DSM 6.x und darunter Firewall blockiert SSH Port 22 trotz Freigabe

[Herbert_Testmann]

Hallo,

nach einigem Suchen kann ich folgenden Fehler nachvollziehen ...

In der Firewall der DS109 ist eingestellt "Zugriff verweigern" und einige Regeln für die Ausnahmen.
Ich habe für mein internes Subnetz die Funktion "Anwendung auswählen
" benutzt und mit "Alle auswählen" sämtliche Haken gesetzt. Somit sind die Ports für alle laufenden Anwendungen freigegeben.
Dann ist kein Zugriff über SSH Port 22 mehr möglich.
Nach einigen Versuchen habe ich jetzt raus gefunden, dass alle Haken gesetzt sein dürfen, ausser der oberste "iSCSI". Ist der oberste Haken nicht gesetzt, so funktioniert SSH wieder, obwohl die Ports garnichts miteinander zu tun haben ...

Ich kann auch eine benutzerdefinierte Regel aufstellen, in der ich ALLE Ports freigebe. Dann geht es auch. Das Problem tritt wirklich nur auf, wenn in der Liste der iSCSI haken gesetzt ist

Kann das jemand nachvollziehen. Und wenn ja, wo schreibt man solche Bugs rein ??

 

[Matthieu]

Kann das jemand nachvollziehen. Und wenn ja, wo schreibt man solche Bugs rein ??

http://www.synology.com/support/support_form.php?lang=enu
Gibts auch auf Deutsch aber da muss es erst übersetzt werden und das kann dauern ...

MfG Matthieu

 

[jahlives]

All deine Regeln haben als Aktion "erlauben"? Wie genau hast du das interne Netzwerk definiert? Mit IP und Subnetzmaske? Oder als einzelner Host?

 

[Herbert_Testmann]

All deine Regeln haben als Aktion "erlauben"? Wie genau hast du das interne Netzwerk definiert? Mit IP und Subnetzmaske? Oder als einzelner Host?

In dem Fenster mit allen Regeln steht unten "wenn nichts zutrifft - verbieten". In den einzelnen Regeln steht "Bei Betrieb - erlauben" (schön übersetzt

Das Netz ist 192.168.1.1 mit Maske 255.255.255.0

Für extern habe ich dann nur 3 Ports freigegeben , in einer zweiten Regel.

(Ist jetzt auch nicht schlimm, da ich iSCSI und emule ... nicht brauche. Ist mir nur aufgefallen, da SSH nicht mehr ging.)

 

[goetz]

Hallo,
kann ich so nicht bestätigen. Habe es genau so nachgestellt. Poste mal die Ausgabe von
iptables -nvL


Gruß Götz

 

[jahlives]

Das Netz ist 192.168.1.1 mit Maske 255.255.255.0

Für extern habe ich dann nur 3 Ports freigegeben , in einer zweiten Regel.

(Ist jetzt auch nicht schlimm, da ich iSCSI und emule ... nicht brauche. Ist mir nur aufgefallen, da SSH nicht mehr ging.)

geht es denn wenn du das LAN mit 192.168.1.0/255.255.255.0 definierst?

 

[Herbert_Testmann]

Hallo,
kann ich so nicht bestätigen. Habe es genau so nachgestellt. Poste mal die Ausgabe von
iptables -nvL

so sieht es aus, wenn alle Haken gesetzt sind, und SSH nicht geht


iptables -nvL
Chain INPUT (policy ACCEPT 2 packets, 120 bytes)
pkts bytes target prot opt in out source destination
134 15026 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 3260,4662,6881:6890,55736:55863,21,55536:55663,548,137,138,139,445,111
3 862 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 892,443,80,25,110,143,3493,873,3306,3689,1900,50001,50002,5001,5000
3 132 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 tcp dpt:23
2 168 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 udp spt:137
27 10002 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 4672,6881,55900:55910,161,111,2049,892,1234,9997,9998,9999,1900,50001,50002
5 622 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 139 packets, 18586 bytes)
pkts bytes target prot opt in out source destination

-----------------------------------------

so sieht es aus, wenn der iSCSI Haken weg ist. Dann geht SSH, aber Telnet dafür nicht (

iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
45 5048 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 4662,6881:6890,55736:55863,21,55536:55663,548,137,138,139,445,111,2049
2 822 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 443,80,25,110,143,3493,873,3306,3689,1900,50001,50002,5001,5000,22
0 0 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 udp spt:137
15 4552 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 4672,6881,55900:55910,161,111,2049,892,1234,9997,9998,9999,1900,50001,50002
5 610 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 41 packets, 6094 bytes)
pkts bytes target prot opt in out source destination

-----------------------------------------------

hier sind die ersten 3 Haken weg / iSCSI + emule
dann geht SSH und Telnet

iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
113 9061 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 6881:6890,55736:55863,21,55536:55663,548,137,138,139,445,111,2049,892
5 1018 ACCEPT tcp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 80,25,110,143,3493,873,3306,3689,1900,50001,50002,5001,5000,22,23
2 168 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 udp spt:137
85 25944 ACCEPT udp -- eth0 * 192.168.1.0/24 0.0.0.0/0 multiport dports 6881,55900:55910,161,111,2049,892,1234,9997,9998,9999,1900,50001,50002
35 3534 DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- ppp0 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 112 packets, 13090 bytes)
pkts bytes target prot opt in out source destination

-----------------
sieht mal sich die Ports an, so macht die Firewall offenbar genau, was da steht. Nur funktioniert das Bedieninterface nicht so, wie es soll.

 

[Herbert_Testmann]

geht es denn wenn du das LAN mit 192.168.1.0/255.255.255.0 definierst?

192.168.1.0 ändert nichts. In den Regeln steht in jedem Fall 192.168.1.0 s.o.

 

[goetz]

Hallo,
welche Regeln hast Du noch definiert? Sowohl auf meiner 106 als auch der 107+ gibts keine Probleme. Allerdings ist die Reihenfolge der Ports bei beiden Systemen anders und bei Dir nochmal anders. Deine anderen Regeln wären interessant. Den Link zum Support hat Matthieu bereits gepostet.

Gruß Götz

 

[Herbert_Testmann]

Ich habe keine anderen Regeln. Für den Test habe ich nur die im Bild zu sehenden Haken gemacht.
Die zweite Regel für externen Zugriff habe ich für den Test deaktiviert.

 

[goetz]

Hallo,
dann muß wohl jemand mit einer DS-109 das mal gegenprüfen. Wie gesagt auf meinen beiden Systemen kein Problem.

Gruß Götz

 

[Herbert_Testmann]

Ich habe einen Bug-Report geschrieben. Mal sehen, was für eine Antwort kommt.

 

[Herbert_Testmann]

Ich habe einen Bug-Report geschrieben. Mal sehen, was für eine Antwort kommt.

Hier die Antwort nach einigem e-mail Verkehr

... bitte warten ...

Thanks for your message.

After replicating this issue myself, I found the exact problem mentioned earlier. We will officially log this request and further research is on pursuit.

We hope that this issue will be fixed by our later firmware release.

Thanks for bringing this problem to our attention.

Best Regards,
Antoine Yang