Firewall Einstellungen

[Nebukadnezzar]

Moin,

zwar habe ich über meinem Router (Fritz 7490) die Zugriffe auf mein WLAN über die Portfreigagen eingeschränkt, aber ich bin ein Fan des doppelten Netzes und möchte auch die Firewall der Synology nutze.
Ich habe eine DS412+ mit DSM 5.1 V5022 Update 2.

In der Firewall Konfiguration habe ich per GeoIP den Zugriff aus bestimmten Ländern gesperrt und per Auswahl der Applikationen den Zugriff von Außen für verschiedene Apps freigegeben.




Unter anderem gehören dazu die Audio Station und die Note Station. Die notwendigen Ports habe ich über meine Router ebenfalls freigegeben.
Bei der Einstellungen der Firewall kann auf die Synology nicht zugegriffen werden, wenn keine der Regeln zutrifft.




Mein Problem ist nun, dass ich auf Notes und Audio Station nicht von außen nicht zugreifen kann, wenn ich die Firewall aktiviert habe. Dabei sind explizit beide Applikationen mit den richtigen Ports freigegeben. Der Zugriff auf meine Photostation klappt unter aktivierter Firewall aber bestens

Deaktiviere ich die Firewall klappt der Zugriff anstandslos

Was mache ich hier falsch ??

Danke für Eure Hilfe!

 

[Tommes]

Als erstes solltest du dir in der Firewalleinstellung mal die Fußleiste anschauen, dort steht "If no rules are matched: "Allow access"
Das bedeutet also: Wenn keine Regel zutrifft - Zugriff erlauben!!!
Fällt dir was auf?

Geh bei den GeoIP-Einstellungen mal den umgekehrten Weg - nur die Länder freigeben bzw. anhaken, von wo aus Zugriff erlaubt ist!

In deinem lokalen Netzwerk würde ich besser die komplette IP-Range 192.168.178.1 bis 192.168.178.254 freigeben. Das könnte bei der "automatischen Blockierung" vielleicht mal ganz nützlich werden.

Welchen DDNS-Anbieter nutzt du denn? Hoffentlich keinen, dessen GeoIP du gesperrt hast?

Tommes

 

[Nebukadnezzar]

Hallo Tommes,

danke für Deine Hilfe!

Also:

- das mit der Fußzeile stimmt natürlich, das war ein Fehler bei meinem Probieren mit den FW Einstellungen - aber wenn ich "Deny Access" wähle, hilft mir das leider auch nichts.
-GeoIP: ich habe nur Indien, China und Nord- wie Süd-Korea gesperrt. Da ich zum einen sowohl in Europa und Afrika viel unterwegs bin, als auch Nord- und Südamerika, war das für mich die sinnvollste Einstellung. Wenn ich mir früher auf meiner Herkunftsländer der gesperrten IP Adressen angeschaut habe, waren dies auch jene Länder, aus denen die meisten unberechtigten Zugriffsversuche kamen.
- Das mit ip-Range ist eine ausgezeichnete Idee, habe ich gleich umgesetzt.
- ich nutze no-ip, die sitzen in den USA und sind nicht über GeoIP gesperrt.

Also, auch wenn ich die Regeleinstellung korrigiere - es klappt immer noch nicht

 

[Tommes]

Meine DS-Firewalleinstellung sieht so aus, das ich mein lokales Netzwerk freigeschaltet habe und per GeoIP nur Adressen aus Deutschland. Fertig... mehr nicht. Trifft keine Regel zu, dann wird der Zugriff gesperrt. Im Router leite ich Note- und Downloadstation sowie Cal-, Card- und WebDAV weiter... und funktioniert. Das du in der DS Firewall den freigegebenen Port abermals freigibst, macht für mich keinen Sinn.

Tommes

 

[Frogman]

Die Regeln sind ja für LAN2 eingetragen... - ist dort tatsächlich das LAN-Kabel eingesteckt? Und gibt es noch weitere Regeln unter "Alle Schnittstellen"?

 

[Nebukadnezzar]

Ja, LAN 2 ist mit Absicht gewählt und unter "Alle Schnittstellen" gibt es keine Einstellungen.
Auch der Hinweis von Tommes:

Das du in der DS Firewall den freigegebenen Port abermals freigibst, macht für mich keinen Sinn.

Ist mir schon klar, aber grundsätzlich muss es ja möglich sein.
Ich habe mal die Firewall Einstellungen verändert und alles Apps Einschränkungen rausgenommen. Siehe hier:



Nun klappt der Zugriff gar nicht mehr - weder Notes,Photostation noch irgend etwas anderes.
Setze ich aber wieder eine Apps Einschränkung ein, dann kann ich sehr wohl z.B. auf Photostation zugreifen, nicht aber auf die Notes App.

Ich bin wirklich verwirrt

 

[Tommes]

Was passiert denn, wenn du die GeoIP Regeln mal komplett raus nimmst?

 

[Nebukadnezzar]

Ändert nichts - Photostation klappt, Notes immer noch nicht

 

[Tommes]

Dann kann ich dir leider nicht weiter helfen, da ich das Problem nicht lokalisieren kann. Auch kann ich das bei mir nicht reproduzieren!

Tommes

 

[Nebukadnezzar]

Auf jeden Fall danke für die Bemühungen!

 

[caste11]

Verstehe nicht ganz wieso so du beim letzten Screenshot Firewall Rules machst wobei du China, Indien etc. blockierst und einstellst dass wenn keine Regel zutrifft der Zugriff verweigert wird. So schirmst du deine DS ja explizit komplett vom Internet ab. So wird der Zugriff aus allen Ländern verweigert. Oder verstehe ich das falsch?

hast du eventuell bei der Firewall von deinem Router noch etwas blockiert, was dir den Zugriff verweigert?

Gruss

 

[Nebukadnezzar]

Ich denke nein, denn wenn Du genau schaust, sind die Länder China, etc. blockiert ("Deny") - das heißt, nur der Zugriff aller IP Adressen aus den Ländern ist gesperrt.
Wenn ich die Logik richtig verstehe, sieht es wie folgt aus:

- ist die IP Adress aus meinem WLAN, geht der Zugriff in Ordnung
- ist die Adresse aus China, etc., wird der zugriff verweigert
- wird auf eine der Apps zugegriffen, (egal mit welcher IP, Ausnahme die genannten Länder), wird der Zugriff zugelassen.
- trifft nun keine der Regeln zu (meine IPs, Länder, Apps) wird der Zugriff verweigert.

Das wollte ich auch genauso so haben, da ich - meinem Verständnis nach - eine entsprechende Zugriffsbeschränkung habe.
Habe ich das falsch verstanden ?


Cheers

 

[Frogman]

caste11 bezieht sich auf Deinen LETZTEN Screenshot in Post #6 - und dort wird, wie er richtig beschreibt, lokale Zugriffe zugelassen (Regel 1), Zugriffe aus China &Co blockiert (Regel 2) und darüber alle weiteren Zugriffe ebenfalls blockiert aufgrund der Festlegung "Blockade, falls keine Regel zutrifft". Effektiv ist damit also der Zugriff aus dem Internet komplett gesperrt.

 

[Nebukadnezzar]

Stimmt, mein Fehler - letzter Screenshot
Das habe ich ausprobiert, da ja der Vorschlag kam, über GeoIP bestimmte Länder zu sperren und für den eigenen IP Adressenkreis zu öffnen; alles andere zu sperren (siehe Tommys), hilft aber auch nicht. Hatte ch auch vermutet, da damit ja die Apps ebenfalls gesperrt sind.

Jetzt habe ich die vorherige Einstellung und es klappt immer noch nicht



Diese verstehe ich so:

- sperre die Ländern gelistet
- Öffne bestimmte Apps
- Öffne den IP Adressenkreis
- alles Andere sperren

klappt nur leider nicht
Auf einige Apps kann ich zugreifen, auf andere nicht ... Portfreigaben auf der FritzBox habe ich schon mehrmal überprüft, stimmen.

 

[Frogman]

Greifst Du auf die Apps mit separat eingetragenen Ports zu (siehe Anwendungsportal in der Systemsteuerung) oder über einen Alias auf dem Port 5001 bzw. 5000 (unverschlüsselt)?

 

[Nebukadnezzar]

Separate eingetragene Ports - definiert in der FW als auch im Router freigegeben.

 

[Tommes]

...da ja der Vorschlag kam, über GeoIP bestimmte Länder zu sperren und für den eigenen IP Adressenkreis zu öffnen; alles andere zu sperren (siehe Tommys)...

Tommes, nicht Tommy bitte!
Und ich habe gesagt, das du unter den GeoIP Einstellungen die Länder anhaken sollst, die du zulassen möchtest, sonst macht die Regel in der Fußzeile (Wenn keine Regel zutrifft, Zugriff verweigern) ja auch keinen Sinn. Denn wenn du z.B. China den Zugriff verweigerst aber für Deutschland keine Regel definierst, das der Zugriff erlaubt ist... dann wird auch Deutschland gesperrt, da ja keine Regel zutrifft.

 

[Frogman]

Und welche Apps genau gehen nicht?

 

[Nebukadnezzar]

Sorry Tommes - Tippfehler

OK - das heißt aber auch, nehme ich die GeoIP Einschränkung ganz raus, müsste der Zugriff ja klappen, da ich für die Apps alle IPs freigegeben habe (Source IP All), siehe wie folgt:



Klappt aber jetzt auch nicht

Außerdem würde ich das Argument verstehen, wenn nicht nur bestimmte Apps den Zugriff verweigern, andere aber funktionieren ?!

 

[Nebukadnezzar]

Und welche Apps genau gehen nicht?

z.B. Notestation oder Audiostation
Dafür funktionieren aber Cloudstation und Photostation ....