Firewall einrichten - Synology DS211

[Zottelhias]

Hallo Forum,

ich besitze die DS211 und würde gerne meine Firewall aktivieren, da die DS Online gehen soll. Nun würde ich gerne ein paar Regeln erstellen so das nur bestimmte leute darauf zugreifen können.
Es soll so eine Art Familien Server werden, auf dem Fotos angeschaut und Dokumente hin und her gereicht werden können. Sie soll auch als eine Art Downlod Server dienen.

Sie sollen alle Anwendungen nutzen können (Mail-, Download-, File-, Photo- Station, Medienserver usw.) außer die Surveillance Station.
Nun habe ich ein Problem mit den Ports und IPs wenn mir da vielleicht jemand helfen kann wäre ich sehr dankber.
Im Grunde genommen soll jeder geblockt werden bis auf die PCs meiner Familie Mitglieder das muss doch machbar sein oder?
Die Programme sollen für die Familie bereit stehen.

Außerdem benötige ich eine Liste aller Ports, die ich dafür öffnen muss. Es soll auch eine I-netseite entstehen, also ganz kurz, ich benötige das rund um sorglospaket, wäre sehr nett wenn mir jemand dabei helfen könnte.


Mit freundlichen Grüßen

Zottelhias

 

[jahlives]

Die Firewall arbeitet auf Protokoll Basis, also nur mit Ports und IPs und nicht mit Benutzern. Du musst also Regeln mit IPs und Ports erstellen. durch geschickte Anordnung der Regeln kann man ziemlich komplexe Dinge damit basteln.
Eine Liste der Anwendungen und deren Ports findet du in unserem Wiki

 

[Ap0phis]

Ziemlich gewagtes Unterfangen, wenn man keinen genauen Überblick über sein Netz hat!
Im Grunde sind doch alle Anwendungen schon durch Passwörter geschützt. Die Firwall würde dir da auch nicht viel weiter helfen. Aktiviere einfach die "automatische Blockierung", um Fremde im eigenen Netz* davon abzuhalten, Passwörter zu bruteforcen. Fertig.

*) Von ausserhalb deines Netzes sind eh alle relevanten Ports durch den Router gesperrt. (Hoffe ich!)

 

[Zottelhias]

Aber wie erstelle ich nun eine Regel?

Guten Morgen Forum.

Mir ist klar, dass der Router im großen und ganzen die Sache Regelt. Ich will dennoch nicht auf die Integrierte Firewall verzichten einfach so als Sicherheit für die Sicherheit.

Ich habe nun also die IP meines Vaters, er soll über das Web auf jede Anwendung zugriff haben.
Jetzt öffne ich das Fenster der Firewall und sage im bereich "Ports", "Benutzerdefiniert" und wähle das aus was für Ihn interessant ist (Mail, File, Photo, Audio Station usw. die Anwendungen laufen auch alle über https).
Im bereich "Quell IP" gebe ich nun "Single Host" an und tippe seine IP in die Zeile "IP".
Unten im bereich "Aktion" sage ich dann "Zulassen".
Habe ich das so richtig verstanden?

Die nächste Frage ist, wie kann ich nun alle anderen Blocken, bis auf die jenigen, welche in der Liste als zugelassen stehen?

Sehr nett von Euch das ihr Euch gemeldet habt. Das freut mich!


Mit freundlichen Grüßen

Zottelhias

 

[jahlives]

@Ap0phis
weisst du jetzt warum ich die Firewall empfohlen habe? ;-)

ich habe nun also die IP meines Vaters, er soll über das Web auf jede Anwendung zugriff haben.

@topicstarter
Wenn dein Vater eine dynamische IP Adresse hat, dann wird eine IP-basierte Regel nicht viel bringen. Sobald sich die IP deines Vaters ändert greift die Regel nicht mehr. Regeln mit IPs machen nur dann Sinn wenn die IPs fix sind

 

[oliv3r]

Hallo Zottelhias,

wieso installierst du nicht das VPN-Center und Ruhe is? Benutzer für deinen Vater anlegen, Passwort festlegen und er kann sich mittels PPTP oder OpenVPN einwählen.

Gruß
Oliver

 

[Ap0phis]

@jahlives, schon klar, aber meine Bedenken kennst du ja.
Wer sich nicht wirklich damit auskennt, der sperrt sich schonmal gerne selber aus und übermorgen kommt dann die Frage, warum diese oder jene Anwendung auf der DS nicht mehr funktioniert!

@Zottelhias,
Auch hierbei brauchst du die interne Firewall nicht!
Anwendungsberechtigungen kann man auch auf Benutzerebene im Bedienfeld/Systemsteuerung vergeben!

ABER um die Sache für dich so sicher wie möglich zu machen:
Richte dir das VPN-Zusatzpacket auf deiner DS ein, und bei deinem Vater den dazugehörigen VPN-Zugang. Das macht alles ein wenig einfacher und sicherer! Und auf jeden Fall den "guest"-Account deaktivieren!

 

[jahlives]

Wer sich nicht wirklich damit auskennt, der sperrt sich schonmal gerne selber aus und übermorgen kommt dann die Frage, warum diese oder jene Anwendung auf der DS nicht mehr funktioniert!

Kann dir eigentlich fast nicht passieren mit der Firewall der DS. Wenn du eine Regel erstellst, die den aktuellen PC des admins aussperren würde, dann wird die Regel ned aktzeptiert und eine Fehlermeldung geworfen. Also kann man sich zumindest im DSM ned aussperren

 

[Ap0phis]

... Also kann man sich zumindest im DSM ned aussperren

Stimmt ... solange man seinen "admin"-PC nicht per DHCP am Router hat,
und dieser mal abstürtzt, oder ausgetauscht wird!

 

[Zottelhias]

jahlives:
Ich habe bei DynDns einen Benutzer angelegt, mit dem müsste doch so einiges machbar sein, oder? Braucht mein Vater auch einen Benutzer bei dyndns?

oliv3r:
openVPN ist Installiert. Ich weis aber nicht ob ich da irgend einen Nachteil erleide (Geschwindigkeitsverlust), wenn ich eine Groupware installiere.

Ap0phis:
Wie meinst Du das mit den Anwendungsberechtigungen auf Benutzer ebene? Du sprichst von den Privilegieneinstellungen kann das sein?
openVPN ist Installiert. Ich weis aber nicht, ob ich da irgend einen Nachteil erleide (Geschwindigkeitsverlust), wenn ich eine Groupware installiere.


Mit freundlichen Grüßen

Zottelhias

 

[Ap0phis]

Nein, die Privilegieneinstellungen regeln den Zugriff auf gemeinsame Ordner.
Im Bedienfeld gibt es neben den Benutzer- und Gruppen-Einstellungen auch einen Punkt Anwendungsberechtigungen wo du so Sachen wie Photo-, Audio-, Download-station usw. den einzelnen Benutzeren erlauben oder verweigern kannst. So, wie du´s oben genannt hast.

Nachtrag:
Der dynDNS-Benutzer hat absolut nichts mit den Benutzern auf der DS zu tun! DynDNS sorgt nur dafür, dass deine DS bei wechselnder IP trotzdem immer mit der gleichen http(s)-Adresse gefunden werden kann.

 

[jahlives]

OpenVPN ist maximal 10MBit/s Wenn du also ein schnelleres Internet hast, dann hast eine Einschränkung, wenn nicht dann nicht ;-)

 

[Zottelhias]

Ap0phis:
Sorry, tut mir leid. Ich meinte Natürlich die Anwendungs...
Ok, gut! Ich habe vier Benutzer angelegt und für diese Anwendungsberechtigungen erstellt und nun?

Schließt der vorgang nun aus das sich andere (mir Unbekante Menschen) versuchen können an meiner DS211 anzumelden?
Ich will das sich nur die Personen die ich als Benutzer erstelt habe, anmelden können.

Wie kann ich jetzt außerdem vermeiden das ich gehackt werde, wenn die DS211 nachher Online ist?
Ich kenne mich nicht so gut aus, aber ich habe bedenken wegen Hackern. Können die sich keinen zugriffverschaffen wenn ich das so mache?


jahlives:
Das heist wenn ich eine 16000Kbit/s leitung habe, habe ich 2Mbit/s sehe ich das richtig und das wiederum heist, ich kann das Bedenkenlos einsetzen? Soweit alles ok?


Grüße

Zottelhias

 

[Ap0phis]

Ich glaube, du mußt dich erstmal wieder sammeln!

1. Grundsätzlich kann sich niemand (ausser "guest", deswegen dringend diesen User deaktivieren!) auf deiner DS einloggen, der nicht Benutzernamen und Passwort hat!
2. Einen 100%igen Schutz vor Hackern gibt es nicht ... ausser die Option "automatische Blockieren" im Bedienfeld der DS.

Ok, gut! Ich habe vier Benutzer angelegt und für diese Anwendungsberechtigungen erstellt und nun?

Nix und. Du wolltest doch Anwendungen beschränken. Das hast du getan.

 

[jahlives]

Einen 100%igen Schutz vor Hackern gibt es nicht ... ausser die Option "automatische Blockieren" im Bedienfeld der DS.

Verhindert einen Glückstreffer des Hackers aber auch ned wirklich ;-)

 

[Ap0phis]

Das ist ja das leidige Problem eines jeden Hack-Schutzes!
... und der Grund dafür, dass ein Passwort nicht gerade "mausi" oder "hasi" lauten sollte!

 

[Zottelhias]

Ap0phis:
Wieso benötige ich dan eine Firewall in meiner DS, wenn doch der gleiche schutz mit der Anwendungsberechtigung gegeben ist?
Das Guest Konto ist nicht Aktiv.
Ok, nun zum Automatischen Blockieren, was sollte ich dort deiner meinung nach einstellen?

Ein DANKE mal zwischendurch an Euch, sehr nett das ihr euch mit mir abstressd.


Gruß

Zottelhias

PS: Was muss ich machen, damit die DS über das Internet nun erreichbar wird? Könntze mir das noch kurz jemand sagen?
Er müsste wenn alles in ordnung ist immer über "http(s)://name oder iportNr" erreichbar sein oder?

 

[jahlives]

Ap0phis:
Wieso benötige ich dan eine Firewall in meiner DS, wenn doch der gleiche schutz mit der Anwendungsberechtigung gegeben ist?

Weil es eben nicht der gleiche Schutz ist. Anwendungsberechtigungen greifen, wie der Name schon sagt, auf Anwendungsebene. Eine Firewall greift aber auf Protokollebene. Das ist nicht dasselbe ;-)

 

[Ap0phis]

Ap0phis:
Wieso benötige ich dan eine Firewall in meiner DS, wenn doch der gleiche schutz mit der Anwendungsberechtigung gegeben ist?
Gratuliere! Genau darauf wollte ich hinaus! Du hast es verstanden.
Das Guest Konto ist nicht Aktiv.
Ok, nun zum Automatischen Blockieren, was sollte ich dort deiner meinung nach einstellen?
Einfach nur aktivieren. Die Standardeinstellung ist ok!
...
PS: Was muss ich machen, damit die DS über das Internet nun erreichbar wird? Könntze mir das noch kurz jemand sagen?
Er müsste wenn alles in ordnung ist immer über "http(s)://name oder iportNr" erreichbar sein oder?

Den entsprechenden Anwendungsport im Router auf die DS weiterleiten (Portforwarding).
Liste der Ports: http://www.synology-wiki.de/index.p...ste_über_Internet#Liste_der_verwendeten_Ports

Nachtrag:
Ok, mit der Antwort von jahlives ist die Verwirrung nun komplett!
Das liegt aber auch zum Teil daran, das du, Zottelhias, nicht wirklich zwischen internen und externen Zugriffen unterscheidest und auch noch nicht definitiv gesagt hast, wer wie wo und wann zugreifen soll!
Bei internen und VPN-Verbindungen reichen alle Einstellungen, die ich genannt habe!

 

[Zottelhias]

Das ist dann laut liste entweder

1.) Port http: 5000 oder Port https: 5001
oder
2.) Port http: 5005 oder Port https: 5006

Nun nochmal zu vorhin. Wieso sagt jahlives das es nicht das gleiche ist eine Firewall und ein Regel auf Anwendungsberechtigung ebene zu erstellen.
Aber wieso ist mit beiden Sachen der gleiche schutz gewährt???


Mit freundlichen Grüßen

Matthias Güttinger