Toggle sidebar

Versteh ich bei der Firewall einfach was nicht oder hat Synology hier Mist gebaut?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

Scylor

Benutzer
Registriert
04. Apr. 2012
Beiträge
407
Reaktionspunkte
1
Punkte
16
Hier erstmal ein Bild meiner aktuellen Firewallregeln:
fw.jpg

Jetzt habe ich 3 Probleme:

- Problem 1: Wenn ich versuche die Regel für Port 51234 zu löschen (ist bei mir der standard https port), meckert er rum dass ich mich damit selber aussperren würde und er die Änderung daher nicht übernehmen kann. Ich greife aber momentan von 192.168.1.3 zu. Dieser IP wird ja schon in Regel 1 der komplette Zugriff erlaubt.

- Problem 2: Wenn ich die IP auf verschiedene Länder eingrenzen möchte, dann geht das nicht. Ich bin bei einem regionalen Kabelprovider mitten in Deutschland, sobald ich aber die IP auf Deutschland einschränke habe ich keinen Zugriff mehr. WTF?

- Problem 3: Der Sicherheitsberater sagt folgendes:
lan.jpg
Worauf ist das genau zurückzuführen?
 
Scylor schrieb:
- Problem 1: Wenn ich versuche die Regel für Port 51234 zu löschen (ist bei mir der standard https port), meckert er rum dass ich mich damit selber aussperren würde und er die Änderung daher nicht übernehmen kann. Ich greife aber momentan von 192.168.1.3 zu. Dieser IP wird ja schon in Regel 1 der komplette Zugriff erlaubt.
Zum Vergrößern anklicken....
Es könnte sein, dass Du gerade per IPv6 zugreifst (falls Dein Rechner und die DS sich bspw. per DHCP mit einer IPv6 versorgen) - in diesem Fall reicht die erste Regel nicht, da IPv6 seperat eingetragen werden muss.
Was hast Du denn in der relevanten LAN-Schnittstelle für den Fall festgelegt, dass keine Regel zutrifft? Vermutlich 'Blockieren', oder?

Scylor schrieb:
- Problem 2: Wenn ich die IP auf verschiedene Länder eingrenzen möchte, dann geht das nicht. Ich bin bei einem regionalen Kabelprovider mitten in Deutschland, sobald ich aber die IP auf Deutschland einschränke habe ich keinen Zugriff mehr. WTF?
Zum Vergrößern anklicken....
Greifst Du dabei per IPv4 oder IPv6 zu?

Zum Sicherheitsberater: der ist weitgehend nutzlos, kann man praktisch ignorieren.
 
Soweit ich die Firewall (dsm5) kenne hat sie mit deinen Doppel Regeln ein Problem. vor allem da sie ja diese Doppel Regeln zum teil ja selber nochmal erstellt durch den Punkt "sollte keine Regel zutreffen dann :" Lösche mal alles raus und setze global erlauben und fange dann langsam an entweder nur zu erlauben oder nur zu sperren.
 
heavy schrieb:
Soweit ich die Firewall (dsm5) kenne hat sie mit deinen Doppel Regeln ein Problem. ... .
Zum Vergrößern anklicken....
Was meinst Du denn damit?

Die Firewall arbeitet immer die Regeln von oben nach unten ab, bis eine gefunden wird, die zutrifft - diese wird dann ausgeführt, egal ob es 'Zulassen' oder 'Blockieren' ist. Alle folgenden Regeln werden ignoriert! Und selbstverständlich können Regeln mit 'Zulassen' bzw. 'Blockieren' gemischt werden...
Er werden auch keine "Doppelregeln" von der Firewall erzeugt - die Firewall führt lediglich dann, wenn keine der Regeln zutrifft, die pauschale Regel aus, die für die betreffende Netzwerkschnittstelle festgelegt ist, als entweder 'Zulassen' oder 'Blockieren'.
 
Frogman schrieb:
Es könnte sein, dass Du gerade per IPv6 zugreifst (falls Dein Rechner und die DS sich bspw. per DHCP mit einer IPv6 versorgen) - in diesem Fall reicht die erste Regel nicht, da IPv6 seperat eingetragen werden muss.
Was hast Du denn in der relevanten LAN-Schnittstelle für den Fall festgelegt, dass keine Regel zutrifft? Vermutlich 'Blockieren', oder?


Greifst Du dabei per IPv4 oder IPv6 zu?

Zum Sicherheitsberater: der ist weitgehend nutzlos, kann man praktisch ignorieren.
Zum Vergrößern anklicken....

IPv6 habe ich garnicht, steht bei mir überall auf ignore (im Router, synology sowie beim client), es läuft alles über IPv4.

