Synology -Firewallregeln

[MediaMan]

Zum Verständnis:

Wenn die hier markierte, 4te Regel (alle IP's sperren) abgearbeitet wird, was passiert dann?
Theoretisch laufen die freigegebenen ersten 3 durch. Bei der 4ten tut sich dan gar nix mehr?

 

[DMHas]

Wenn man unter "Alle Schnittstellen" die Firewallregeln erstellt, wird die Option "Wenn keine Regel zutrifft" nicht angezeigt (nur bei LAN, VPN & PPPoE). Ob die Option trotzdem greift, kann ich nicht sagen.

 

[Tommes]

NFSH hat es doch schon im Beitrag #20 perfekt und korrekt erklärt. Mach dir das Leben also nicht unnötig schwer. Alles was du erlauben willst, gibst du in der Firewall an, alles andere wird verworfen. Als Beispiel mal ein Screenshot, wie ich das aktuell konfiguriert habe, wobei ich momentan nur FileStation und WebDAV benötige, sonst nichts.



That's all

Tommes

 

[c0smo]

Ich bin bestimmt kein Sicherheitsjunkie, aber ist es nicht sinvoller auch im LAN nicht alles offen zu haben? Oder hast du kein WLAN?

 

[Tommes]

Sicherlich verfüge ich über eine ausgeprägte Paranoia und bin von Hause aus ein vorsichtiger Mensch. In diesem Falle ist es jedoch so, das hier eine DS115 als reiner Fileserver werkelt, auf dem sich Daten befinden, die sowas von unwichtig sind, das ich diese auch auf eine Postkarte kleben würde. Hinzu kommt, das die DS115 aktuell garnicht ins Internet zeigt, da ich das nur sporadisch benötige. Auch hier schlägt meine eigene Paranoia wieder zu... nichts offen lassen, was man nicht wirklich benötigt.

Aber du hast vollkommen recht. Um das Ganze abzurunden müsste ich die Zugriffe auch auf bestimmte, lokale IP's begenzen, aber ich wollte die Kirche mal im Dorf lassen. Außerdem... mal abgesehen von den ganzen Würmern, Trojanern und sonstigem Ungeziefer auf meinem Rechner & Laptop gibt es aktuell niemanden, der mein LAN wirklich in Gefahr bringen könnte. Naja... okay... da wäre noch mein 12 jähriger Sohn, der sich seit kurzem mit Linux, Raspberry Pi, Python und Scratch beschäftigt... vielleicht sollte ich meine Strategie doch noch mal überdenken.

Tommes

 

[c0smo]

Ok verstehe..
Nach all den Themen hier, ala "Wo bekomme ich einen Tresor für meine DS her", war dein Setup ja schon grob fahrlässig

Nicht das dein Sohnemann mit 12 Jahren dein ausgeklügeltes Sicherheitsnetz aushebelt.

 

[Tommes]

Nicht das dein Sohnemann mit 12 Jahren dein ausgeklügeltes Sicherheitsnetz aushebelt.

Der Gedanke ist garnicht mal so abwegig. Vielleicht noch nicht jetzt, aber in Naher Zukunft könnte das durchaus mal vorkommen. Kinder sind da gnadenlos und nutzen jede Möglichkeit und Gelegenheit ihre Eltern auf die Palme zu bringen. Haha... war‘n Spaß! Kinder haben aber in der Tat die faszinierende Eigenschaft, Dinge wie einen Schwamm aufzusaugen. Allein schon wenn ich sehe, wieviel Zeit ich damit verbrachte hatte, meinen ersten Pi einzurichten und zu konfigurieren. Mein Sohn hat den erst ein paar Wochen und hat schon 5 Betriebssysteme ausprobiert, sich auf dem Flohmarkt einen Alte Webcam gekauft und an den Pi angeschlossen und fängt nun an die GPIO‘s zu verdrahten. Das macht einem echt Angst. Da fühlt man sich immer so alt...

Aber wir kommen vom Thema ab...

Ach übrigens... mein Tresor steht in einer Bank... sowas brauch ich zu Hause dann doch nicht. Vor allem dann nicht, wenn die analogen Aktenordner direkt neben den digitalen Daten stehen. Da bräuchte ich schon einen recht großen Safe um alles dort unterzubringen. So groß ist meine Paranoja dann doch nicht. Haha...

Tommes

 

[DMHas]

@Tommes: Danke für den Hinweis! NFSH hat es wirklich verständlich erklärt!

 

[MediaMan]

Also die 4te Regel ist nicht mehr funktionstüchtig. Verstehe ich nicht ...

 

[c0smo]

Wie kontrollierst du die 4te Regel?
Dir ist schon bewusst, dass vom WAN alles erlaubt ist wenns von Deutschland kommt.

 

[MediaMan]

wie meinst du wie ich die kontrolliere?
indem ich mich mit dem handy ohne wlan auf den server aufschalte.

 

[c0smo]

Die 4te Regel besagt, alles was nicht lokal ist und/oder nicht aus Deutschland kommt wird nicht zugelassen. Du bist in Deutschland mit deinem Handy, also bekommst du Zugriff mit Regel 3.

 

[MediaMan]

joo, aber die vierte regel sperrt wieder alle ip‘s aus der vorherigen regel?!
anwendungen sind erst nach der vierten regel freigeschaltet.
ich verstehe halt nicht wieso das nach der vierten regel weiterhin funktioniert.

 

[c0smo]

Falsch, sobald eine Regel greift werden die darunter liegenden nicht beachtet. Deshalb ist die Reihenfolge so wichtig. Es wird von oben nach unten abgearbeitet.
Ansich ist dein Regelbaum ab Regel 3 abwärts irrelevant. Selbst Regel 4 bräuchtest du nicht, da eh alles verweigert wird was nicht Regel 1-3 entspricht.

Nur mal zur Veranschaulichung.
1. Bestimmte Dienste im LAN sind erlaubt.
2. Zusätzliche Ports im LAN erlaubt, die nicht in der Anwendungsliste stehen
3. Dienste vom WAN erlaubt, beschränkt auf Länder
4. Zusätzliche Ports vom WAN erlaubt, beschränkt auf Länder

Der Rest ist gesperrt!

 

[MediaMan]

okay, dh. das eine ip aus deutschland somit alle programme die verfügbar sind nutzen könnte?

 

[c0smo]

Bei meinem Beispiel, Nein. Die 3te Regel ist beschränkt auf bestimmte Ports/Anwendungen. Wenn dort "Alle" steht, ist alles offen nach draußen.

 

[MediaMan]

ja, bei deinem bsp. nicht. aber bei meinen wäre es dann so.
denke jetzt hab auch ich das geschnallt.
danke dir/euch

 

[MediaMan]

so, nochmal eine frage:
ich nutze vpn, wenn ich unter lan1 bei der schnittstelle vpn keine regel einstelle und ganz unten dann sperre wenn keine regel zutrifft funzt das vpn nicht mehr. erst wenn ich das wieder auf zulassen schalte.
wie kann ich hier zusätzliche sicherheit einbringen? macht es das überhaupt sinn?
wenn ich deutsche ip's zulasse funktioniert vpn nur im wlan, aber nicht mehr mit lte.
woran liegt das?

 

[c0smo]

Wie baust du dein VPN auf? Über die fritzbox?

 

[MediaMan]

nein, über den server.