Toggle sidebar

externe Firewall - welche Ports und IP Ziele müssen offen bleiben?

W

WolfgangA

Benutzer
Mitglied seit
10. Jul 2014
Beiträge
41
Punkte für Reaktionen
6
Punkte
8
Ich würde gerne die Sicherheit in meinem Hausnetz etwas weiter verbessern und möglichst alle ausgehenden Verbindungen blockieren, soweit das möglich ist. In professionellen Firmennetzen wird das ja auch so gemacht.

Mein Syno NAS benötigt definitiv nicht Zugang zum gesamten weltweiten Internet.

Mir bisher bekannte ein und ausgehende Verbindungen sind (high level betrachtet):

Inbound:
  1. VPN über Fritzbox

Outbound:
  1. NAS zieht Updates von Synology
  2. Updates von wo noch?
  3. Antivirus-Paket Updates?
  4. NAS fragt DynDNS von Synology an (eine der dortigen Domains)
  5. Was sonst noch an ausgehendem Traffic?

Also würde ich gerne in der Fritzbox der NAS einen Filter setzen, der nur noch den IP Range zu Synology erlaubt.

Hat jemand hier im Forum vielleicht die Quelle zu den erforderlichen Synology IP Adressen?

Die Fritzbox hat ja serienmäßig kein vernünftiges Firewall-Log. Ich würde mir halt gern den aufwendigen Weg des Umleitens vom Traffic über eine Schnüffelbox ersparen wollen und hoffe, das sollte schneller gehen? (Mir ist klar dass ich für 100% Info genau das machen müßte - möchte ich aber erst als letzten Ausweg gehen)

Danke für hilfreiche Tipps :)
 
the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.100
Punkte für Reaktionen
541
Punkte
154
Moinsen,
Nimm es mir nicht übel, doch in deinem Post scheinst du einiges durcheinander zu bringen.
Vorab: arbeitest du für den externen Zugriff derzeit ausschließlich mit VPN? Wenn ja, was wird als VPN Server genutzt? Fritzbox oder NAS? Hast du aktuell irgendwelche portweiterleitungen bzw Freigaben eingerichtet?


WolfgangA schrieb:
Also würde ich gerne in der Fritzbox der NAS einen Filter setzen, der nur noch den IP Range zu Synology erlaubt.
Zum Vergrößern anklicken....
Das würde ich nicht machen. Lass den VPN Server am Rand deines Netzes laufen, nicht auf dem NAS, welches ja in erster Linie ein Fileserver ist.

Ne IP Range braucht es nicht fürs NAS, das hat in der Regel ja nur eben eine IP.

WolfgangA schrieb:
Hat jemand hier im Forum vielleicht die Quelle zu den erforderlichen Synology IP Adressen?
Zum Vergrößern anklicken....
Du wirfst da Begrifflichkeiten durcheinander und meinst vermutlich die Ports, die von laufenden Diensten genutzt werden. Da gibt es zb diese Übersicht
https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
Ports sind keine IPs...

Hast du denn eine eigene Firewall oder nutzt du dafür lediglich die Fritzbox? Wenn Fritzbox, dann ist da nicht viel an Möglichkeit vorhanden. Outbound also eher so null. Wenn von innerhalb des netzeine Anfrage startet, zb Update gesucht wird, dann geht das als frage raus und bekommt immer ne Antwort.
Nutzt du aber ne echte Firewall, dann kannst du mit her Regel den von innen startenden Verkehr filtern bzw blocken, wenn du die Regeln korrekt setzt. Dies trifft aber eben nicht für die Fritzbox zu.

Also, mit Fritzbox keine Grössen Möglichkeiten, mit echter Firewall dagegen schon. Grundsätzlich wird von aussen ohne extra Freigabe alles geblockt. Anfragen von innen gehen idR einfach durch.
 
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.984
Punkte für Reaktionen
622
Punkte
484
So wie ich das verstehe, soll hier der ausgehende Traffic von der DS weitmöglichst unterbunden werden.
Das Anliegen kann ich auch verstehen, nur denke ich, lässt sich das mit einer Fritz nicht umsetzen mangels "echter" konfigurierbarer Firewall.
 
D

derek

Benutzer
Mitglied seit
14. Aug 2011
Beiträge
37
Punkte für Reaktionen
4
Punkte
8
Wenn ich WolfgangA richtig verstanden habe, möchte er den Zugrif des NAS selbst ins Internet beschränken.
Und zwar auf die Internet-Ziele die für den Betrieb des NAS notwendig sind.

Schau mal auf diese Seite:
https://www.synology.com/en-my/know...to_when_running_services_or_updating_software
Dort stehen eine Reihe der Webseiten/Domains auf die Synology zugreift.

Wie the other geschrieben hat ist das mit der Umsetzung mit einer Fritzbox nicht so gut gelöst wie bei professionelleren Firewalls.
Meines Wissens könnte man bei der Fritzbox das nur über Zugangsprofile und Whitelist realisieren.


VG
Derek
 
the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.100
Punkte für Reaktionen
541
Punkte
154
Moinsen,
ja, das hatte ich auch so verstanden, dass es eher um den ausgehenden Verkehr geht:
WolfgangA schrieb:
Ich würde gerne die Sicherheit in meinem Hausnetz etwas weiter verbessern und möglichst alle ausgehenden Verbindungen blockieren, soweit das möglich ist.
Zum Vergrößern anklicken....
Deswegen hatte ich ja gesagt, dass das mit der Fritzbox alleine eher nix wird. Sicherlich kann man mit whitelists arbeiten, aber das ist kein Vergleich mit einer wirklichen Firewall (hat ja auch keiner behauptet). Daher der Tip von mir: entweder ne richtige zulegen und sich dann aber auch damit auskennen lernen, oder eben nicht. Dann eben eher mal genau und kritisch überlegen, welche Dienste man wirklich braucht auf dem NAS.

Da der TE aber auch einige Begrifflichkeiten durcheinander bringt, der generelle Hinweis in meinem Post (IP Ranges vs Port Ranges, inbound/outbound Filterung/Blockierung)...

Daher auch meine (wie ja auch deine @Puppetmaster) Einschätzung: geht nicht mit der Fritzbox, ist ja auch keine Firewall (es sei denn man bezeichnet NAT als Firewall). Aber AUSGEHEND gibt es da bis auf die Filterlisten nix (und das ist imho eben keine wirkliche Alternative, wenn man den Vergleich zu
WolfgangA schrieb:
n professionellen Firmennetzen wird das ja auch so gemacht.
Zum Vergrößern anklicken....
zieht...
:)
Allen einen schönen 1. Mai übrigens...
 
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
 
 
Oben Unten
Zurück