- Registriert
- 25. Nov. 2022
- Beiträge
- 6.241
- Reaktionspunkte
- 3.848
- Punkte
- 354
@MGFirewater: Funktioniert deine Firewall mit diesen Regeln erwartungsgemäß? Du hast gar keine abschließende Blockregel drin.
DSM 7.1 Liste mit Quell-IPs bzw. Ländern in Firewall leer ?!
- Ersteller Dominik.S
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
Hallo Dominik.S,
Bücher und Hardware zum Thema gibt es bei Amazon: Liste mit Quell-IPs bzw. Ländern in Firewall leer ?!
Bücher und Hardware zum Thema gibt es bei Amazon: Liste mit Quell-IPs bzw. Ländern in Firewall leer ?!
ich habe keine anfragen mehr aus anderen ländern, dich nicht ausdrücklich zugelassen habe. es war für mich leichter zu definieren, von wo aus zugriff möglich ist, als zu definieren wer alles nicht darf. weil damals als ich die regeln erstellt habe. gabws ein limit, dass ich gar nicht alle ländern dieich sperren wollte, sperren konnte.
ich hatte aber auch nur einmal einen angriff aus dem ostblock geloggt, ist abe rbestimmt schon 6 jahre her.
ich war in letzter zeit nicht im ausland und nutzt mittlerweile wireguard vpn über die fritzbox als zugriff auf das nas von extern. früher habe ich die synology domain genutzt. nur der dienst war oft nicht verfügbar, wenn ich ihn brauchte.
ich hatte aber auch nur einmal einen angriff aus dem ostblock geloggt, ist abe rbestimmt schon 6 jahre her.
ich war in letzter zeit nicht im ausland und nutzt mittlerweile wireguard vpn über die fritzbox als zugriff auf das nas von extern. früher habe ich die synology domain genutzt. nur der dienst war oft nicht verfügbar, wenn ich ihn brauchte.
Schließe mich dem Problem an. Auf einer DS723 mit DSM 7.2.2-72806 Update 5 keine Länderliste mehr für das Geoblocking. Neustart hat nicht geholfen.
Meeshaw
Benutzer
- Registriert
- 18. Jan. 2017
- Beiträge
- 29
- Reaktionspunkte
- 5
- Punkte
- 9
@MGFirewater soweit ich weiß ist ohne Blockregel alles zugelassen. Da du die nicht abschließend setzt, sind die 3 Regeln in deinem Screenshot überflüssig.
@Meeshaw & @maxblank seit ihr sicher?
hab gerade mal chatgpt gefragt und die antwort ist: die regeln sind korrekt alles was nicht erlaubt ist wird geblockt.
hab gerade mal chatgpt gefragt und die antwort ist: die regeln sind korrekt alles was nicht erlaubt ist wird geblockt.
Aus deinem Screenshot:
Was bedeutet das konkret für
- Windows-Dateidienst → erlaubt für alle (LAN sinnvoll)
- rsync/MF → erlaubt für bestimmte Länder
- Port 9981 → erlaubt für bestimmte Länder
Damit gilt:
Alles, was du explizit erlaubt hast → kommt durch
Diese Regeln sind wirksam und nicht nutzlos.
Alles andere → wird geblockt
- Registriert
- 25. Nov. 2022
- Beiträge
- 6.241
- Reaktionspunkte
- 3.848
- Punkte
- 354
Nein, wird es nicht. Regeln werden von oben nach unten abgearbeitet. Als letzte Regel muss immer eine Blockregel für alles stehen, was nicht explizit erlaubt ist.
Meeshaw
Benutzer
- Registriert
- 18. Jan. 2017
- Beiträge
- 29
- Reaktionspunkte
- 5
- Punkte
- 9
Habe grade das Update manuell (von 7.3-81180 auf 7.3.2-86009) gemacht mit meiner DS920+. Die Liste wird wieder angezeigt. Scheint also im Update gefixt worden zu sein. Für mich ist das Thema damit behoben.
