DSM 6.x und darunter Firewall Einstellungen

[hitindags]

Ich habe schon seit einiger Zeit eine 218+ am laufen und habe mich nun mal dem Thema Sicherheit gewidmet. In das Internet verbindet sich das NAS über einen Express VPN, den ich in den Netzwerkeinstellungen vorgenommen habe. Es scheint so, als ob das auch gut funktioniert und der gesamte IP4 Traffic über den VPN abgewickelt wird. IP6 habe ich blockiert, da das Express VPN so auf seiner Website vorgeschlagen hat. Wenn ich nun die Firewall aktiviere und nur Port 5000/5001 für die Weboberfläche zulasse, fällt mir auf, dass die Regeln nur im LAN einen Effekt haben, obwohl ich die Regeln global angelegt habe. DS lädt weiter runter, Plex ist remote noch ansprechbar, etc. Meine Frage: umgeht der VPN die Firewall, obwohl ich die Regeln auch explizit für den VPN angelegt habe? Außerdem: brauche ich die Firewall überhaupt, wenn der gesamte externe Traffic über einen VPN läuft? Es ist ja ein public VPN, von daher sollte man sich dort auch schützen, oder nicht? Ich habe auch aktiviert, dass ich bei neuen Regeln benachrichtig werden möchte, bisher kam da aber nichts. Mache ich was falsch?

 

[NSFH]

Einen Server würde ich niemals ohne Firewall betreiben.
Liegt der Fehler evtl darin, dass du am Ende der Einrichtungsseite der Firewall einen Haken übersehen hast, der alles andere als das Freigegebene blockiert. Dann hast du zwar Regeln erstellt aber nicht alles andere explizit verboten.
Andere Möglichkeit wenn du das VPN über die Syno laufen lässt, da hat jede Schnittstelle eine eigene Seite zum Erstellen spezieller Regel, also nicht nur ETH sondern auch VPN.

 

[hitindags]

Ich habe eine Regel "alles blockieren" unter alle Schnittstellen und dann nur "port 5000,5001" freigegeben. Selbst nach einem Neustart lädt DS munter weiter und Plex ist erreichbar.

 

[NSFH]

Ich glaube da helfen nur Screenshots deiner Einstellungen weiter

 

[hitindags]

Hier meine Einstellungen.

 

[Perry2000]

Hier ist aber nix

 

[hitindags]

Was mir auffällt: Als Pop-Up werden mir bei der Regel mehrere Services angezeigt, nicht nur die Verwaltungsoberfläche.

 

[hitindags]

Hier ist aber nix

Doch da müssten Bilder angehängt sein an das Posting.

 

[hitindags]

Ok, es scheint eben so, als ob DS auch Port 5000 benutzt. Was mir aber nicht erklärt, warum Plex über Remote Access funktioniert. Das sollte Port 32000 sein, laut Plex Einstellungen.

 

[TeXniXo]

32000

Du meinst eh 32400 ... ?

 

[hitindags]

Du meinst eh 32400 ... ?

Äh, ja. Außerdem habe ich in der Firewall "BT" deaktiviert. Eigentlich soltlen dann doch auch keine Torrents in der DS funktioniere, oder sehe ich das falsch?

 

[hitindags]

Und auf welchem Weg bekomme ich die Vorschläge für Portfreigaben? Bisher nichts gesehen, obwohl ich versucht habe über das LAN auf den Fileserver zu kommen. Das müsste das DSM doch melden, oder nicht?

 

[TeXniXo]

Einstellungen

Entferne mal alle Einträge in "alle Schnittstellen", da du ja für einzelne Schnittstellen schon entsprechend konfiguiert hast. Merke dir: Verbot "schlägt" Erlaubnis, Alle "schlägt" einzeln, etc.

 

[TeXniXo]

Und auf welchem Weg bekomme ich die Vorschläge für Portfreigaben? Bisher nichts gesehen, obwohl ich versucht habe über das LAN auf den Fileserver zu kommen. Das müsste das DSM doch melden, oder nicht?

Meldet sich nur bei erstmaliger Einrichtung des entsprechenden Dienstes. Alle weiteren Infos siehst du ja in Firewall (Anhänge oben)

 

[NSFH]

Öffne mal die Erlaubnis Verwaltungsoberfläche. Ich nehme an unter dieser Erlaubnis hast du mehr angeklickt als nur DSM. Mit einem Eintrag kannst du in der Mehfachauswahl auch alles erlauben.
Soetwas macht man grundsätzlich nicht. Für jede Erlaubnis immer einen eigenen Eintrag erstellen!

 

[hitindags]

Entferne mal alle Einträge in "alle Schnittstellen", da du ja für einzelne Schnittstellen schon entsprechend konfiguiert hast. Merke dir: Verbot "schlägt" Erlaubnis, Alle "schlägt" einzeln, etc.

Dann aktiviere ich 5000/5001 in LAN? Ansonsten hab ich ja kein Zugriff mehr

 

[TeXniXo]

keine Torrents in der DS funktioniere,

Was verstehst du unter "funktionieren"? Torrents aufrufen kann man in DS gar nicht oder meinst du das Paket, das von außen erreichbar wäre?

 

[hitindags]

Öffne mal die Erlaubnis Verwaltungsoberfläche. Ich nehme an unter dieser Erlaubnis hast du mehr angeklickt als nur DSM. Mit einem Eintrag kannst du in der Mehfachauswahl auch alles erlauben.

Nein, da ist nur DSM angeklickt.

 

[TeXniXo]

Dann aktiviere ich 5000/5001 in LAN? Ansonsten hab ich ja kein Zugriff mehr

Wenns mich nicht täuscht, hast du sie ja schon unter "LAN" aktiviert, ne?

 

[hitindags]

Wenns mich nicht täuscht, hast du sie ja schon unter "LAN" aktiviert, ne?

Nee, da habe ich alles geblockt bisher.