DSM 6.x und darunter nur ausgewählte IPs Zugriff auf DSM

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

master123

Benutzer
Mitglied seit
21. Apr 2013
Beiträge
350
Punkte für Reaktionen
0
Punkte
0
kann man irgendwo einstellen, dass nur ausgewählte IP Adressen oder besser noch MAC Adressen Zugriff auf DSM haben? In Systemsteuerung>Schutz>Konto habe ich etwas gefunden. Aber wenn ich dort freigegebene IPs eingebe, dann sind die restlichen IPs ja nicht gesperrt. Ich will nur drei IP Adressen den Zugriff gewähren, den Rest will ich sperren.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ich kenne dafür nur die Möglichkeit über die Firewall.
Diese bietet die Möglichkeit, Regeln zu definieren. Und zusätzllich noch die Möglichkeit, sämtliche anderen Zugriffe entweder zu erlauben oder zu blockieren.

Das kann dann natürlich auch schon etwas komplexer werden. Vor allem mit der Option, alles was nicht zutrifft zu blockieren.
Ich betreibe bei mir das ganze im Modus, trifft etwas nicht zu, dann blockieren. Dazu muss man aber schon ziemlich genau wissen, wer/was/wo da Zugriff benötigt.
Und was ich mir bisher komplett gespart habe, ist für den Zugriff von außen zB. via VPN nur gewisse IP Ranges zu whitelisten (gerade mit Handys und LTE-Tarifen gibt es soviele IPs durch dynamische NAT Pools :( ). Da gibts dann die Regel alle:VPNPort erlauben.


Wenn es dir nur um DSM -also die Verwaltungsoberfläche - geht (Port 5001 Standardmäßig?), könntest du es wie folgt umsetzen:
IP1:5001 erlauben
IP2:5001 erlauben
IP3:5001 erlauben
alle:5001 Zugriff verweigern
 

JayPii

Benutzer
Mitglied seit
21. Nov 2018
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

dieser Thread spricht genau das an was ich einstellen möchte :D
Aber leider ist mir nicht ganz klar wie ich es definiere.

Meine Synology meldet mir täglich Angriffe durch die Benachrichtigung der Sperrung einer IP aufgrund schneller Loginversuche mit falschen Logindaten.
Da diese Angriffe bislang nur aus dem Ausland kommen, möchte ich erstmal alle IP-Bereiche sperren und ausschließlich die aus Deutschland zulassen.

Ich habe noch keine Möglichkeit gefunden das so einzustellen.
Geht das überhaupt?

Vielen dank für eure Hilfe
Sascha
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Blos nicht nachmachen, was in der Grafik abgebildet ist!
In einer Firewall stellt man nur Regeln auf, die etwas explizit erlauben.
Heisst in der Firewall der Syno steht rechts aussen immer allow, kein deny!
Als allerletzte Regel setzt man dann mit dem Haken am unteren Bildschirmrand das Blocken vom allem, was nicht unter allow steht.

Heisst für die Sperrung von IPs aus dem Ausland setzt du Deutschland auf Allow und der Rest der Welt ist automatisch geblocked.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174
Blos nicht nachmachen, was in der Grafik abgebildet ist!

So?

In einer Firewall stellt man nur Regeln auf, die etwas explizit erlauben.
Heisst in der Firewall der Syno steht rechts aussen immer allow, kein deny!

Du kennst also die IP-Adressen, die ich explizit nochmal 'denied' habe?
Ja, es mag sein, dass der Eintrag technisch nicht erforderlich ist, habe diesen jedoch als Merkhilfe für mich dort hinterlegt.
Gleiches gilt für die Einträge, die nach ALL/ALL/DENY stehen :cool:

Als allerletzte Regel setzt man dann mit dem Haken am unteren Bildschirmrand das Blocken vom allem, was nicht unter allow steht.

Den es aber an dieser Stelle dort eben nicht gibt :rolleyes:

Lieber NSFH, mir ist schon öfters aufgefallen, dass Du Dinge in den Ring wirfst, die Du nicht hinterfragt hast.
Sowas dann als gefährlich (dick und fett schwarz geschrieben) darzustellen hilft hier niemandem weiter.
Es würde mich daher freuen, wenn Du hier zukünftig etwas mehr Weitsicht einfliessen lassen würdest.
Aufgrund meines Screenshots erwarte ich vom Ratsuchenden, dass er evtl. eine genauere Vorgehensweise hinterfragt. Daraus kann ich dann erkennen, wo es evtl. noch am Verständnis klemmen könnte. Mit Deinen Ausführungen passiert sowas leider nicht :confused:
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Lieber AndiHeitzer,
schau dir deine Schnittstellen in der Firewall mal genau an, dann wirst du auch den Eintrag Block all finden.
Nur weil du etwas nicht findest heisst es nicht, dass es nicht da ist.
Es gibt schon einen Grund, warum gemäss der Lehre in Firewalls mit allows gearbeitet wird und am Ende mit dem Block all.
Dieser Mischmasch führt bei komplexen Einstellungen nur zu Problemen, da häufig übersehen wird, dass die Regeln sequentiell abgearbeitet werden.
Es gibt übrigens noch Firewalls die detaillierter konfigurierbar sind als diese kleine von Synology. Hier muss man sich an gleichmässige Strukturen halten, sonst wird das nichts.
Wenn DU das nicht verstehen willst kein Problem, aber gerade für den Laien ist deine Vorgehensweise definitiv KEIN Musterbeispiel!

Oben drei IP Bereiche zu blocken und unten deny all zu schreiben ist total überflüssig.
Richtig wäre die drei Adressen auf allow zu stellen aber zu deaktivieren um sie im Bedarfsfall freischalten zu können, denn darum gehts da ja anscheinend.
Inkonsequenter Weise schiebst du dann noch 2 deaktivierte Einträge unter block all. Ein Musterbeispiel von Unsinn oder aber Misstrauen gegenüber der Firewall.
Bevor du also andere kritisierst greif dir erst mal an die eigene Nase und setze den vielen Laien nicht etwas vor, was für dich persönlich vielleicht Sinn ergibt, aber nicht dem entspricht wie ein Musterbeispiel aussehen sollte!
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Das mit „alles blockieren“ sieht man (soweit ich mich erinnere) nur pro Netzwerkinterface - nicht bei „alle“ (welches im Screenshot ausgewählt).
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Wenn DU das nicht verstehen willst kein Problem, aber gerade für den Laien ist deine Vorgehensweise definitiv KEIN Musterbeispiel!
Schalte mal bitte einen Gang runter. Er hat eine Zeile hervorgehoben und nicht gesagt dass er da ein Musterbeispiel verwendet. Technisch ist das alles durchaus möglich, über den Rest kann man diskutieren, dann aber bitte freundlich und nicht "von oben herab".

Tipp: Wenn dir das Thema wichtig ist, schreib ein paar "Best Practice" oder wie auch immer du es nennen möchtest in einer eigenen Diskussion auf. Darüber kann man viel besser diskutieren und bei Bedarf drauf verlinken.

MfG Matthieu
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat