DS-Firewall richtig eingestellt?
- Ersteller Steco84
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
- Registriert
- 17. Okt. 2015
- Beiträge
- 2.116
- Reaktionspunkte
- 552
- Punkte
- 154
Moinsen,
das lässt sich so pauschal nicht richtig sagen...es kommt ja auch und immer auf deine grundsätzlichen Anwendungsszenarien an. Eine FW Einstellung mag für mich passen, für dich aber wichtige Dienste auslassen und für den nächsten viel zu weit offen stehen.
Grundsätzlich hast du aber schon mal richtig gewählt, dass alles verboten wird, was nicht explizit erlaubt wird. Auch die Länderblockade ist (wenn du nicht vorhast aus dem Ausland zuzugreifen, okay. Du könntest dagegen überlegen, ob du wirklich den gesamten Netzwerkadressbereich freigeben wilst (aktuell alles im Netzsegment 192.168.178.0 /24), vielleicht reicht es ja, nur die Cleints bzw. den Bereich hier anzugeben, der von dir auch wirklich an die internen Clients vergeben wird...(bzw. nur die Clients, denen du Zugriff erlauben willst). Dabei kannst du auch überlegen, ob diese wirklich für ALLE Dienste und Ports erlaubt werden müssen/sollen...
das lässt sich so pauschal nicht richtig sagen...es kommt ja auch und immer auf deine grundsätzlichen Anwendungsszenarien an. Eine FW Einstellung mag für mich passen, für dich aber wichtige Dienste auslassen und für den nächsten viel zu weit offen stehen.
Grundsätzlich hast du aber schon mal richtig gewählt, dass alles verboten wird, was nicht explizit erlaubt wird. Auch die Länderblockade ist (wenn du nicht vorhast aus dem Ausland zuzugreifen, okay. Du könntest dagegen überlegen, ob du wirklich den gesamten Netzwerkadressbereich freigeben wilst (aktuell alles im Netzsegment 192.168.178.0 /24), vielleicht reicht es ja, nur die Cleints bzw. den Bereich hier anzugeben, der von dir auch wirklich an die internen Clients vergeben wird...(bzw. nur die Clients, denen du Zugriff erlauben willst). Dabei kannst du auch überlegen, ob diese wirklich für ALLE Dienste und Ports erlaubt werden müssen/sollen...
Nur der Vollständigkeit halber (auch wenn unten so ein Bobbes ist, der es schon angibt)... ich würde noch die Cleanup-Rule hinzufügen (alles von überall verweigern), die kommt immer zum Schluss. Wenn Du das drin hast, hast Du einen unahängigen Regelsatz und kannst es auch bei anderen Lösungen anwenden 
Erste Regel) Sich selbst nicht aussperren
sonstige) Was Du willst
Letzte Regel) Alles andere verbieten, was nicht vorher erlaubt ist (Liste wird von oben nach unten abgearbeitet, was zuerst passt, greift, weiter wird nicht geguckt)
Erste Regel) Sich selbst nicht aussperren
sonstige) Was Du willst
Letzte Regel) Alles andere verbieten, was nicht vorher erlaubt ist (Liste wird von oben nach unten abgearbeitet, was zuerst passt, greift, weiter wird nicht geguckt)
- Registriert
- 09. Nov. 2016
- Beiträge
- 4.482
- Reaktionspunkte
- 787
- Punkte
- 194
Die Synos lassen inzwischen nicht mehr zu, dass man sich selbst aussperrt.
Als erstes würde ich, auch wenn es mehr Arbeit macht, jeden einzelnen Dienst auch einzeln in der Firewall freigeben. Nur so siehst du auf den ersten Blick was du da alles angeklickt hast und was nicht. Damit wird die Liste zwar lang aber übersichtlicher.
Dann würde ich die Netzwerkprotokolle hinzufügen und alle anderen nicht benötigten Ports aus dem eigenen LAN auch sperren.
Danach würde das für mich schon ganz akzeptabel aussehen.
Als erstes würde ich, auch wenn es mehr Arbeit macht, jeden einzelnen Dienst auch einzeln in der Firewall freigeben. Nur so siehst du auf den ersten Blick was du da alles angeklickt hast und was nicht. Damit wird die Liste zwar lang aber übersichtlicher.
Dann würde ich die Netzwerkprotokolle hinzufügen und alle anderen nicht benötigten Ports aus dem eigenen LAN auch sperren.
Danach würde das für mich schon ganz akzeptabel aussehen.
- Registriert
- 13. Juli 2019
- Beiträge
- 5.514
- Reaktionspunkte
- 2.443
- Punkte
- 259
Bin auch der Meinung, die letzte (fehlende) Regel müsste lauten „alles sperren“.
Das heißt, wenn keine der vorherigen Ausnahmen greifen, wird gnadenlos gesperrt. Ohne diese Regel bleibt der Umgang undefiniert, wenn keine der vorherigen Regeln greift. Da die vorherigen Regeln Ausnahmeregeln sind („zulassen“), benötigt man so eine „blockier“Regel, um die Firewall dicht zu machen.
Das heißt, wenn keine der vorherigen Ausnahmen greifen, wird gnadenlos gesperrt. Ohne diese Regel bleibt der Umgang undefiniert, wenn keine der vorherigen Regeln greift. Da die vorherigen Regeln Ausnahmeregeln sind („zulassen“), benötigt man so eine „blockier“Regel, um die Firewall dicht zu machen.
- Registriert
- 13. Juli 2019
- Beiträge
- 5.514
- Reaktionspunkte
- 2.443
- Punkte
- 259
Danke euch schonmal für die Tipps, werde mich dann später oder am WE nochmal hinsetzen und es etwas überarbeiten.
Gruß
Stephan
Gruß
Stephan
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
