DSM 6.x und darunter Port 22 weiterleiten Bzw. Verschleiern

[jeroms]

Hallo,

Meine DS214se kann über Port 22 direkt von aussen erreicht werden. Alle andere Ports sind geschlossen. Darüber hinaus habe ich in der Firewall allen Ländern für alle Ports den Zugriff verweigert. Nur einer einzigen Externen IP Adresse ist der Zugriff erlaubt. Trotzdem habe ich Zugriffsversuche aus z.B. China die über die Automatische Login Blockade ausgebremst wurden.
Ich möchte den Weg nun auch dichtmachen über Verschleierung oder Portweiterleitung . Geht das und wenn ja wie geht das.

Ich denke an eine Möglichkeit den Port 22 auf den eingerichteten VPN server weiterzuleiten. Dann könnte ja die einzige von aussen zugelassenen IP-Adresse auf die Daten per Vpn zugreifen oder liege ich da Falsch. Welche Möglichkeiten gibt es, welche sind am besten Praktikabel

Gruss Jergan

 

[picard_1983]

Ich weiss nicht ob ich dich richtig verstanden habe aber du musst im Router den Port 22 weiterleiten.

Aber nicht einfach nur von Port 22 an Port 22 sondern z. B. so hier:

Port 12345 an Port 22

Denke dir irgendeinen Port aus der von Extern auf den Port 22 geht. Diesen Port nimmst du dann für deine Tools die du extern benötigst.

 

[jeroms]

sorry hatte die Anfrage noch etwas präzisiert und erweitert

 

[picard_1983]

Warum unbedingt Port 22? Nimm doch einen anderen 5 stelligen großen Port, der selten bis garnicht gescannt wird...

 

[jeroms]

ich selbst kann am router nichts änder das muss der Provider machen (Digitalforge)

Also die genehmigte Externe IP Adresse soll von aussen Zugriff auf die Daten der NAS haben , über SFTP oder über den im DS214se eingerichteten VPN -Server.

Das heisst doch das dies IP Zugriff über port 22 oder per VPN client haben muss. Das geht dann doch nur wenn Port 22 auf den VPN Server weitergeleitet wird, oder liege ich da falsch?

 

[picard_1983]

Gut ok, ich kann in Moment leider nicht bei mir auf die DS schauen, aber ich dachte, das man auch andere Ports der DS geben kann mit dem sie SFTP oder VPN nutzen soll.

Ich denke man hat in den Einstellungen die Auswahl, müsste ich aber heute Abend noch einmal schauen wenn ich es schaffe...

Eventuell klingt sich hier noch jemand ein...

 

[TheGardner]

ich selbst kann am router nichts änder das muss der Provider machen (Digitalforge)

Sicher, dass Du das nicht kannst? Normalerweise kann das jeder! Steht der Router bei Dir (Wohnung)? Welches Model?
Eine Verschleierung macht den Port von aussen quasi unsichtbar, indem man einen völlig andern Port nimmt. Ich zum Beispiel habe 922 genommen. Die nicht gewollten Anfragen werden immer auf Port 22 erfolgen. Wenn der Port nicht mehr die 22 ist (also geschlossen), dann werden zukünftige Anfragen vom Router immer abgewiesen. Die (an-)Fragenden wissen ja nicht, dass sie mal den richtigen Port probieren sollten (922).
Der Router leitet also ab dann alle Anfragen auf 922 auf 22 an der Diskstation um. Deine derzeitige Portweiterleitung am Router müsste also nur von "22 auf 22" in "922 auf 22" geändert werden. Mehr wäre gar nicht zu tun.

 

[Hafer]

Hallo,

Meine DS214se kann über Port 22 direkt von aussen erreicht werden. Alle andere Ports sind geschlossen. Darüber hinaus habe ich in der Firewall allen Ländern für alle Ports den Zugriff verweigert. Nur einer einzigen Externen IP Adresse ist der Zugriff erlaubt. Trotzdem habe ich Zugriffsversuche aus z.B. China die über die Automatische Login Blockade ausgebremst wurden.
Ich möchte den Weg nun auch dichtmachen über Verschleierung oder Portweiterleitung.

Trennen wir mal die Punkte (1) Zugriffe trotz Firewall und (2) Verschleierung des Ports.

Zu Punkt (1)
In dem von mir oben zitierten Teil sprichst du davon, dass du trotz Verbots aller Länderzugriffe per Firewall Zugriffsversuche z.B. aus China erhältst. Das verstehe ich schon nicht, denn wenn die Firewall das tut, was du von ihr erwartest, sind Zugriffe von allen IP außer der einen explizit angegebenen unabhängig von der Portfrage Geschichte. Deshalb meine Bitte: Poste mal die Einstellungen der Firewall.

Zu (2)
Weil bei mir (1) funktioniert, mache ich mir zu (2) gar keine Gedanken mehr.

Gruß Hafer

 

[jeroms]

Sicher, dass Du das nicht kannst? Normalerweise kann das jeder! Steht der Router bei Dir (Wohnung)? Welches Model?
Eine Verschleierung macht den Port von aussen quasi unsichtbar, indem man einen völlig andern Port nimmt. Ich zum Beispiel habe 922 genommen. Die nicht gewollten Anfragen werden immer auf Port 22 erfolgen. Wenn der Port nicht mehr die 22 ist (also geschlossen), dann werden zukünftige Anfragen vom Router immer abgewiesen. Die (an-)Fragenden wissen ja nicht, dass sie mal den richtigen Port probieren sollten (922).
Der Router leitet also ab dann alle Anfragen auf 922 auf 22 an der Diskstation um. Deine derzeitige Portweiterleitung am Router müsste also nur von "22 auf 22" in "922 auf 22" geändert werden. Mehr wäre gar nicht zu tun.

Ja ich bin sicher der Router ist eine Antenne auf die ich keinen Zugriff habe. Es ist hier eine besondere Situation. Mein Provider hat ein lokales Netzwerk über Antennen installiert ( www.digitalforge.ie). Normalerweise teilen sich alle Nutzer eine IP Adresse. Der Provider kann aber eine Fixe Adresse an einzelne Kunden vergeben, das ist so in meinem Fall. Diese Adresse wird nun in diesem Fall auf eine meiner Internen Adressen weitergeleitet (Forwarding) in diesem Fall auf den DS214se und hat er mir den Port 22 geöffnet. Er kann mir mir natürlich jeden anderen Port öffnen. Alles andere muss ich auf dem Server selbst machen. Ich könnte natürlich z.B. Port922 öffnen lassen und diesen Port im SFTP/ssh einstellen. Aber innerhalb der DS214se den Port umleiten wie soll das gehen??

Es wäre natürlich eine Möglichkeit einen selten benutzten Ports.B. 5 stellig zu öffnen und diesen imSFTP/ ssh Bereich eintragen. Wenn es denn geht.

 

[jeroms]

Trennen wir mal die Punkte (1) Zugriffe trotz Firewall und (2) Verschleierung des Ports.

Zu Punkt (1)
In dem von mir oben zitierten Teil sprichst du davon, dass du trotz Verbots aller Länderzugriffe per Firewall Zugriffsversuche z.B. aus China erhältst. Das verstehe ich schon nicht, denn wenn die Firewall das tut, was du von ihr erwartest, sind Zugriffe von allen IP außer der einen explizit angegebenen unabhängig von der Portfrage Geschichte. Deshalb meine Bitte: Poste mal die Einstellungen der Firewall.

Zu (2)
Weil bei mir (1) funktioniert, mache ich mir zu (2) gar keine Gedanken mehr.

Gruß Hafer

Hi, hier ein screenshot Einstellungen Firewall im Anhang

gruss jergan

 

[whitbread]

So schön und einfach die Einstellungen auf der DS auch scheinen. Zwischen eine (von aussen erreichbare) NAS und das www bzw. den Übergabepunkt dahin gehört eine Firewall! Das ist jedenfalls meine Meinung...

Damit liesse sich dann Deine Portverschleierung ebenso lösen wie ein Schutz vor Brute-Force-Attacken, und zwar bevor die Anfragen Deine NAS erreichen. Bei SSH würde ich mir zudem mal das Thema Portknocking anschauen.

 

[Hafer]

@whitebread: Deine Meinung gerne, aber nicht immer eine Lösung. Die Firewall meines routers zB lässt eine IP Einschränkung auf regions gar nicht zu. Also kann ich dort nur alle ports blocken, außer 22, den ich weiterleite auf die DS. Die FW der DS schränkt dann den IP-Range (über regions oder Bereichsangaben, Masken, ...) ein. Damit erhalte ich nahezu NULL Besucher.

Hi, hier ein screenshot Einstellungen Firewall im Anhang

Diese hochqualitativen deutschen Übersetzungen sind der Grund, weshalb ich meist das englische Original bevorzuge: Der Text unter "alle Schnittstellen" will eigentlich sagen, dass die Regeln der Schnittstellen LAN 1, LAN 2 etc erst dann ANGEWENDET (nicht angepasst) werden, wenn keine Regeln dieser Seite zutreffen.

Zu deinem Problem: So habe ich das auch probiert und bin gescheitert. Ich habe es dann umgedreht: Versuche mal unter "alle Schnittstellen" nur die Ports für Surveillance, DHCP etc zuzulassen, alle anderen Regeln dort löschen. Unter LAN 1 (oder wo auch immer du das LAN-Kabel angestöpselt hast, stellst du dann die 37.232.49.199 und 192.168.100.1 bis 192.168.100.254 unter ZULASSEN ein. Unten drunter ("if no rules are matched") dann die Default-Einstellungen auf DENY.

Gruß Hafer

 

[whitbread]

Jeder so wie er mag: Ich würde meine DS eben gerade nicht mehr hinter einen normalen DSL-Router, der eben keine Firewall ist, hängen. Wie gesagt IMO ;-)