Toggle sidebar

Firewall blockiert ausgehende Verbindungen - Lösung

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
G

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Registriert
18. März 2009
Beiträge
14.363
Reaktionspunkte
563
Punkte
418
Hallo,
wie bereits mehrfach vermeldet blockiert die eingerichtete Firewall auf der DS sämtlichen von ihr initiierten Netzwerkverkehr (nicht mal ein Ping zum Router geht). Alle Anfragen gehen zwar raus aber die Antworten werden blockiert.
iptables meldet folgendes:
Rich (BBCode): 
DS411plusII> iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 6690,1723,137,138,139,445,111,2049,892,80,5000,22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1194,161,111,2049,892
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
d.h. für die konfigurierten Ports ist INPUT erlaubt, alles andere wird verworfen. Hier fehlt nun eine Regel in der INPUT chain. Diese Regel erlaubt alle bereits initiierten und akzeptierten Verbindungen.
Rich (BBCode): 
iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
Mit -I INPUT 1 wird die Regel an die erste Stelle der INPUT chain gestellt.
Rich (BBCode): 
DS411plusII> iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 6690,1723,137,138,139,445,111,2049,892,80,5000,22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1194,161,111,2049,892
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Gruß Götz
 
d.h. Synology hat hier echt sehr grossen Mist gebaut. sorry aber das ist peinlich :-) Haben sie das bei allen Modellen verbockt?
 
Also bei der 712+ auf alle Fälle...
 
kann ein Mod mit entsprechenden Rechten diesen Thread ganz prominent irgendwo festpinnen?
 
rauppe31 schrieb:
Gut zu wissen. Dann warte ich mit dem Update und bleibe bei der Beta :)
Zum Vergrößern anklicken....

Naja...wenn du die interne FW deaktivierst (alles erlauben) gehts ja...und die brauch ich ja eigentlich eh nicht ;)
Also no stress...
 
Hallo goetz,

ich habe versucht Deinen Hinweis zu verstehen und umzusetzten, doch kenne ich mich leider nicht so gut mit Linux und Telnet aus.

Mit Telnet funktionieren deine Hinweise nicht so richtig, bzw. der erste Befehl (iptables -nL) führt zu Meldungen die ich nicht verstehen...

Synology-DS212j> iptables -nL
modprobe: chdir(2.6.32.12): No such file or directory
iptables v1.4.2: can't initialize iptables table `filter': iptables who? (do you
need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Ich verwende Windows 7 64-Bit mit den neusten Updates/ServicePacks.

Würdest Du mir einen Tip übermitteln wie welchen Befehl ich wie mit welchem Tool am besten absetze um das Problem zu beheben?

Vielen Dank für deine Unterstützung.

Gruß ansijuda
 
bist du sicher auch als root angemeldet?
 
Hallo,
im Moment ist Deine Firewall aus und deshalb sind die Kernelmodule entladen. Also Firewall wieder konfigurieren und dann

iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Gruß Götz
 
nein, dass wusste ich nicht. Hatte mich mit dem "ADMIN-Konto" angemeldet.

Habe es mittlerweile hinbekommen (mit Anmeldung als root und dem Tool Putty)

Danke für die Unterstützung. :o)
 
hatte das Problem auch, danke Goetz, funktioniert wieder mit Firewall :)
 
Danke!
Hab ebenfalls schon den ganzen Nachmittag daran rumgebastelt, aber dass eine Zeile in den iptables fehlt ist mir nicht aufgefallen ... :)
 
Hallo Götz,

habe vom Support den Hinweis bekommen auf 4.0-2198 bezüglich des Problems, dass keine Außenverbindung möglich ist, upzudaten.
Das habe ich gemacht. Der von dir gepostete Hinweis "iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT" ist ebenfalls hinterlegt und wird auch korrekt mit dem Befehl "iptables -nL" angezeigt.

Leider geht seit dem Update auf 2198 gar nichts mehr nach Außen. Weder mit aktiver, noch inaktiver Firewall, noch wenn ich sämtliche Firewallregeln lösche.
Kein Update-/Paketserver erreichtbar. Mails werden nach dem Update auch nicht mehr abgeholt.

Leider hat das Update 2198 wohl etwas verschlimmbessert oder hättest Du noch eine Idee oder einen Tipp für mich?

Danke für Deine Unterstützung.

Gruß ansijuda
 
geht es mittlerweile oder hast du den Fehler immer noch? Falls ja poste doch mal deine kompletten Regeln
 
Also bei der DS111 habe sie es auch vermurkst habe mich gewundert das ich keine Pakete laden konnte ipkg nix lief und der Time Syn. die ganze Zeit Fehler ausspuckt. Ohje :(
 
Hallo

ich hab auf meine DS 106j die FW 2198 der DS 108j und habe das selbe Problem - mit oder ohne Firewall - ich bekomme keine externe IP-Adresse. iptables ist bereits korrekt.
Bei DSM-Aktualisierung steht unter Status nach einer gewissen Zeit 'Verbindung zum Server fehlgeschlagen"...
Irgendwelche Hinweise?

ec66
 
Schau mal unter Systensteuerung->Netzwerk ob noch alles korrekt eingetragen ist.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten