Ergebnis 1 bis 10 von 10
  1. #1
    Anwender
    Registriert seit
    21.04.2013
    Beiträge
    350

    Standard nur ausgewählte IPs Zugriff auf DSM

    kann man irgendwo einstellen, dass nur ausgewählte IP Adressen oder besser noch MAC Adressen Zugriff auf DSM haben? In Systemsteuerung>Schutz>Konto habe ich etwas gefunden. Aber wenn ich dort freigegebene IPs eingebe, dann sind die restlichen IPs ja nicht gesperrt. Ich will nur drei IP Adressen den Zugriff gewähren, den Rest will ich sperren.
    Main: DS213+ (2 x 6TB WD Red Pro) - Backup: DS216j (1 x 6TB WD Red)

  2. #2
    Anwender
    Registriert seit
    11.06.2017
    Beiträge
    616

    Standard

    Ich kenne dafür nur die Möglichkeit über die Firewall.
    Diese bietet die Möglichkeit, Regeln zu definieren. Und zusätzllich noch die Möglichkeit, sämtliche anderen Zugriffe entweder zu erlauben oder zu blockieren.

    Das kann dann natürlich auch schon etwas komplexer werden. Vor allem mit der Option, alles was nicht zutrifft zu blockieren.
    Ich betreibe bei mir das ganze im Modus, trifft etwas nicht zu, dann blockieren. Dazu muss man aber schon ziemlich genau wissen, wer/was/wo da Zugriff benötigt.
    Und was ich mir bisher komplett gespart habe, ist für den Zugriff von außen zB. via VPN nur gewisse IP Ranges zu whitelisten (gerade mit Handys und LTE-Tarifen gibt es soviele IPs durch dynamische NAT Pools ). Da gibts dann die Regel alle:VPNPort erlauben.


    Wenn es dir nur um DSM -also die Verwaltungsoberfläche - geht (Port 5001 Standardmäßig?), könntest du es wie folgt umsetzen:
    IP1:5001 erlauben
    IP2:5001 erlauben
    IP3:5001 erlauben
    alle:5001 Zugriff verweigern

  3. #3
    Anwender
    Registriert seit
    21.11.2018
    Beiträge
    1

    Standard

    Hallo zusammen,

    dieser Thread spricht genau das an was ich einstellen möchte
    Aber leider ist mir nicht ganz klar wie ich es definiere.

    Meine Synology meldet mir täglich Angriffe durch die Benachrichtigung der Sperrung einer IP aufgrund schneller Loginversuche mit falschen Logindaten.
    Da diese Angriffe bislang nur aus dem Ausland kommen, möchte ich erstmal alle IP-Bereiche sperren und ausschließlich die aus Deutschland zulassen.

    Ich habe noch keine Möglichkeit gefunden das so einzustellen.
    Geht das überhaupt?

    Vielen dank für eure Hilfe
    Sascha

  4. #4

    Standard

    Zitat Zitat von JayPii Beitrag anzeigen
    Geht das überhaupt?

    Ja ... Firewall heisst das Werkzeug ...

    20190415-115036 - Window.jpg
    DSM 6.2.2-24922-2
    DS916+ [8GB] - MASTER mit DX513
    DS415+ [8GB] - BACKUP mit DX213
    DS215+ [1GB] - Master beim Vater
    DS116_' [1GB] - Backup beim Vater
    2x vDSM VMM auf DS415/916
    => HP - Volumes mit DSM

  5. #5
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    1.825

    Standard

    Blos nicht nachmachen, was in der Grafik abgebildet ist!
    In einer Firewall stellt man nur Regeln auf, die etwas explizit erlauben.
    Heisst in der Firewall der Syno steht rechts aussen immer allow, kein deny!
    Als allerletzte Regel setzt man dann mit dem Haken am unteren Bildschirmrand das Blocken vom allem, was nicht unter allow steht.

    Heisst für die Sperrung von IPs aus dem Ausland setzt du Deutschland auf Allow und der Rest der Welt ist automatisch geblocked.
    • Synology: RS1619xs+ * RS815RP+ * DS916+ * DS418play *
    • Router/Modem: Draytek Vigor130 * Draytek Vigor2960 * Bintec 3002 * Fritzbox 6490C / 7490 / 7590 / TC4400 *
    • LAN/WLAN: Netgear 24+2 Port * Ubiquiti UniFi US-8-60W * Ubiquiti Cloud Key + Unifi AC PROs * Draytek Vigor 1280G * Draytek Vigor AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000 * BlueWalker FI 3000 * Eaton Ellipse ECO800 *

  6. #6

    Standard

    Zitat Zitat von NSFH Beitrag anzeigen
    Blos nicht nachmachen, was in der Grafik abgebildet ist!
    So?

    Zitat Zitat von NSFH Beitrag anzeigen
    In einer Firewall stellt man nur Regeln auf, die etwas explizit erlauben.
    Heisst in der Firewall der Syno steht rechts aussen immer allow, kein deny!
    Du kennst also die IP-Adressen, die ich explizit nochmal 'denied' habe?
    Ja, es mag sein, dass der Eintrag technisch nicht erforderlich ist, habe diesen jedoch als Merkhilfe für mich dort hinterlegt.
    Gleiches gilt für die Einträge, die nach ALL/ALL/DENY stehen

    Zitat Zitat von NSFH Beitrag anzeigen
    Als allerletzte Regel setzt man dann mit dem Haken am unteren Bildschirmrand das Blocken vom allem, was nicht unter allow steht.
    Den es aber an dieser Stelle dort eben nicht gibt

    Lieber NSFH, mir ist schon öfters aufgefallen, dass Du Dinge in den Ring wirfst, die Du nicht hinterfragt hast.
    Sowas dann als gefährlich (dick und fett schwarz geschrieben) darzustellen hilft hier niemandem weiter.
    Es würde mich daher freuen, wenn Du hier zukünftig etwas mehr Weitsicht einfliessen lassen würdest.
    Aufgrund meines Screenshots erwarte ich vom Ratsuchenden, dass er evtl. eine genauere Vorgehensweise hinterfragt. Daraus kann ich dann erkennen, wo es evtl. noch am Verständnis klemmen könnte. Mit Deinen Ausführungen passiert sowas leider nicht
    DSM 6.2.2-24922-2
    DS916+ [8GB] - MASTER mit DX513
    DS415+ [8GB] - BACKUP mit DX213
    DS215+ [1GB] - Master beim Vater
    DS116_' [1GB] - Backup beim Vater
    2x vDSM VMM auf DS415/916
    => HP - Volumes mit DSM

  7. #7
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    1.825

    Standard

    Lieber AndiHeitzer,
    schau dir deine Schnittstellen in der Firewall mal genau an, dann wirst du auch den Eintrag Block all finden.
    Nur weil du etwas nicht findest heisst es nicht, dass es nicht da ist.
    Es gibt schon einen Grund, warum gemäss der Lehre in Firewalls mit allows gearbeitet wird und am Ende mit dem Block all.
    Dieser Mischmasch führt bei komplexen Einstellungen nur zu Problemen, da häufig übersehen wird, dass die Regeln sequentiell abgearbeitet werden.
    Es gibt übrigens noch Firewalls die detaillierter konfigurierbar sind als diese kleine von Synology. Hier muss man sich an gleichmässige Strukturen halten, sonst wird das nichts.
    Wenn DU das nicht verstehen willst kein Problem, aber gerade für den Laien ist deine Vorgehensweise definitiv KEIN Musterbeispiel!

    Oben drei IP Bereiche zu blocken und unten deny all zu schreiben ist total überflüssig.
    Richtig wäre die drei Adressen auf allow zu stellen aber zu deaktivieren um sie im Bedarfsfall freischalten zu können, denn darum gehts da ja anscheinend.
    Inkonsequenter Weise schiebst du dann noch 2 deaktivierte Einträge unter block all. Ein Musterbeispiel von Unsinn oder aber Misstrauen gegenüber der Firewall.
    Bevor du also andere kritisierst greif dir erst mal an die eigene Nase und setze den vielen Laien nicht etwas vor, was für dich persönlich vielleicht Sinn ergibt, aber nicht dem entspricht wie ein Musterbeispiel aussehen sollte!
    • Synology: RS1619xs+ * RS815RP+ * DS916+ * DS418play *
    • Router/Modem: Draytek Vigor130 * Draytek Vigor2960 * Bintec 3002 * Fritzbox 6490C / 7490 / 7590 / TC4400 *
    • LAN/WLAN: Netgear 24+2 Port * Ubiquiti UniFi US-8-60W * Ubiquiti Cloud Key + Unifi AC PROs * Draytek Vigor 1280G * Draytek Vigor AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000 * BlueWalker FI 3000 * Eaton Ellipse ECO800 *

  8. #8
    Anwender
    Registriert seit
    11.06.2017
    Beiträge
    616

    Standard

    Das mit „alles blockieren“ sieht man (soweit ich mich erinnere) nur pro Netzwerkinterface - nicht bei „alle“ (welches im Screenshot ausgewählt).
    RT2600AC, DS416play (3x 3TB WD Reds, SHR1)

  9. #9

    Standard

    Zitat Zitat von tproko Beitrag anzeigen
    Das mit „alles blockieren“ sieht man (soweit ich mich erinnere) nur pro Netzwerkinterface
    Ja, dem ist so.
    Das muss aber nicht jeder verstehen ...
    DSM 6.2.2-24922-2
    DS916+ [8GB] - MASTER mit DX513
    DS415+ [8GB] - BACKUP mit DX213
    DS215+ [1GB] - Master beim Vater
    DS116_' [1GB] - Backup beim Vater
    2x vDSM VMM auf DS415/916
    => HP - Volumes mit DSM

  10. #10
    Moderator Avatar von Matthieu
    Registriert seit
    03.11.2008
    Beiträge
    12.946
    Blog-Einträge
    46

    Standard

    Zitat Zitat von NSFH Beitrag anzeigen
    Wenn DU das nicht verstehen willst kein Problem, aber gerade für den Laien ist deine Vorgehensweise definitiv KEIN Musterbeispiel!
    Schalte mal bitte einen Gang runter. Er hat eine Zeile hervorgehoben und nicht gesagt dass er da ein Musterbeispiel verwendet. Technisch ist das alles durchaus möglich, über den Rest kann man diskutieren, dann aber bitte freundlich und nicht "von oben herab".

    Tipp: Wenn dir das Thema wichtig ist, schreib ein paar "Best Practice" oder wie auch immer du es nennen möchtest in einer eigenen Diskussion auf. Darüber kann man viel besser diskutieren und bei Bedarf drauf verlinken.

    MfG Matthieu
    Paketzentrum-Server "Community Package Hub"
    DS207+ | DS209+II | DS411+II | DS1513+ | DS916+ 8GB | RS818+ 16GB
    || 4x WD20EFRX, 4x ST4000VN008, 2x WD10EADS, 2x HDS721616, 1x HD204UI, 3x WD30EFRX
    iUSB2 | APC USV | Synology Remote
    | Chromecast 2 | Chromecast Audio | Fairphone 2

    "There is no cloud, just other people's computers" - Free Software Foundation Europe

Ähnliche Themen

  1. Antworten: 12
    Letzter Beitrag: 28.03.2016, 15:44
  2. Antworten: 30
    Letzter Beitrag: 26.01.2015, 19:29
  3. Antworten: 2
    Letzter Beitrag: 12.10.2013, 00:00
  4. Zugriff auf DS112 nur von einem Gerät aus möglich?? (DSM 4.2)
    Von tobist im Forum Netzwerkkonfiguration
    Antworten: 4
    Letzter Beitrag: 23.08.2013, 21:53
  5. Nur IPs meines Providers zulassen
    Von Moppel_thl im Forum Sonstiges
    Antworten: 27
    Letzter Beitrag: 17.02.2013, 18:38

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •