Seite 1 von 5 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 50
  1. #1
    Anwender
    Registriert seit
    29.04.2014
    Beiträge
    459

    Standard Synology -Firewallregeln

    Hallo zusammen,

    Macht es eigentlich Sinn unter Systemsteuerung-Sicherheit-Firewall Regeln zu erstellen?
    Falls ja, welche sind hier sinnvoll?
    Kann ich denn zum Bsp auch sagen.. Zugriff nur aus Deutschland?

    Thx for Tips.

  2. #2
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.527

    Standard

    Die DS-Firewall macht auf jeden Fall dann Sinn, sobald du deine DS ins Internet freigibst. In der Routerfirewall werden zwar nur die Ports freigeschaltet die man braucht aber GeoIP sowie weitere Beschränkungen lassen sich damit eher Selten umsetzen. Ich hab hier zu GeoIP und LAN Absicherung mal eine Anleitung geschrieben *klick*

    Tommes

    DS218+ | DSM 6.2.2-24922 | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | DSM 6.2.2-24922 | 1x WD Red 4TB Basis (btrfs) | 1 GB RAM
    DS115 | DSM 6.2.2-24922 | WD Green 4TB (ext4)

    Projekte: Ultimate Backup | Ultimate Search | Mein YouTube-Kanal

  3. #3
    Anwender
    Registriert seit
    25.12.2013
    Beiträge
    415

    Standard

    Wenn ich wie unter der Anleitung gezeigt, nur Deutschland zulasse, dann funktioniert das auch wirklich so?

    Habe mal gelesen, dass man andere Länder explizit ausschließen müsse, damit sie auch wirklich draußen bleiben.
    Daher habe ich mir die Mühe machen müssen, mehrere Regeln zum Ausschließen machen müssen, da mehr als 25 Länder nicht in einer Regel ausgewählt werden müssen

    Das wäre mal eine gute Nachricht.


    Eine Frage noch, ist die Reihenfolge der Regeln relevant?
    Edit: Ja ist es. Habe es gerade getestet, erstellt man widersprüchliche Regeln greift die zuerst, die ggü. der andern zuoberst steht.
    Geändert von winka (24.01.2016 um 18:38 Uhr)
    Mein System:
    DS718+ / DSM 6.1xxx
    DVB-S: TT-Connect S2-3650 mit CI-Slot (noch nicht auf der DS718+ aktiviert) / HTS Tvheadend 4.1.370-1 / Client Android: TVHClient / Windows 10: XMBC/Kodi

  4. #4
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.527

    Standard

    Nach meinen Erfahrungen und Erkenntnissen soll eine Firewall erstmal alles verweigern und alles was man zulassen möchte muß man dann halt freigeben. Und wenn ich z.B. nur Deutschland freigebe und somit alles andere verweigert wird, wie soll dann eine andersartige TLD Zugriff erhalten. Wenn das so einfach ginge, wäre eine Firewall ja für die Katz.

    Anderseits ist eine GeoIP-Sperre nicht in Stein gemeißelt, man kann seine wahre Identität durch irgendeinen Porxy oder VPN ja auch sehr gut verschleiern und dem System vorgaukeln, das man eine .de Adresse hat!

    Tommes

    DS218+ | DSM 6.2.2-24922 | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | DSM 6.2.2-24922 | 1x WD Red 4TB Basis (btrfs) | 1 GB RAM
    DS115 | DSM 6.2.2-24922 | WD Green 4TB (ext4)

    Projekte: Ultimate Backup | Ultimate Search | Mein YouTube-Kanal

  5. #5
    Anwender
    Registriert seit
    25.12.2013
    Beiträge
    415

    Standard

    Wenn ich einen Port freigebe, aber unter "Quell-IP" "alle" auswähle und diese Regel auch oberhalb der ausschließenden Regel stehen habe, dann greift die zweite Regel meines Erachtens nicht.

    Beispiel:

    Wenn Du die Regel erstellst:
    Ports: alle / Protokoll: alle / Quell-IP: Deutschland

    und danach einer darunterstehende Regel erstellst:
    Ports: Video Station / /Protokoll: alle / Quell-IP: alle

    dann haben alle IPs aus Deutschland auch Zugriff auch nicht explizit freigegebene Ports, da die obere Regel zuerst greift, die ja alle Ports freigegeben hat.


    Insofern ist die DS-Firewall durchaus unklar in ihrer Bedienung.
    Wenn du dann auch vergisst die verschiedenen Schnittstellen zu beachten ist das Problem umso größer.

    Siehe dem Satz: Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst

    Aus diesem Grund habe ich die anderen Schnittstellen wie LAN1, LAN2, PPPoE vom Regelwerk als verweigernd eingestellt.
    Mein System:
    DS718+ / DSM 6.1xxx
    DVB-S: TT-Connect S2-3650 mit CI-Slot (noch nicht auf der DS718+ aktiviert) / HTS Tvheadend 4.1.370-1 / Client Android: TVHClient / Windows 10: XMBC/Kodi

  6. #6
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.527

    Standard

    Hier mal ein Auszug aus der DSM-Hilfe...

    Verhalten gemäß den Firewall-Regeln:

    Die DSM-Firewall überprüft die Übereinstimmung mit den Regeln nach ihrer Priorität. Sobald eine Regel zutrifft, wird sie durchgesetzt und die DSM-Firewall beachtet die verbleibenden Regeln nicht weiter. Falls keine Regel zutrifft, führt DSM Firewall die Standardaktion durch, die in jeder Schnittstelle angegeben ist.

    Priorität der Firewall-Regeln:

    1. Regeln, die unter „Alle Schnittstellen“ definiert sind.
    2. Regeln, die in den entsprechenden Schnittstellen definiert sind, zu welchen die Verbindung gehört.
    3. Standardregeln in den entsprechenden Schnittstellen, zu welchen die Verbindung gehört.
    Wenn du also "Alle Schnittstellen" auswählst, werden halt für alle Schnittstellen (LAN, PPPoE, etc.) die gleichen Regeln angewendet soweit konfiguriert. Ist für "Alle Schnittstellen" keine, oder keine passende Regel gesetzt, greift die Regel der "jeweiligen Schnittstelle" sofern konfiguriert. Weiterhin brauchst du auch nur für die Schnittstellen Regeln definieren, die du auch verwendest, soll heißen... nutzt du PPPoE nicht, dann brauchst du hierfür auch keine Regeln erstellen und somit auch keine Regeln unter "Alle Schnittstellen" definieren, sonder nur unter z.B. LAN. Alle Klarheiten beseitigt?

    Und wenn du dann unter LAN die Regel ganz unten setzt "Wenn keine Regel zutrifft: Zugriff verweigern" und du dann eine Regel für dein Lokales LAN, GeoIP und die benötigten Ports bzw. Dienste definierst, so wie in meiner Anleitung im zweiten Post beschrieben, dann haben z.B. IP-Adressen deines LAN's, sowie TLD's aus Deutschland Zugriff "nur" über den Port 80/443! Punkt.

    Eigentlich folgt die DS-Firewall (wie jede andere Firewall auch) diesen Regeln und hat meines Erachtens auch eine logische Stuktur, auch wenn diese nicht immer sofort erkennbar ist. Aber es hat ja auch keiner behauptet, das es einfach ist, die Firewall nach seinen Wünschen und Vorstellungen einzurichten, deshalb hab ich ja diese Anleitung geschrieben, da es halt immer wieder zu Missverständnissen kommt.

    Und BTW, auf meinem Raspberry Pi arbeitet die Firewall nach dem gleichen Prinzip... LAN-Freigabe, GeoIP für DE, NL und US sowie den Ports 80/443. Gescannt, geprüft, getestet... läuft!

    Tommes

    DS218+ | DSM 6.2.2-24922 | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | DSM 6.2.2-24922 | 1x WD Red 4TB Basis (btrfs) | 1 GB RAM
    DS115 | DSM 6.2.2-24922 | WD Green 4TB (ext4)

    Projekte: Ultimate Backup | Ultimate Search | Mein YouTube-Kanal

  7. #7
    Anwender
    Registriert seit
    25.12.2013
    Beiträge
    415

    Standard

    Dann war es gut mich nochmal damit zu beschäftigen.
    Mein System:
    DS718+ / DSM 6.1xxx
    DVB-S: TT-Connect S2-3650 mit CI-Slot (noch nicht auf der DS718+ aktiviert) / HTS Tvheadend 4.1.370-1 / Client Android: TVHClient / Windows 10: XMBC/Kodi

  8. #8
    Anwender
    Registriert seit
    29.04.2014
    Beiträge
    459

    Standard

    ..wo findet sich ich denn das Firwall - Log?

  9. #9
    Anwender Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    7.527

    Standard

    Ich bin mir da grad nicht sicher, da ich die DS-Firewall nicht aktiv nutze sondern nur damit rumspiele. Ich meine aber das die Protokolle über den Webserver-Log laufen, also unter...

    Code:
    /var/log/httpd/user-error_log
    ansonsten kannst du nach dieser Anleitung mal versuchen, das Loggen mitzuschneiden hab es selber aber nicht getestet.

    Tommes
    Geändert von Tommes (25.01.2016 um 19:18 Uhr) Grund: Pfad zur Log-Datei geändert...

    DS218+ | DSM 6.2.2-24922 | 2x WD Red 3TB Basis (btrfs) | 2 + 8 GB RAM
    DS216+ | DSM 6.2.2-24922 | 1x WD Red 4TB Basis (btrfs) | 1 GB RAM
    DS115 | DSM 6.2.2-24922 | WD Green 4TB (ext4)

    Projekte: Ultimate Backup | Ultimate Search | Mein YouTube-Kanal

  10. #10
    Anwender
    Registriert seit
    29.04.2014
    Beiträge
    459

    Standard

    @Tommes, habe gerade versucht deine Anleitung bzgl GEOIP umzusetzen,
    leider werden die Einträge bei mir aber nicht gespeichert, woran könnte dies liegen?

    -->> "speichern" hilft entscheidend weiter..:>))
    Geändert von bernd_ (26.01.2016 um 14:21 Uhr)

Seite 1 von 5 123 ... LetzteLetzte

Ähnliche Themen

  1. Firewallregeln nicht in sync mit webinterface
    Von juk3 im Forum Installation und Konfiguration allgemein
    Antworten: 0
    Letzter Beitrag: 01.01.2015, 20:23
  2. Reihenfolge der Firewallregeln?
    Von TwoC im Forum Netzwerkkonfiguration
    Antworten: 1
    Letzter Beitrag: 10.11.2014, 00:28
  3. Firewallregeln löschen sich
    Von nerdnils im Forum Sonstiges
    Antworten: 0
    Letzter Beitrag: 11.01.2014, 13:11
  4. Firewall Einstellungen für Backup Synology zu Synology über Internet (Datensicherung)
    Von smilla im Forum Backup / Restore / Data Replicator Allgemein
    Antworten: 3
    Letzter Beitrag: 14.10.2011, 12:20

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •