Benötige Hilfe bei der Konfiguration der Firewall

[hblein]

Hier der Screenshot. Ich habe hier nur das Geo-Blocking bewerkstelligt. Die Liste verlangt nicht nach Vollständigkeit, ist nur meine bisherige Auswahl.

 

[Damrak2010]

Ah, okay ich wusste garnicht das das so geht. Ist aber gut gemacht.

 

[hblein]

Naja, die Aktualität der dahinter verborgenen IP-Bereiche hängt von den DSM-Aktualisierungen ab. Bis zu 15 Länder sind pro Eintrag möglich. Ich hab mich, der Übersicht wegen, auf einen pro Eintrag beschränkt.
Hier noch die beispielhaften Einstellungen:

 

[hblein]

Alles was unter "Alle Schnittstellen" verboten ist, kommt nicht weiter. Als Beispiel, wenn ich hier Deutschland Geoblocke, dann komme ich über meine externe Domain nicht mehr auf mein NAS, egal was unter LAN oder, in deinem Fall LAN1, in der FW eingestellt ist.

 

[Damrak2010]

Ich frage mich, warum ich nicht mehr via iPhone oder iPad auf Jellyfin zugreifen kann? Meine Firewalleinstellungen sehen aktuell so aus:

 

[Hagen2000]

Dein iPhone wird vermutlich durch die Einstellungen für Alle Schnittstellen schon abgewiesen, daher werden die Regeln für LAN 1 gar nicht erst geprüft.
Und die Regeln für LAN 1 sind sinnlos, weil der Default (Radio-Button "Wenn keine Regel zutrifft" am Ende der Seite) ohnehin alles erlauben würde.

 

[Damrak2010]

Es ist normalerweise nicht meine Art nach der fertigen Lösung zu fragen, aber könntest Du mir ausnahmsweise mal die korrekten Einstellungen posten, damit ich einfach weiter komme.

 

[hblein]

durch die Einstellungen für Alle Schnittstellen

Dort im Speziellen durch die letzte Regel, die muss da weg.

 

[hblein]

die korrekten Einstellungen posten

die sind Einzelfallabhänig. Aber bei LAN1 unten den Button "Zugriff verweigern" solltest du schon setzen(können).

 

[Hagen2000]

Ich habe hier kein Jellyfin und ich kann nur vermuten, dass die Ports 500, 5001 und 8096 dafür dienen.
Ich würde die Einträge für LAN 1 komplett löschen und die Regel für die zuvor genannten Ports an zweite oder dritte Stelle unter Alle Schnittstellen einfügen, also insbesondere VOR die letzte Regel, die alles verbietet.

Einträge speziell für eine bestimmte Schnittstelle machen ja nur Sinn, wenn Du überhaupt mehrere Schnittstellen verbunden hast und diese auch noch in verschiedene Netze führen. Das wird vermutlich nicht zutreffen.

Wenn Du dem Vorschlag von @hblein folgen magst, dann müsstest Du bei den Einstellungen für LAN 1 auf jeden Fall den Radio-Button umstellen auf "Zugriff verweigern".

 

[Damrak2010]

Ja, habe ich gemacht. - Jetzt auf jeden Fall Jellyfin wieder

 

[hblein]

die Ports 500, 5001 und 8096

die 500 ist bestimmt ein Tippfehler?

 

[Damrak2010]

Stimmt, ist korrigiert

 

[the other]

Moinsen,
ein paar grundsätzliche Dinge zur Syno Firewall auf dem NAS gibt es hier in Kurzform:
https://www.heimnetz.de/anleitungen...torage/synology/synology-firewall-einrichten/

Davon ab: wenn dein NAS eh nicht von außen erreichbar ist (via Portweiterleitungen oder -freigaben im Router) oder nur via VPN über den Router, dann wird GeoBlocking auch nicht benötigt...
Außerdem: wenn GeoBlocking, dann gebe ich nur ein, zwei Länder ein, die ich erlaube...der Rest ist dann über die Einstellung unten (Blockiere alles, wenn keine Regel...) automatisch geblockt.

 

[hblein]

Wir haben jetzt per Telefon etwas Grund bei Andy, in Sachen Firewall reingebracht, eine Basis geschaffen.

 

[Damrak2010]

Nochmal Danke dafür

 

[hblein]

kein Thema.
Ich hoffe, jetzt geht's voran bei dir...

 

[NSFH]

zuerst mal 3 Grundsätze:
1. Firewallregeln werden von oben nach unten abgearbeitet. Sperrst du oben etwas kannst du eine Zeile tiefer nicht mehr erlauben.
2. Firewallregeln bestehen immer aus Erlaubnissen. Erst mit der letzten Regel wird der Rest blockiert
3. Für jedes Protokoll eine eigene Regel aufstellen und nicht (wie es die Syno erlaubt) eine Regel erstellen hinter er sich viele Freigaben/Protokolle verstecken)
4. Viele Schnittstellen nach Aussen? Dann niemals gemeinsame Regeln aufstellen (in der Syno die erste Seite) sondern jede Schnittstelle für sich behandeln, sonst kommt es bei längeren Regelwerken zu ungewollten Überschneidungen, kann dann auch ein Loch reissen.

Anmerkung zu 4: Wenn man eine neue App installiert trägt die Syno dann gerne unter Default Portfreigaben ein. Diese erste Seite ist ja in der Regel leer, aber diese neuen Ports können wichtig sein. Also merken, ggf in der richtigen Schnittstelle angepasst nachtragen und unter default löschen oder zumindest deaktivieren bis die neue App mit den richtigen Freigaben unter der zugeordneten Schnittstelle läuft.

Man könnte so mit Regeln anfangen:
1. DSM für das lokale LAN erlauben
2. Die Samba/Windows Dateiserver Ports für die Dateifreigaben für das lokale LAN erlauben
Den Rest unten mit dem Haken verbieten.
So läuft dein System erstmal rudimentär sicher.

Dann nach und nach die weiteren Ports freigeben.

Solltest du HTTPS Anwendungen von Aussen nutzen wollen wie zB DSM oder Filestation beschäftige dich bitte mit dem ReverseProxy um dein System sicher zu halten.

 

[hblein]

So haben wir es kommuniziert. Aussperren kann er sich erstmal nicht. Alles, was nicht zugelassen ist, ist verboten/wird verweigert. Mit den, derzeit, wenigen aktiven Regeln bei ihm, haben wir es erstmal belassen, da wird später nochmal nachgeschärft a'la 3.

So läuft dein System erstmal rudimentär sicher.

Ist aktuell gegeben.

HTTPS Anwendungen von Aussen nutzen wollen

Ist, Stand jetzt, noch nicht spruchreif.

 

[NSFH]

Hier der Screenshot. Ich habe hier nur das Geo-Blocking bewerkstelligt. Die Liste verlangt nicht nach Vollständigkeit, ist nur meine bisherige Auswahl.
Anhang anzeigen 103592

Sorry aber das Geoblocking ist vollkommen daneben!
Das Regelwerk im Einzelnen besteht wie schon beschrieben nur aus Erlaubnissen.
Erst am Ende kommt der grosse Block alles was bisher nicht erlaubt war zu verhindern.
Heisst was Geoblocking angeht man erlaubt die wenigen gewünschten Länder (meist reicht D) und die Abschlussregel verhindert alle anderen.
Der Screenshot zeigt daher genau wie man es nicht machen sollte!