Firewall aktivieren sinnvoll

[Hallern]

Hallo, kurze Frage:

ich hab jetzt diverse Clients an IP und Dienst/Port innerhalb der 220 und 216 angepasst.
Muss ich eigentlich auch die 192.168.177.1 (Gateway Fritzbox) zulassen, wenn ich die Fritzbox als NTP-Server in der jeweiligen Synology hinterlege?

Danke

 

[EDvonSchleck]

Gib einfach sein lokales Netzwerk frei. Siehe #17
Die Firewall ist nur für Verbindungen interessant, die von außen kommen, also Internet. Im Netzwerk braucht man die normal nicht, es sei denn man will Verbindungen steuer an die unterschiedlichen Netzwerkkarten, weil das nicht anders geht.

 

[Hallern]

Aktuell sieht es so aus: DS220 und DS216 (Gekoppelt Fritzboxen WireGuard)
Die DS220 steht bei mir, die DS216 ist extern als Vault

Gesynct wird per Hyper Backup. Auch habe ich ein paar VPN-Verbindungen (.201) aktiv.
Mein Canon Drucker (SMB1 Scan-to-NAS) ist die .25 mit Sperre ins Internet.

Sieht für manche bestimmt wild aus, aber ich habe feste IP-Adressen verteilt und eine Liste, welche IP welches Gerät ist.

DSM, Active Backup for Business, Mailserver als Archiv, SMB als Datenablage.

 

[EDvonSchleck]

Bisschen Wild ist gut!
Bei mir sieht es so aus: https://www.synology-forum.de/threads/firewall-nimmt-profil-nicht.124881/post-1049424
Ich nutze auch einen Canon Multifunktionsdrucker (getrennt vom Internet).

Mach dir die Sache nicht schwieriger als sie ist!

 

[Hallern]

@EdVanSchleck

Wäre dann bei mir mit zwei Netzwerken so gedacht, falls ich deinen Weg wähle?

Alle / Alle / 192.168.176.0/255.255.255.0 Zulassen
Alle / Alle / 192.168.177.0/255.255.255.0 Zulassen
GEO für DE (Nach Wunsch)
Rest: Alle Verweigern

 

[EDvonSchleck]

Genau. Du kannst auch die Datenströme einer bestimmten Netzwerkkarte zuweisen. Oben rechts kannst du ja die Netzwerkkarte einzeln auswählen oder beide zusammen.

 

[Hallern]

Du meinst folgendes? Da habe ich einfach maximal 2500 KB/s hinterlegt, um im Homeoffice die 3700 KB/s (DSL-Upload) nicht komplett zu blockieren durch Hyper Backup.
LAN 2 der 220 habe ich nicht mehr genutzt, da Bond mir nichts brachte (kein managed Switch).

 

[EDvonSchleck]

Nein. Du kannst das eine Netzwerk der 1. Netzwerkkarte zuweisen, das andere der 2. Netzwerkkarte. Somit kannst du steuern, welches Netzwerk über welche Netzwerkkarte geht. Wenn u nur 1 Kabel angeschlossen hast, richtest du es unter alle Schnittstellen ein. Du hast die maximal Datenflussmenge eingestellt/begrenzt.

 

[EDvonSchleck]

Wenn du nur ein Netzwerkkabel benutzt, würde ich auch die Firewallregeln unter alle Schnittstellen einrichten. Das hat den Vorteil, wenn du die Kabel tauscht z. B. wegen HDD tauscht auf beiden LAN-Karten im DSM kommst bzw. die Regel greifen. Kann ja immer einmal vorkommen.

 

[Hallern]

Danke. ich versuche es gerade zu verstehen. Das zweite Kabel an LAN2 könnte ich dennoch wieder einstecken. Hatte für mich aber (bis gerade) noch keinen Sinn gemacht. Ich hatte bisher immer "alle Schnittstellen" ausgewählt.

Heim: 7590 -> 192.168.177.1 -> DS220 -> 192.168.177.37 >LAN1 für 192.168.177.0
Heim: 7590 -> 192.168.177.1 -> DS220 -> 192.168.177.37 >LAN2 für 192.168.176.0 zur 7530AX

Ext: 7530AX -> 192.168.176.1 -> DS216 ->192.168.176.50 -> Hat nur einen LAN-Port und benötigt nur Download für Hyper Backup Vault

Falls Nein, habe ich das System dahinter wohl noch nicht verstanden.

 

[EDvonSchleck]

LAN1 & 2 kann aber nicht die gleiche IP haben, es sei den es ist ein Bond. Das dient aber nur zu Lastenverteilung und macht keinen Unterschied gegenüber einer Netzwerkkarte.

 

[Hallern]

Ich habe es jetzt bei beiden wie folgt eingestellt für "Alle Schnittstellen"

DS216

DS220


Nochmal zu LAN1 und LAN2:
LAN1 der DS220 stelle ich dann auf 192.168.177.37 als IPv4
LAN2 der DS220 stelle ich dann auf 192.168.177.38 als IPv4

Nehme ich dann die identischen Einstellungen aus meinen Screenshots für LAN1 und LAN2?
Oder wo genau liegt hier dann der Unterschied?