"Was hast Du denn in der relevanten LAN-Schnittstelle für den Fall festgelegt, dass keine Regel zutrifft? Vermutlich 'Blockieren', oder?"
Was meinst du denn damit? In den Laneinstellungen selbst habe ich garnichts dazu festgelegt. Um das Theme kümmert sich bei mir doch die letzte Regel? So war es nämlich gedacht.
 
Frogman schrieb:
Die Firewall arbeitet immer die Regeln von oben nach unten ab, bis eine gefunden wird, die zutrifft - diese wird dann ausgeführt, egal ob es 'Zulassen' oder 'Blockieren' ist. Alle folgenden Regeln werden ignoriert! Und selbstverständlich können Regeln mit 'Zulassen' bzw. 'Blockieren' gemischt werden...
Zum Vergrößern anklicken....

Genau der Meinung war ich auch, kann aber nicht sein weil er ja dann kein Problem damit hätte mich die 51234er löschen zu lassen, daher die Frage ob die bei Syno das falsch implementiert haben.
 
Scylor schrieb:
Genau der Meinung war ich auch, kann aber nicht sein ...
Zum Vergrößern anklicken....
Na, und ob - warum glaubst Du, kannst Du sonst überhaupt zugreifen angesichts Deiner letzten Regel? ;)

Nochmals die Nachfrage: In der DS steht IPv6 auf "AUS"?
 
Man erkennt dort, dass Du einen Bond verwendest - ich würde daher nochmal schauen, ob Du für den auch Regeln eingetragen hast... denn Deine Regeln gelten ja für 'Alle Schnittstellen'.
Außerdem die Empfehlung, Deine Regeln explizit für den Bond einzutragen, nicht für 'Alle Schnittstellen'. (Oder für LAN1 eintragen, solange Du keinen Bond eingerichtet hast - dann werden diese Regeln automatisch für den Bond übernommen, wenn er aktiviert wird, eventuelle Regeln für LAN2 merkt sich die Firewall für den Fall, dass der Bond wieder aufgelöst wird).

Hinweis: solange sich keine Regeln widersprechen, ist die Priorität der Regeln:

  1. Regeln, die unter „Alle Schnittstellen“ definiert sind.
  2. Regeln, die in den entsprechenden Schnittstellen definiert sind, zu welchen die Verbindung gehört.
  3. Standardregeln in den entsprechenden Schnittstellen, zu welchen die Verbindung gehört.

PS: Steht IPv6 auf 'Aus' oder 'Automatisch'?
 
Zuletzt bearbeitet:
Danke erstmal für die Hilfe. Es haut aber nach wie vor nicht so hin wie es soll. Hier mein aktuelles setup:
ip6.jpg
fw2.jpg

Ich kann nach wie vor die 51234er nicht löschen weil er dann sagt dass ich mich selbst aussperren würde.
Die Regeln unter "Alle Schnittstellen" sind jetzt komplett gelöscht.
 
Deaktiviere einmal die Firewall, dann versuche die Regel zu löschen, um danach die Firewall wieder zu aktivieren.
 
Ändere mal bitte die erste Regel ab zu "Quell-IP 192.168.1.0/255.255.255.0", d.h. Du gibst das ganze lokale Subnet mit der Maske 255.255.255.0 frei.
 
Frogman schrieb:
Ändere mal bitte die erste Regel ab zu "Quell-IP 192.168.1.0/255.255.255.0", d.h. Du gibst das ganze lokale Subnet mit der Maske 255.255.255.0 frei.
Zum Vergrößern anklicken....

Das hats gebracht. 51234 lässt sich löschen. Was jetzt?
 
Tja, daraus würde ich jetzt mal den Schluss ziehen, dass Du nicht mit 192.168.1.3 zugegriffen hast.
Warum schränkst Du eigentlich den lokalen Zugriff im LAN mit den Regeln 1-3 unterschiedlich ein? Dem LAN kannst Du soweit vertrauen... und kannst es mit der jetzigen Regel 1 komplett freigeben (Regel 2 und 3 kannst Du dann löschen). Den DSM-Zugriff (ob nun über 5001, 51234 oder einen anderen Port) würde ich extern nie freigeben, sondern nur über einen VPN-Tunnel nutzen.
 
Frogman schrieb:
Tja, daraus würde ich jetzt mal den Schluss ziehen, dass Du nicht mit 192.168.1.3 zugegriffen hast.
Warum schränkst Du eigentlich den lokalen Zugriff im LAN mit den Regeln 1-3 unterschiedlich ein? Dem LAN kannst Du soweit vertrauen... und kannst es mit der jetzigen Regel 1 komplett freigeben (Regel 2 und 3 kannst Du dann löschen). Den DSM-Zugriff (ob nun über 5001, 51234 oder einen anderen Port) würde ich extern nie freigeben, sondern nur über einen VPN-Tunnel nutzen.
Zum Vergrößern anklicken....

