DS-Firewall richtig eingestellt?

Steco84

Benutzer
Mitglied seit
06. September 2019
Beiträge
31
Punkte für Reaktionen
3
Punkte
8
Hallo zusammen,

ich habe mal ein wenig versucht (hoffe richtig) die Firewall der DS einzustellen. Wäre nett wenn jemand mal über die Einstellungen (siehe unten) schauen könnte ob es soweit richtig ist.

Firewall.JPG


Danke euch :)
 
  • Like
Reaktionen: Schwarte

the other

Benutzer
Mitglied seit
17. Oktober 2015
Beiträge
849
Punkte für Reaktionen
118
Punkte
69
Moinsen,
das lässt sich so pauschal nicht richtig sagen...es kommt ja auch und immer auf deine grundsätzlichen Anwendungsszenarien an. Eine FW Einstellung mag für mich passen, für dich aber wichtige Dienste auslassen und für den nächsten viel zu weit offen stehen.
Grundsätzlich hast du aber schon mal richtig gewählt, dass alles verboten wird, was nicht explizit erlaubt wird. Auch die Länderblockade ist (wenn du nicht vorhast aus dem Ausland zuzugreifen, okay. Du könntest dagegen überlegen, ob du wirklich den gesamten Netzwerkadressbereich freigeben wilst (aktuell alles im Netzsegment 192.168.178.0 /24), vielleicht reicht es ja, nur die Cleints bzw. den Bereich hier anzugeben, der von dir auch wirklich an die internen Clients vergeben wird...(bzw. nur die Clients, denen du Zugriff erlauben willst). Dabei kannst du auch überlegen, ob diese wirklich für ALLE Dienste und Ports erlaubt werden müssen/sollen...
 
  • Like
Reaktionen: Steco84

blurrrr

Benutzer
Mitglied seit
23. Januar 2012
Beiträge
3.720
Punkte für Reaktionen
304
Punkte
143
Nur der Vollständigkeit halber (auch wenn unten so ein Bobbes ist, der es schon angibt)... ich würde noch die Cleanup-Rule hinzufügen (alles von überall verweigern), die kommt immer zum Schluss. Wenn Du das drin hast, hast Du einen unahängigen Regelsatz und kannst es auch bei anderen Lösungen anwenden :)

Erste Regel) Sich selbst nicht aussperren
sonstige) Was Du willst
Letzte Regel) Alles andere verbieten, was nicht vorher erlaubt ist (Liste wird von oben nach unten abgearbeitet, was zuerst passt, greift, weiter wird nicht geguckt)
 
  • Like
Reaktionen: Steco84 und the other

NSFH

Benutzer
Mitglied seit
09. November 2016
Beiträge
3.005
Punkte für Reaktionen
83
Punkte
114
Die Synos lassen inzwischen nicht mehr zu, dass man sich selbst aussperrt.
Als erstes würde ich, auch wenn es mehr Arbeit macht, jeden einzelnen Dienst auch einzeln in der Firewall freigeben. Nur so siehst du auf den ersten Blick was du da alles angeklickt hast und was nicht. Damit wird die Liste zwar lang aber übersichtlicher.
Dann würde ich die Netzwerkprotokolle hinzufügen und alle anderen nicht benötigten Ports aus dem eigenen LAN auch sperren.
Danach würde das für mich schon ganz akzeptabel aussehen.
 
  • Like
Reaktionen: the other

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.916
Punkte für Reaktionen
207
Punkte
89
Bin auch der Meinung, die letzte (fehlende) Regel müsste lauten „alles sperren“.

Das heißt, wenn keine der vorherigen Ausnahmen greifen, wird gnadenlos gesperrt. Ohne diese Regel bleibt der Umgang undefiniert, wenn keine der vorherigen Regeln greift. Da die vorherigen Regeln Ausnahmeregeln sind („zulassen“), benötigt man so eine „blockier“Regel, um die Firewall dicht zu machen.
 

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. März 2009
Beiträge
13.526
Punkte für Reaktionen
9
Punkte
328
Hallo,
im Screenshot in Beitrag #1 ist doch ersichtlich, daß wenn keine Regel greift verweigert wird, ganz unten.
Firewall_verweigern.PNG

Gruß Götz
 
  • Like
Reaktionen: the other

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.916
Punkte für Reaktionen
207
Punkte
89
Stimmt, hatte ich übersehen.
 

Steco84

Benutzer
Mitglied seit
06. September 2019
Beiträge
31
Punkte für Reaktionen
3
Punkte
8
Danke euch schonmal für die Tipps, werde mich dann später oder am WE nochmal hinsetzen und es etwas überarbeiten.

Gruß
Stephan
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.