 

[EDvonSchleck]

So wie du es eingestellt hasst, läuft es alles über eine Netzwerkkarte oder Bond.

Wenn du das trennen willst, z, B. um nur das Backup über LAN 2 laufen zu lassen, richtest du nur den IP-Bereich in LAN2 ein, der durchgehen darf.
Das Gegenteil machst du bei LAN 1. Somit hast du die Einträge weniger bei den jeweiligen einzelnen Netzwerkkarten.

 

[Hallern]

Sprich:
- LAN1 für Active Backup der Clients zur DS220 kann ich dann unter "Datenfluss-Steuerung" auf Unbegrenzt setzen.
- LAN2 für Hyper Backup zur DS216 begrenze ich dann im Upload über das Internet.

Sonst hätte ich es für Hyper Backup über den Port 6281 gelöst.

 

[EDvonSchleck]

Warum wählst du nicht die Anwendung direkt aus?
Warum willst du das Backup begrenzen, aber Drive nicht? Es werden kaum mehr Daten sein.

Ich würde nichts begrenzen und die Aufgaben in der Nacht (1–4 Uhr) laufen lassen. Je nachdem, um was für eine Datenmenge es sich handelt, würde die Synchronisierung länger absichtlich dauern.

Die Firewall verhindert das eindringen, aber kann kein Einfluss auf ausgehende Ports. Aktiviere die Begrenzung auf für den Port 2 zusätzlich.

 

[Hallern]

Ich kann bei mir kein HyperBackup unter Datenfluss-Steuerung auswählen, daher per Port.
HyperBackup wird als Upload begrenzt. Drive ist bei mir nur Download.

Begrenzug daher, weil ich schon mehrere Stunden uploads hatte, welche dann Videokonferenzen beinträchtigt hat. Trotz vollem Uploadspeed der DS220.

Gerät läuft von 08:00 bis 23:30, Nachts ist Pause angesagt.

 

[EDvonSchleck]

Meinst du das dann Sinn? Du wirst dich schon entscheiden müssen. Was sollen das für Up-/Downloads sein, die dein Netzwerk ausbremsen?
Auf eine Art ziehst du es mit der Begrenzung die Länge hinaus, auf der anderen Seite machst du es, wenn du die Internetleitung brauchst.
Eventuell wäre weniger Videokonferenzen und mehr Produktivität besser, von diesem Home-Office-Blödsinn ganz zu schweigen.

 

[synfor]

Im Netzwerk braucht man die normal nicht, es sei denn man will Verbindungen steuer an die unterschiedlichen Netzwerkkarten, weil das nicht anders geht.

Das ginge schon anders (Dienste nur an gewünschte Schnittstellen binden statt an alle), nur ist das im DSM von Synology offensichtlich nicht vorgesehen.

 

[olli001]

Ich erlaube mir als -DAU- eine Synology Diskstation nun schon seit gut 10 Jahren, als reinen Datenspeicher zu nutzen. im Moment ist es eine 920+ DS ... in letzter Zeit interessiere ich mich das NAS auch als private Cloud zu nutzen. So möchte ich zum Beispiel auch aus dem Ausland auf wichtige Dokumente, Kopie Reisepass etc. zugreifen können. Habe ich sofern alles eingerichtet und funktioniert auch mit den entsprechenden Apps auf dem iPhone.

Nun zu meiner Frage; ist es zwingend nötig die Firewall zu aktivieren, wenn ich den doppelten Zugriffschutz (Secure SignIn) der DS aktiviert habe... oder hat das eine mit den anderen nichts zu tun.?

Muss man wirklich erst Informatik studieren, um die Firewall Regeln erstellen zu können ?

Ich habe mich mit Portfreigaben etc. noch nie befasst, nutze am liebsten fertige Software-Lösungen wie auch hin und wieder VPN...

 

[Synchrotron]

Die Firewall schützt die DS IN deinem Netzwerk.

Die Annahme lautet "Der böse Feind steht immer innen". Also es wird ein Rechner / Gerät im Netz übernommen (Zero Day, Phishing, etc.), von dort aus dann das Netzwerk kompromittiert. Die Antwort lautet "Zero Trust", also auch innerhalb eines Netzwerks grundsätzlich Abschottung der Geräte untereinander. Zugriffe werden nur über definierte, abgesicherte Pfade erlaubt.

Die Firewall der DS dient einmal dazu. Außerdem natürlich, wenn Ports Richtung Internet offen sind, um auch dort zu steuern und zu begrenzen. Ich meine, sie sollte grundsätzlich aktivier werden. Wie restriktiv man sie dann einstellt, bleibt jedem überlassen.

Die wichtigste Firewall-Regel ist die letzte: Alles, was vorher nicht erlaubt wurde, ist verboten. Wird die vergessen, dann nützen alle Regeln vorher nichts. Die vorher werden in der Reihenfolge abgearbeitet, in der sie aufgelistet sind.

Die DS hilft bei der Einrichtung der Firewall. Also nur keine Angst. Stellst du es zu scharf ein, hilft im Zweifel ein "Kleiner Reset".