Firewall konfigurieren

[michaelmueller123]

Hallo,
irgendwie bekomme ich es nicht gebacken, die Firewall korrekt zu konfigurieren.
Ich wollte generell erstmal alles sperren, außer die Ports die ich benötige.
Außerdem alle Länder außer Deutschland.

Egal was ich mache, ich bekomme immer die Info, dass ich mich selber aussperre?

Ich bin lokal im Netz auf der DS mit einer festen IP 192.168.178.20 (mein Rechner).
Ich habe sogar testhalber als Regel hinzugefügt: Alle Ports, IP Range 192.168.178.1-20 erlauben.
Trotzdem bekomme ich die Info wie oben.

Verstehe ich da irgendwas falsch ???

Danke euch

 

[NSFH]

du musst natürlich dafür sorgen, dass die Ports für den Zugriff via SMB oder AFP, wenn du Apple nutzt, für den IP Bereich deines LAN offen bleiben.
Vielleicht also erst mal für dieses Protokoll das Subnet 192.168.178.0 mit 255.255.255.0 freigeben
Da du nicht schreibst wie dein LAN konfiguriert ist und mit welchen Geräten du darauf zugreifen willst ist eine Antwort etwas schwierig.

 

[michaelmueller123]

Sorry,
also ich habe die DS per LAN an der Fritzbox und bin mit dem Macbook per Wlan an der Fritzbox.
Testhalber wollte ich erstmal alles dicht machen außer 5001 TCP für die Konfiguration sowie 6690 für Drive. Alles andere hätte ich nach und nach aufgemacht.
Aber selbst wenn ich ALLE Ports für meine gesamte IP Range freigebe bekomme ich den Fehler ...

 

[c0smo]

Poste mal bitte Screenshots, das ist einfacher für uns. Am besten von der Zusammenfassung und den einzelnen Reitern die verändert wurde..

 

[NSFH]

du kannst nicht testhalber alles dicht machen, weil du dich dann aussperrst.
Da du mit MAC arbeitest musst du je nachdem was du in der Syno eingestellt hast entweder SMB (Windows Protokolle) oder AFP (MAC Protokolle) für dein LAN freigeben. Dazu für den Zugriff auf DSM 5000 (HTTP) oder (5001) HTTPS.
Gebe erst mal das gesamte Subnet frei!

 

[michaelmueller123]

Hallo zusammen.
Jetzt hab ich es geschnallt!
Ich dachte die Regeln sind kaskadiert und können sich Gegenseitig wieder aufheben, dem ist aber nicht so.
Ich hatte in Regel1 grundsätzlich alles gesperrt und in Regel 2 wieder Teile freigegeben.
Mittlerweile habe ich den Button: "Wenn nicht zutrifft dann sperren" gefunden der ist in den allgemeinen Regeln nicht zu sehen, sondern nur in den einzelnen Interfaces.
Problem gelöst, Danke trotzdem für die Hilfe.

 

[AndiHeitzer]

Die Regeln werden von oben nach unten abgearbeitet.
Sobald eine Regel zutrifft, dann werden die nachfolgenden Regeln nicht mehr beachtet.

1 - PORT 5000 vom LAN -> allow
2 - PORT 5000 von DE -> allow
3 - PORT ALLE von überall -> deny

Sobald Du also vom eigenen Netz mit 5000 oder von DE aus mit 5000 zugreifst, kommst Du ran.
Alles Andere bleibt aussen vor

 

[michaelmueller123]

Hallo Andi,
super, danke für den Tip! Also doch kaskadiert, nur eben andersum.
Ich hatte erstmal alles blockiert und wollte dann einzelne öffnen, das ging nicht.
Umsortiert wird dann ein Schuh draus, einzelne öffnen und am Schluss alle Blockieren.

 

[michaelmueller123]

Ich muss leider doch noch mal stören. Jetzt check ich es nicht mehr ;-(
Ich habe bei LAN, VPN und PPoE "Wenn keine Regel zutrifft Zugriff verweigern" aktiviert.
Jetzt habe ich ein einzige allgemeine Regel gesetzt: Alle Ports von Allen IPs erlauben (ich weiß es macht kein Sinn, aber ich bin am Testen).
Trotzdem kommt die Antwort dass ich mich damit selber aussperre (obwohl ich über die LAN IP mit der DS verbunden bin ???

 

[c0smo]

Logisch.. Du musst erst deine LAN IP's und dein Subnetz erlauben. Bei deiner Regel wird nur Deutschland erlaubt. LAN IP's sind nicht Deutschland

 

[boxi360]

c0smo, könntest du eventuell deine Config hier posten wie man es am einfachstem einstellen kann ?

Grüße

 

[c0smo]

Schau mal hier, das Thema kommt öfters..

https://www.synology-forum.de/showt...llregeln/page4&p=795533&viewfull=1#post795533

 

[boxi360]

Top danke...

letzte Frage bei dem Punkt "Wenn keine Regel zutrifft: -> Zugriff verweigern <--richtig ?

 

[c0smo]

Korrekt

 

[boxi360]

Danke dir