Hab grade auch nochmal geschaut. Unten steht ja der Hinweis:
Wenn man dann in das jeweilige LAN Interface wechselt, kann man das einstellen. Standard ist "Zugriff erlauben". Müsstest du dann wahrscheinlich nur auf "Zugriff verweigern" einstellen (ohne extra Blockregel). Bei mir sieht das so aus mit extra Blockregel:
Ohne müsstest du das dann in dem jeweiligen LAN Interface einstellen, z.B.:
Richtig, Synology ist da wenig transparent und hier auch inkonsistent wie das Regelwerk abgearbeitet wird. Wenn man die Regeln unter Allgemein festlegt muss zwingend am Ende manuell ein Block all angefügt werden, sonst ist das Regelwerk an dieser Stelle sinnlos.
Empfohlen wird unter Allgemein keine Regeln zu erstellen sondern für jede Schnittstelle ein eigenes Regelwerk aufsetzen.
Dort findet man auch folgenden Eintrag:
Hier muss man nur den Haken setzen, was einem Block all entspricht.
Das abgebildete Regelwerk enthält aber noch einen groben Schnitzer: Serverdienste für beliebige Quellen frei zu schalten ist sagen wir mal höchst bedenklich und total unnötig. Hier setzt man besser das eigene Subnet als einzige Quelle ein und sonst nichts!
Empfohlen wird unter Allgemein keine Regeln zu erstellen sondern für jede Schnittstelle ein eigenes Regelwerk aufsetzen.
Dort findet man auch folgenden Eintrag:
Hier muss man nur den Haken setzen, was einem Block all entspricht.
Das abgebildete Regelwerk enthält aber noch einen groben Schnitzer: Serverdienste für beliebige Quellen frei zu schalten ist sagen wir mal höchst bedenklich und total unnötig. Hier setzt man besser das eigene Subnet als einzige Quelle ein und sonst nichts!
- Registriert
- 25. Nov. 2022
- Beiträge
- 6.241
- Reaktionspunkte
- 3.848
- Punkte
- 354
- Registriert
- 04. Jan. 2012
- Beiträge
- 5.951
- Reaktionspunkte
- 1.708
- Punkte
- 234
Unter
Auf einem betroffenen NAS (DS218+ mit DSM 7.3.2) liegen viele Dateien wie
Ich hab mal zum Test die DB von einem anderen NAS auf das defekte kopiert. Damit kam die Länderliste leider noch nicht wieder zu Tage - einen Reboot konnte ich aber auf dem NAS jetzt nicht durchführen.
/var/db/geoip-database/GeoLite2-City.mmdb liegt eine GeoIP-DB. Auf einem betroffenen NAS (DS218+ mit DSM 7.3.2) liegen viele Dateien wie
9e890160.vcdiff, aber die GeoIP-DB fehlt.Ich hab mal zum Test die DB von einem anderen NAS auf das defekte kopiert. Damit kam die Länderliste leider noch nicht wieder zu Tage - einen Reboot konnte ich aber auf dem NAS jetzt nicht durchführen.
Mit einem Link kann ich nicht dienen. Habe in einem Synology Systemhaus gearbeitet und hatte guten, direkten Kontakt zum Support.
Was leider nirgendwo steht aber man wissen sollte:
Schnittstelleregeln werden als erstes abgearbeitet
Erst dann kommen die Regeln unter Allgemein
Da Schnittstelleregeln in einer guten Konfiguration immer detailliert sind haben diese Vorzug.
Unter Allgemein sollte also nur das stehen was wirklich für alle Schnittstellen gilt, wenn überhaupt erforderlich.
Selbst wenn man unter den Schnittstellen den All Block Haken nicht aktiviert ist das noch kein Fehler, wenn man unter Allgemein manuell das Block all setzt.
Allgemeiner Tenor: Eine saubere Konfiguration unter den Schnittstellen macht Einträge unter Allgemein überflüssig.
Was leider nirgendwo steht aber man wissen sollte:
Schnittstelleregeln werden als erstes abgearbeitet
Erst dann kommen die Regeln unter Allgemein
Da Schnittstelleregeln in einer guten Konfiguration immer detailliert sind haben diese Vorzug.
Unter Allgemein sollte also nur das stehen was wirklich für alle Schnittstellen gilt, wenn überhaupt erforderlich.
Selbst wenn man unter den Schnittstellen den All Block Haken nicht aktiviert ist das noch kein Fehler, wenn man unter Allgemein manuell das Block all setzt.
Allgemeiner Tenor: Eine saubere Konfiguration unter den Schnittstellen macht Einträge unter Allgemein überflüssig.
- Registriert
- 25. Nov. 2022
- Beiträge
- 6.241
- Reaktionspunkte
- 3.848
- Punkte
- 354
Ok, danke dir - auch das du das erklärt hast.
Schau bitte mal kurz über meine Firewall-Regeln drüber. Ich habe keinerlei Regeln unter den einzelnen Schnittstellen gesetzt. Ist das trotzdem so ok?
1. Regel: Fritzbox-Heimnetz
2. Regel: Homelab-Netzwerk (separat abgesichert mit Sophos XGS)
3. Regel: Tailscale
4. Regel: All-Deny-Regel
Schau bitte mal kurz über meine Firewall-Regeln drüber. Ich habe keinerlei Regeln unter den einzelnen Schnittstellen gesetzt. Ist das trotzdem so ok?
1. Regel: Fritzbox-Heimnetz
2. Regel: Homelab-Netzwerk (separat abgesichert mit Sophos XGS)
3. Regel: Tailscale
4. Regel: All-Deny-Regel
Naja, das ist nicht bis ins kleinste abgesichert, da du für alle IPs scheinbar alles zulässt.
zB die erste Regel für dein LAN müsste man aufsplitten für zB DSM, ganz wichtig alle Serverprotokolle, Kalender usw, was du halt nutzt.
Jede App/Funktion bekommt eine eigene Regel, was das Regelwerk lang macht aber dafür übersichtlich.
Warum deine Regeln 2 und 3 diesen IPs wirklich alles erlauben musst du wissen. Leider sehe ich hier nicht wie bei mir, was unter Protokolle wirklich eingetragen ist. Es sollte aber restriktiv sein!
Ein Regelwerk (Teil davon) nur für die LAN Schnittstelle sieht dann etwa so aus:
Das sieht jetzt unter Protokolle wo ALLE steht nicht so sauber aus, aber tatsächlich sind dort überall spezielle Ports hinterlegt.
Aber wir sind hier mit diesem Thema total offtopic!
Mir stach halt nur diese Firewallregel mit den komplett offenen IPs für die Serverdienste ins Auge, genau das was nicht passieren sollte.
Bin dann hier raus
zB die erste Regel für dein LAN müsste man aufsplitten für zB DSM, ganz wichtig alle Serverprotokolle, Kalender usw, was du halt nutzt.
Jede App/Funktion bekommt eine eigene Regel, was das Regelwerk lang macht aber dafür übersichtlich.
Warum deine Regeln 2 und 3 diesen IPs wirklich alles erlauben musst du wissen. Leider sehe ich hier nicht wie bei mir, was unter Protokolle wirklich eingetragen ist. Es sollte aber restriktiv sein!
Ein Regelwerk (Teil davon) nur für die LAN Schnittstelle sieht dann etwa so aus:
Das sieht jetzt unter Protokolle wo ALLE steht nicht so sauber aus, aber tatsächlich sind dort überall spezielle Ports hinterlegt.
Aber wir sind hier mit diesem Thema total offtopic!
Mir stach halt nur diese Firewallregel mit den komplett offenen IPs für die Serverdienste ins Auge, genau das was nicht passieren sollte.
Bin dann hier raus
Anhänge
Hey,
also mir hat der Synology Support geholfen.
Musste denen zwar eine Remote Sitzung öffnen und ich weiß nicht genau was die gemacht haben (in den Logs steht nichts)
ab nach 2 mal einloggen von denen war das Problem gelöst.
Ich habe mal nachgefragt was sie genau gemacht haben, vielleicht kommt ja noch eine Antwort.
Sie haben mindestens das 7.2.2 Update 5 eingespielt. Ob sie noch was darüber hinaus gemacht haben weiß ich nicht.
Da es aber keinerlei Rückfragen zur Reproduzierbarkeit gab nehme ich an, dass die das Problem schon kennen.
Allen die jetzt noch Probleme haben würde ich empfehlen ein Support Ticket bei Synology auf zumachen.
Im ersten Schritt kam halt so eine nichtssagende KI Antwort die man wegdrücken konnte, dannach gings aber dann an einen echten Supporter.
Gestern Abend 23 Uhr deutsche Zeit Ticket erstellt, heute morgen 11 Uhr deutsche Zeit war das Problem gelöst
also mir hat der Synology Support geholfen.
Musste denen zwar eine Remote Sitzung öffnen und ich weiß nicht genau was die gemacht haben (in den Logs steht nichts)
ab nach 2 mal einloggen von denen war das Problem gelöst.
Ich habe mal nachgefragt was sie genau gemacht haben, vielleicht kommt ja noch eine Antwort.
Sie haben mindestens das 7.2.2 Update 5 eingespielt. Ob sie noch was darüber hinaus gemacht haben weiß ich nicht.
Da es aber keinerlei Rückfragen zur Reproduzierbarkeit gab nehme ich an, dass die das Problem schon kennen.
Allen die jetzt noch Probleme haben würde ich empfehlen ein Support Ticket bei Synology auf zumachen.
Im ersten Schritt kam halt so eine nichtssagende KI Antwort die man wegdrücken konnte, dannach gings aber dann an einen echten Supporter.
Gestern Abend 23 Uhr deutsche Zeit Ticket erstellt, heute morgen 11 Uhr deutsche Zeit war das Problem gelöst
Meeshaw
Benutzer
- Registriert
- 18. Jan. 2017
- Beiträge
- 29
- Reaktionspunkte
- 5
- Punkte
- 9
L-Net
Benutzer
- Registriert
- 15. Juni 2019
- Beiträge
- 3
- Reaktionspunkte
- 1
- Punkte
- 9
Ich hatte die 7.3.2 auch manuell aufgespielt. Aber nur bei meiner 1522+ ist die Liste nicht mehr sichtbar. Das Update einer 918+ sowie einer VDSM hat problemlos geklappt. Was mir noch aufgefallen ist, das die Freigabe-/Blockierungslisten leer sind. Im Export sind sind aber alle gesperrten IP-Adressen enthalten.
Der Support hat mir geantwortet: Es soll ein benutzerdefiniertes Script erstellt und unter root einmalig ausgeführt werden:
Anschließend einen Neustart ausführen.
Bei mir hat`s geholfen. Weiter teilte man mir mit, dass das Problem zwischenzeitlich serverseitig behoben sein soll.
Code:
rm /var/lib/data_update/geoip-database/version.json
rm /var/cache/data_update/database_info.json
synodbudupdate -fAnschließend einen Neustart ausführen.
Bei mir hat`s geholfen. Weiter teilte man mir mit, dass das Problem zwischenzeitlich serverseitig behoben sein soll.
Ich hatte das gleich Problem bei meiner DS 720 mit DSM 7.3.2-86009
und ich habe vom Support das gleiche Skript bekommen.
Und jetzt gehen die Länderspezifischen Firewall Regeln wieder.
Gruß Chris
und ich habe vom Support das gleiche Skript bekommen.
Und jetzt gehen die Länderspezifischen Firewall Regeln wieder.
Gruß Chris
Nanuk
Benutzer
- Registriert
- 08. Mai 2014
- Beiträge
- 107
- Reaktionspunkte
- 3
- Punkte
- 24
Ich hatte dasselbe Problem. Der Support hat es inzwischen gelöst. Sie schreiben "Wir entschuldigen uns aufrichtig dafür, dass dieses Problem durch ein unerwartetes Ereignis auf unserem GeoIP-Server verursacht wurde."
Die Lösung ist ein benutzerdefiniertes Script, das man im Aufgabenplaner als root ausführen muss.
Inhalt:
rm /var/lib/data_update/geoip-database/version.json
rm /var/cache/data_update/database_info.json
synodbudupdate -f
Einmalig ausführen, danach löschen, Neustart des Rechners
Im Zweifel selbst beim Support nachfragen.
Die Lösung ist ein benutzerdefiniertes Script, das man im Aufgabenplaner als root ausführen muss.
Inhalt:
rm /var/lib/data_update/geoip-database/version.json
rm /var/cache/data_update/database_info.json
synodbudupdate -f
Einmalig ausführen, danach löschen, Neustart des Rechners
Im Zweifel selbst beim Support nachfragen.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
