Firewall Regel für DSM Updates und Pakete?

[MarSche]

Servus zussmmen

Kurze Frage.
Ich habe hier im einem andren Thread netterweise eine Regel konfiguriert bekommen, da ich sagte, das die NAS nicht wirklich online muss, da ich über VPN darauf zugreife zudem diese hinter einer FritzBox hängt.
Jetzt haben wir das Heimnetzwerk intern erlaubt, sonst alles gesperrt.
Jetzt meine ich aber, dass auch die Paketupdates und DSM Updates blockiert sind?

Muss ich da noch, für die Updatemöglivhkeit konfigurieren?

Danke vorab

 

[Fusion]

Die Firewall blockiert aber nur eingehende Verbindungen und keine ausgehenden (zu den Syno Paket Servern).

 

[MarSche]

Ah, ok ist das so? Wie würde eine Regel dann aussehen, wenn ich z.B. jetzt einer Anwendung einen Maulkorb aufsetzen möchte?

 

[w00dcu11er]

Berechtigungen für diese Anwendungen entziehen (entweder User-basiert oder Gruppen-basiert - allesamt in Systemeinstellungen vorzunehmen) wäre hier die saubere Lösung.

 

[MarSche]

@w00dcu11er
Ok, danke.
Du meinst dann sicherlich unter dem Punkt Anwendungsberechtigungen oder?
Aber ich verstehe dort nun nicht, wie ich dann explizit klar mache, dass diese Anwendung nicht ins Internet soll bzw. darf.
Ich kann dort doch, wie Du schon sagtest Gruppen und einzelne User erlauben bzw. verweigern aber das ist, wie ich das hier sehe, nunör dieser Check, genauer verbieten sehe ich dort nicht oder doch Anwendungsbasiert in der Firewall?

 

[EDvonSchleck]

Wovor hast du denn genau Angst?

Du kannst Seiten bzw. Dienst im Router sperren oder einen Adblocker wie AdGuard oder Pi-Hole einsetzen. Alternativ kannst du die DS auch direkt die DS den Internetzugang blockieren und die Updates manuell einspielen oder die Blockierung aufheben.

 

[MarSche]

@edvon

Schöner Nick, gerne früher gegessen

Du Angst habe ich nicht wirklich nur gerne die Kontrolle, was raus funkt, zumal die NAS 24/7 online ist ohne das man dort kontrolliert.

Mir geht geht es darum, dass die NAS für ihre reibungslosen Gebrauch raus darf, also Paketupdates und DSM Updates aber anderes dann explizit freigeben, wenn benötigt.
Zudem möchte ich die Regeln mal verstehen wie das NAS arbeitet.

 

[EDvonSchleck]

Wie schon Fusion schreibt, gelten die Regeln von außen nach innen. Wenn du mehr benötigst, musst du das über den Router machen. Dort kannst du auch Ports sperren. Alternativ kann man auch eine Firewall wie pfSense einsetzen. Dort sind noch viel mehr Einstellungen möglich, ist aber eher etwas für erfahrene User.

Trotzdem kannst du doch nicht kontrollieren, was über den jeweiligen Port „abfließen“ kann. Es ist ja technisch möglich auch Zugang über andere Ports zu bekommen oder Anfragen zu switchen, wenn ein bestimmter Port nicht erreichbar ist.

Wenn du mehr Kontrolle haben willst, wäre Adguard (bessere PI-Hole) oder Pi-Hole der richtige Weg. Dort kannst du neben Adware auch Dienste etc. sperren. Ich selbst verwende Adguard zusammen mit Unbound.

 

[ottosykora]

also diese Träume von einer 'outbound firewall' gab es früher für PC, Dutzende von Anbietern von sogenannten 'Private Firewall' gab es damals, zu jeder Preiskategorie. Das ging einige Jahre, dann wurde allen klar dass so was zu nichts führt und der Markt dafür war gleich Zusammengebrochen.