Einbruchs versuche die ich nicht verstehe

Status
Für weitere Antworten geschlossen.

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
portscan.JPG

port2.JPG

dsm.JPG

firewall3.jpg

Firewall habe ich ein wenig jetzt angepasst und paar Länder komplett gesperrt sowie meine DS wird nur lokal zugriff gestattet war vorher auch so aber jetzt mit IP beschränkung.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Sorry, aber die Regeln sind nicht zu gebrauchen (bis vllt auf die zweite) :)

Die erste Regel hebelt die beiden unteren völlig aus. Die Regelsets werden von oben nach unten abgearbeitet - was zuerst greift, wird genutzt, der Rest interessiert nicht mehr.
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Bin gern offen für vorschläge wie man sowas optimal macht mit den Firewall einstellungen :)
 
Zuletzt bearbeitet von einem Moderator:

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.172
Punkte
254

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
"Optimal" hängt in diesem Fall von "Deinen" Vorstellungen ab. Das Konzept einer vernünftigen Firewall-Implementierung folgt dabei aber einem ganz einfachen Muster (restriktiv)...

1) Anti-Lockout-Rule (erlaube Dich selbst aus dem eigenen LAN)
2) Service-Rules (div. "allow"-Regeln)
3) Clean-Up-Rule (deny all)

Das Konzept lässt sich halt "nicht immer" unbedingt so durchsetzen, wie man es gerne hätte (Port 25 SMTP ist da ein sehr gutes Beispiel, da man eben nicht weiss, welche Mailserver alle involviert sind), allerdings "kann" man auch hier noch ein bisschen hin und her switchen. Theoretisch wäre es erstmal nur der Gedanke "logo... fremde Mailserver... k.a. wo die stehen... aber irgendwie will ich Mails ja schon bekommen, aber ein paar Länder interessieren mich dabei trotzdem nicht...", somit sollte man eben den umgekehrten Weg gehen (statt 1x allow xy halt aufsplitten in 2 Regeln: 1. deny xy, 2. allow all).

Kurzum würde das Konstrukt dann z.B. für Port 25 so aussehen:

1) Anti-Lockout-Rule
2) Port 25 - deny - weissrussland, china, japan, etc.
3) Port 25 - allow - all
4) Clean-Up-Rule

Je nachdem, welchen Content die Website bereitstellt (und ob ggf. von Google indiziert) wäre ein ähnliches Konzept fällig. Handelt es sich ausschliesslich um eine private Seite, welche garnicht via Google indiziert wird und auch nur deutschsprachige Inhalte bietet, würde sich da für die Ports 80+443 ggf. auch nur ein "allow Deutschland" anbieten. Selbiges gilt für den IMAP-Port. Bei letzterem ist das allerdings der gleiche Fall wie bei SMTP. Alternativ kann man natürlich auch hingehen und nur Deutschland erlauben und die 3 häufigsten Urlaubsländer, oder eben explizite Länderfreischaltung bei Urlaubsantritt (sofern die Ports im Urlaubsland nicht eh geblockt werden (also von den ISPs im Urlaubsland)).

Wenn die Syno-Firewall vllt irgendwann mal mit DDNS arbeiten kann, wäre es sogar noch einfacher, da man für sämtliche Endgeräte nur noch einen DDNS-Hostnamen inkl. Client bräuchte, dann kann man diese Dinge auch einfach auf die entsprechenden DDNS-Records münzen. :)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Geht so, als "erste" Stelle kommt "immer" die Anti-Lockout-Rule. Somit ist der dauerhafte Zugriff gewährleistet, ohne die Möglichkeit, dass Du Dich "aus versehen" aussperrst :), also eigentlich genau andersrum.

EDIT: Hatte Dir übrigens eine PN geschickt :)
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.172
Punkte
254
Oder du tippst Beitrag 24 ab.. ;)
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Oder du tippst Beitrag 24 ab.. ;)

Beitrag 24 wäre das hier:

port4.JPG

Geht so, als "erste" Stelle kommt "immer" die Anti-Lockout-Rule. Somit ist der dauerhafte Zugriff gewährleistet, ohne die Möglichkeit, dass Du Dich "aus versehen" aussperrst :), also eigentlich genau andersrum.

EDIT: Hatte Dir übrigens eine PN geschickt :)

Ja jetzt erst gesehn mal sehn was man zu dieser Regel sagt ^^
Hab mir mal nochmal das video angesehn: https://www.youtube.com/watch?v=ffczwwn0nQI
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Beitrag 24 wäre "nicht" das was Du da hast, da in Cosmos Beitrag ebenfalls die Anti-Lockout-Regel (gepaart mit extra Diensten) an "erster" Stelle steht ;) Zudem ist es nicht sonderlich sinnig, den SMTP-Dienst auf bestimmte Länder zu beschränken, da Du nicht weisst, wo die Mailsender von denen Du die Mails definitiv haben willst bzw deren Hoster Ihre Mailserver stehen haben. Wie gesagt, das Angebot aus der PN steht, wenn nicht erwünscht, halte Dich einfach an #25, oder wenn besser verständlich an c0smo's Link :)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Und statt (als erste Regel) alle Länder zu blocken erstellt man eine Regel welche Länder erlaubt sind.
In die Firewallregeln kommen nur die Erlaubnisse. Was dann nicht erlaubt ist wird mit dem letzten Eintrag am Fensterende geblockt.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.172
Punkte
254
Irgendwie frustrierend wenn man als Gemeinschaft detailliert alles erklärt und am Ende kommt ein Link vom uTuber..:(
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Nebenbei habe ich auch bisserl nochmal gegoogelt soll ja nicht heißen bekommt alles vorgekaut und serviert :)
Bischen Eigeninitiative sollte ja auch sein :)
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
uTube? Wo wie was? Du willst doch jetzt wohl keinen entsprechenden Link posten?! :eek: :p :D

EDIT: Ach... nun hab ich es auch gesehen... Nix für ungut c0smo, Schande auf mein Haupt :D
 
Zuletzt bearbeitet:

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.172
Punkte
254

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
uTube? Wo wie was? Du willst doch jetzt wohl keinen entsprechenden Link posten?! :eek: :p :D

EDIT: Ach... nun hab ich es auch gesehen... Nix für ungut c0smo, Schande auf mein Haupt :D

Den hatte ich gepostet gehabt von idomix der viele videos wie ich gesehn habe über synology gemacht hat ^^
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat