Firewall-Log

daschmidt94 · 28. Nov 2020

Guten Abend,

hab mir heute mal die Firewall zu herzen genommen.
Alle Zugriffe gesperrt aus anderen Ländern usw.
Um nun meine Einstellungen zu testen, habe ich mir auf dem Handy eine VPN-App heruntergeladen.
Es klappt soweit, dass ich auf meine Nextcloud aus außerhalb nicht zugreifen kann, leider kann ich jedoch
nichts in der Synology sehen, dass es einen Zugriffsversuch von außerhalb gegeben hat. Bzw. mich
benachrichtigen lassen.

Hab mich schon durch Dr. google gesucht leider nicht wirklich was gefunden.

Hoffe ihr könnt mir hier helfen.

MFG

Anzeige · 28. Nov 2020

Hallo daschmidt94,

Bücher und Hardware zum Thema gibt es bei Amazon: Firewall-Log

blurrrr · 29. Nov 2020

Also mein lieber @daschmidt94... "benachrichtigt bei Zugriff" willst Du garnicht werden, denn dann gehst Du vermutlich einfach nur in der Mailflut unter ?
Du sprichst hier allerdings von zweierlei: Nextcloud und Synology. Was denn nun? Die Synology selbst bietet ja durchaus entsprechende Benachrichtungsmöglichkeiten, allerdings auch nur für die "eigenen" Dienste. Nextcloud (ob so installiert, im Container, oder als VM, oder wie auch immer) gehört da nicht zu. Frage ist nun, was genau meinst (und möchtest) Du in Bezug auf was genau?

Google findet alles, nur muss man schon wissen, wonach man konkret sucht, ansonsten gibt es nur Unsinn - also lass uns das mal klären und danach hilft Dir Dr. Google auch bestimmt "sinnvoll" weiter

daschmidt94 · 29. Nov 2020

Danke für deine Antwort @blurrrr
Es geht um folgendes:

Ich habe auf der synology über Docker Nextcloud und Bitwarden als Bridge installiert.
Das alles läuft über den Proxy vom DSM. Also dachte ich mir, dass auch die Firewall verwendet werden kann.
Sprich es soll keiner von anderen Ländern auf die Nextcloud bzw. auf Bitwarden zugreifen können.
Sollte dies doch passieren wäre es schön, wenn ich per E-Mail benachrichtigt werde, oder auf log's zugreifen kann.

Mich würde es halt interessieren ob Zugriffe stattfinden.

blurrrr · 29. Nov 2020

Najo, Zugriffe - sofern von aussen erreichbar - werden (gut anschnallen jetzt)... halt "immer" stattfinden. Das ist halt einfach so und hat auch nix damit zu tun, dass irgendwas "unsicher" ist oder sonstwas, das liegt einfach in der Natur der Dinge. Ist wie wenn Du einen riesigen Fischteich hast.... Irgendwer wird IMMER reinlangen und da kannst Du auch nur schwerlich was gegen tun. Sicherlich kann man den Schwarzanglern mit Zäunen und Co entgegnen, den Fischreiher wirst Du damit aber niemals abhalten können und ebenso wenig anderes Getier. Ebenso kannst Du niemanden davon abhalten, Dein Auto anzufassen, wenn es im öffentlichen Raum geparkt ist. Also: Zugriffe wird es immer geben. Allein ein "Zugriff" erzeugt jetzt aber nicht automatisch ein "Problem" oder eine "Gefahr". Du müsstest also schon genauer definieren, was Du wann willst.

Was die Zugriffsprotokolle angeht, Apache/Nginx bieten da z.B. ein Access-Log. Dort kannst Du sämtliche Zugriffe (auf den Webserver-Dienst) einsehen. Nebst dem gibt es i.d.R. noch ein Error-Log (da darf man jetzt 3x raten, was dann da wohl drin stehen könnte

). Anhand dieser Logs funktionieren übrigens auch die Mechanismen der IP-Sperren (die ja von irgendwoher auch ihre Infos bekommen müssen). Da werden dann die Logs überwacht und wenn dort dann irgendwas steht á la "IP XY hat sich falsch angemeldet" wird dies nach einer festgelegten Häufigkeit (und Zeitabhängigkeit) ausgewertet ("Jail") und als entsprechende Firewall-Regel hinterlegt. Somit ist es Dir auch möglich, selber Definitionen z.B. für das Nextcloud-Log anzulegen, aber das nur mal so am Rande.

Wenn Du Dir das ganze mal über einen "kurzen" Zeitraum anschauen willst:

"tail -f /var/log/<webserver>/<access-log>"

Aber bitte nicht erschrecken, was nicht ggf. noch alles von aussen mal so "anklopft".

Davon ab: Wenn alles über den "Proxy" des DSM läuft, dann sollten die Regeln auch entsprechend greifen (denn dieser ist direkt unter der Syno-IP bzw. dem eigentlichen Interface erreichbar und dafür ziehen dann auch die entsprechenden Regeln. Bei einem Bridged-Mode bekommen die Container eigenständige IP-Adressen, da wäre es dann sinniger, die Container selbst zu konfigurieren (iptables, ufw, was auch immer - die eigene interne Firewall des Container-Systems halt).