Ifconfig:

ifconfig.png
Also wenn das nicht die 192.168.1.3 ist dann weiß ich auch nicht. Keine Ahnung was da los ist.

Der Grund warum ich 1-3 getrennt habe ist der folgende:
192.168.1.(3,4,5) sind mein Desktop, handy und laptop, von denen will ich zugriff auf alles haben.
192.168.1.6 ist mein nvidia shield tv. Da hab ich weniger kontrolle drüber (auch was sicherheit etc angeht) und weil der eh nur zugriff auf die Video station haben soll hab ich ihn eingeschränkt.
Auf den Drucker sollen ruhig alle zugreifen können, alle anderen IPs hab ich deswegen geblock weil halt auch Bekannte etc in meinem Netzwerk sind und nicht nur meine eigenen Geräte.

> Den DSM-Zugriff (ob nun über 5001, 51234 oder einen anderen Port) würde ich extern nie freigeben
Ja darüber habe ich mir auch Gedanken gemacht. Ich bin aber teilweise länger nicht zuhause und muss daher auch von außen drauf zugreifen können. Da ich die 2FA aktiviert habe dürfte das eigtl kein großes Problem sein.
 
Scylor schrieb:
192.168.1.6 ist mein nvidia shield tv. Da hab ich weniger kontrolle drüber (auch was sicherheit etc angeht) und ...
Zum Vergrößern anklicken....
Du kannst für ihn ja einen eigenen User einrichten, der eben nur auf die Video Station Zugriff bekommt - dann hast Du den TV auch an die Kette gelegt.

Scylor schrieb:
... weil halt auch Bekannte etc in meinem Netzwerk sind und nicht nur meine eigenen Geräte.
Zum Vergrößern anklicken....
Ok, grundsätzlich nachvollziehbar. Aber dann würde ich die alle aus einem DHCP-Pool versorgen, den ich mit einer Regel aussperren würde (d.h. eine Regel vor der pauschalen Freigabe des LAN-Subnets - da sie höher priorisiert ist, bleiben alle Gäste aus dem DHCP-Pool draußen, der Rest des LAN-Subnets bleibt komplett frei.
 
Frogman schrieb:
Du kannst für ihn ja einen eigenen User einrichten, der eben nur auf die Video Station Zugriff bekommt - dann hast Du den TV auch an die Kette gelegt.


Ok, grundsätzlich nachvollziehbar. Aber dann würde ich die alle aus einem DHCP-Pool versorgen, den ich mit einer Regel aussperren würde (d.h. eine Regel vor der pauschalen Freigabe des LAN-Subnets - da sie höher priorisiert ist, bleiben alle Gäste aus dem DHCP-Pool draußen, der Rest des LAN-Subnets bleibt komplett frei.
Zum Vergrößern anklicken....

Der shield hat schon seinen eigenen user, aber was sicherheit angeht bin ich teilweise etwas pingelig. Was den dhcp pool angeht, wie genau setz ich das um?
 
Naja, gewöhnlich läuft ja auf dem Router ein DHCP-Server (bspw. in der Fritzbox). Diesen kannst Du so konfigurieren, dass er IP-Adressen aus einem festgelegten Bereich vergibt, bspw. 192.168.1.200 bis 192.168.1.220. Eben für diesen Bereich legst Du dann eine Regel in der DS-Firewall an, die den Zugriff blockiert.
Allen Nutzern, die Zugriff auf die DS haben sollen, musst Du natürlich im Router eine feste IP außerhalb des DHCP-Bereichs reservieren, damit sie nicht ausgesperrt werden.
 
Frogman schrieb:
Naja, gewöhnlich läuft ja auf dem Router ein DHCP-Server (bspw. in der Fritzbox). Diesen kannst Du so konfigurieren, dass er IP-Adressen aus einem festgelegten Bereich vergibt, bspw. 192.168.1.200 bis 192.168.1.220. Eben für diesen Bereich legst Du dann eine Regel in der DS-Firewall an, die den Zugriff blockiert.
Allen Nutzern, die Zugriff auf die DS haben sollen, musst Du natürlich im Router eine feste IP außerhalb des DHCP-Bereichs reservieren, damit sie nicht ausgesperrt werden.
Zum Vergrößern anklicken....

Ah verstehe, die negativversion also, das krieg ich hin. Vielen Dank erstmal, hast mir sehr geholfen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten