Toggle sidebar

DSM 7.2 Firewall Regel konfigurieren

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
G

Ghost108

Benutzer
Registriert
27. Juni 2015
Beiträge
1.278
Reaktionspunkte
76
Punkte
68
Hallo zusammen,

leider habe ich keine passende Kategorie gefunden, habe nach "Sicherheit" oder "Firewall" gesucht.
Sollte das Thema hier nicht richtig sein, bitte verschieben.

Anbei meine alte IST Situation:
Bildschirmfoto 2023-06-20 um 11.02.47.png

Erklärung:
Fritzbox hat einen offnen Port 443 für meine Synology VM und ebenso einen offenen Port 5508 für meine physikalische Synology.
Der Zugriff findet jeweils von meiner Webseite statt, welche bei STRATO liegt.

Meine neue IST Situation sieht nun wie folgt aus:

Klappt auch soweit.
Allerdings möchte ich diesen "Zugriff" via Firewall der NAS beschränken.

Meine Firewall ist aktuell wie folgt konfiguriert:

Bildschirmfoto 2023-06-20 um 11.13.00.png

1. Alle aus dem internen Netz haben Zugriff auf alles
2. Die IP Bereich meiner Docker Container haben Zugriff auf alles
3. Ansonsten alles verweigern


  • Nun wollte ich Regel 1 wie folgt anpassen: 192.168.108.1 - 192.168.108.250
  • Eine neue Regel darunter: Ports (5808 mariaDB, 5108 DSM für die Webapi), Protokoll TCP, Quell-IP 192.168.108.251 (NAS VM)
  • Regel 2+3 unverwändert
Danach funktioniert aber der "Zugriff" nicht mehr.
Wo habe ich hier den Denkfehler? Danke!
 

Anhänge

  • 1687252299970.png
    1687252299970.png
    117,3 KB · Aufrufe: 13
Regeln in der Firewall werden immer von oben nach unten abgearbeitet. Deaktiviere mal die letzte Regel und teste es nochmals.
Falls es dann geht, würde ich persönlich Regel Nr. 3 nach oben schieben und wieder testen.

Edit: Welche IP hat dein Gateway? 192.168.108.254?
 
Zuletzt bearbeitet:
das Gateway hat die 192.168.108.1

zur Info:
habe jetzt erst mal eine separte Regel nur für die NAS VM angelegt und diese aus der Regel 1 rausgenommen.
Bildschirmfoto 2023-06-20 um 12.25.32.png

Regel 2 wäre nun die Regel für die NAS VM. Steht aktuell auf "alles alles zulassen".
Das geht natürlich. Wenn ich aber nur auf die 2 Ports runterbreche dann nicht mehr
 
Wie jetz? Du kannst die VM doch in Regel 1 mit inkludieren.
Von welchen Ports redest du? Schick mal einen Screenshot von den Regeln, wenn es nicht geht. Dazu die Info, was genau nicht geht
 
  • Like
Reaktionen: luddi
Ghost108 schrieb:
Wenn ich aber nur auf die 2 Ports runterbreche dann nicht mehr
Zum Vergrößern anklicken....
Die Frage ist, welche Dienste muss bzw. soll oder darf die VM auf der NAS nutzen dürfen?
Wenn ich aus Post #1 entnehme, sind das diese zwei Dienste und die jeweiligen Ports.
  • 5808 mariaDB
  • 5108 DSM für die Webapi
Und wo genau sind denn die Probleme um von der VM auf das NAS zuzugreifen? Einmal etwas genauer beschreiben was getan bzw. versucht wird in welcher Form versucht wird auf das NAS zuzugreifen.
 
plang.pl schrieb:
Wie jetz? Du kannst die VM doch in Regel 1 mit inkludieren.
Von welchen Ports redest du? Schick mal einen Screenshot von den Regeln, wenn es nicht geht. Dazu die Info, was genau nicht geht
Zum Vergrößern anklicken....
Wenn ich die NAS VM in die Regel 1 mit aufnehmen würde, dann würde die NAS VM ALLES können.
Das soll Sie ja nicht. Deswegen ja eine limitierte Regel.
luddi schrieb:
Die Frage ist, welche Dienste muss bzw. soll oder darf die VM auf der NAS nutzen dürfen?
Wenn ich aus Post #1 entnehme, sind das diese zwei Dienste und die jeweiligen Ports.
  • 5808 mariaDB
  • 5108 DSM für die Webapi
Und wo genau sind denn die Probleme um von der VM auf das NAS zuzugreifen? Einmal etwas genauer beschreiben was getan bzw. versucht wird in welcher Form versucht wird auf das NAS zuzugreifen.
Zum Vergrößern anklicken....

Zusammengefasst:
Wenn ich nur diesen beiden Ports öffne = keine Verbindung mehr möglich

Interessanterweise:

Bildschirmfoto 2023-06-21 um 07.22.47.png

Zugriff von meiner NASVM alle alles klappt ja, wie oben schon gesagt:

Jetzt dachte ich mir, ich aktiviere mal die Option "Aus einer Liste integrierter Anwendungen" und aktiviere hier erst mal alle Optionen, sodass ich dann step by step deaktivieren kann, um zu schauen, wann es nicht mehr geht. Aber wenn ich es so einstelle mit allen Optionen aktiv, klappt es auch schon nicht mehr. Mein Aufruf von der Webseite aus läuft jedes mal in einen Timeout.
 

Anhänge

  • 1687325383813.png
    1687325383813.png
    122,4 KB · Aufrufe: 8
Da ist aber immer noch kein Screenshot von dem erwähntem Regelwerk dabei
 
Das ist tatsächlich komisch. Hast du die Ports in der Regel mal manuell eingetragen?
 
sorry die URL sollte https:// heißen. tippfehler meinerseits
 
Dann verstehe ich das leider auch nicht. Bei mir funktioniert das einwandfrei, wenn ich nur einzelne Ports anwähle.
Gibts ein Log vom Script?
Du kannst mal testweise eine Regel für einen PC erstellen, die genau so aussieht. Dann kannst du mit PowerShell und dem Befehl test-netconnection 192.168.108.250 -Port 5808 testen, ob der Port erreichbar ist
 
interessant wäre ja zu wissen, was die Firewall in dem Moment blockt.
Gibt es davon kein Log?
 
Den hab ich auch schon mal gesucht - aber leider nicht gefunden
 
plang.pl schrieb:
Dann verstehe ich das leider auch nicht. Bei mir funktioniert das einwandfrei, wenn ich nur einzelne Ports anwähle.
Gibts ein Log vom Script?
Du kannst mal testweise eine Regel für einen PC erstellen, die genau so aussieht. Dann kannst du mit PowerShell und dem Befehl test-netconnection 192.168.108.250 -Port 5808 testen, ob der Port erreichbar ist
Zum Vergrößern anklicken....
habe ich nun von nem windows client getestet.
erst mal firewalltechnisch geblockt und netconenction mit port 5108 + 5808 probiert = Connection false
Dann die Firewall konfiguriert für den Client, für beide Ports = Connection true.


Ich verstehe es nicht
 
Das ist in der Tat sehr merkwürdig. Jetzt würde natürlich ein log der VM helfen um herauszufinden über welche Ports denn versucht wird zusätzlich zu kommunizieren.
 
nachdem ich meinen Code nun gesplittet habe (Fehleranalyse) kann ich nun folgendes sagen:

Meine Webseite baut einen ajax request zur nasVM. Hier wird das Script gestartet, welches eine MYSQL Verbindung zur MariaDB aufbaut, welche auf der NAS liegt über Port 5808 -> DAS funktioniert

Als nächstes startet das Script einen curl Befehl an die NAS webapi über Port 5108:
Und hier hakt es - warum auch immer - bin dran!
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten