenn eine Anfrage kommt geht er die Regeln einfach durch, und wenn da nicht irgendwo ein Verbot für die Anfrage resultiert, wird sie am Ende zugelassen.
Nur weil du zwei Regeln mit Erlaubnissen aufgestellt hast, heißt das nicht, dass der Rest automatisch verboten ist.

Du könntest z.B. alle Verbindungen die von deiner internen Router-IP kommen verbieten. Ob das Probleme gibt, wenn du DHCP benutzt bin ich mir jetzt nicht sicher.

 

[skahde]

Du hast mit Quickconnect den Zugang ermöglicht und willst ihn jetzt mit der Firewall wieder untersagen? Das ist etwa so, als wenn man mit dem Vorschlaghammer ein Loch in die Wand klopft und dann einen Vorhang darüberhängt. Warum nimmst Du nicht einfach die Quickconnect-Konfiguration wieder zurück?

 

[hnmnn]

Ich habe die Firewall so eingestellt, dass wenn eine der beiden Regeln (wie im Screenshot) nicht zutrifft, der Zugriff blockiert wird. Dafür gibt es ja das Auswahlfeld unten rechts (Wenn keine Regel zutrifft...). Habe es auch als Screenshot angehängt.

Ich verstehe das so: Wenn ich Zugriff auf einen in der Firewall angewählten Service möchte UND gleichzeitig meine IP aus der genannten Range kommt, DANN erhalte ich diesen Zugang, SONST ist er blockiert.

Aber genau so ist es eben nicht.


Ich bin Anfänger was das System angeht und bevor ich ein offenes Scheunentor habe, und es nicht bemerke, will ich mich Schritt-für-Schritt an die Funktionen antasten. Insofern sehe ich auch kein Problem darin, Quickconnect zu aktivieren, da ich ja den Zugriff auf das System durch die Firewall beschränke. Quickconnect gibt mir doch lediglich die Möglichkeit, einfach mein NAS zu finden; ich könnte alternativ ja auch die IP des NAS ansteuern und würde auf die Login-Seite kommen.

 

[Fusion]

Ohne mich jetzt ins Detail eingelesen zu haben.

QuickConnect könnte "außerhalb" der Firewall-Regeln arbeiten.
Die Firewall arbeitet dabei normal. Es kommt allerdings darauf an wie die Verbindung aufgebaut wird.

QuickConnect benutzt vermutlich wie andere Fernsteuerungs-Software und ähnliches etwas wie STUN um die Beschränkungen von NAT und Router zu umgehen. Ähnlich wie auch Skype, SIP, Teamviewer etc. damit man ohne Konfiguration des Routers auskommt. Ebenso braucht QuickConnect ja keine Port-Weiterleitung im Router.

Der Trick ist, dass die DS hier von Innen aus eine Verbindung zu MyDS herstellt. Dein externes Gerät fragt ebenfalls bei MyDS nach, wie deine DS gerade zu erreichen ist.
Am Ende (ohne Details wie STUN, NAT Traversal etc arbeitet) kann sich das externe Gerät dann in die von Innen aufgebaute Verbindung einklinken.
Die Firewall sieht also gar keinen Zugriff von extern der zu blockieren wäre.

QuickConnect funzt also, aber sonst dürfte kein anderer Zugriff von außen möglich sein.

 

[hnmnn]

Dake Fusion! Jetzt wird mir einiges klar.

habe es gestern Abend nochmal etwas ausprobiert. Es scheint in der Tat so zu sein, dass Quickconnect eine andere Art der Verbindung aufbaut. Offenbar ist diese Verbindung nicht durch die Firewall gedeckt. Wenn ich direkt über die IP des Routers und den Port 5000 / 5001 auf das NAS zugreifen möchte, funktioniert es nicht, es sei denn ich deaktiviere die Firewall und gebe den Port im Router frei.
Somit ist ein Zugriff von außen nicht möglich, wenn ich Quickconnect deaktiviert habe und der Port im Router geblockt ist. Selbst wenn der Port im Router freigegeben ist, aber in der Firewall der NAS die IP nicht in der Whitelist steht, ist ein Zugriff nicht möglich. Also genau so, wie ich es haben wollte.

Ich war bisher der Ansicht, dass Quickconnect lediglich eine Art DynDNS-Alternative darstellt.

Besten Dank!

 

[Fusion]

Gern geschehen. Immer nett, wenn man einen externen Anstoß hat über Features/Eigenschaften/Umsetzungen in der DS nachzudenken bzw. vorhandenes Halbwissen zu ergänzen.