Toggle sidebar

Internetsperre / Kindersicherung

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
ebusynsyn

ebusynsyn

Benutzer
Sehr erfahren
Registriert
01. Juni 2015
Beiträge
556
Reaktionspunkte
376
Punkte
139
Hallo,
in meinem Router ist der Port 80/443 offen, damit gewisse Applikationen die im Docker laufen von extern (ohne VPN) erreicht werden können.

Der Router (Schweiz, Swisscom, Internet Box 3) bietet eine Funktion an, die sie 'Kindersicherung/Internetsperre' nennen. Die Funktion ermöglicht, dass für ein zu definierendes Gerät der Internetzugang möglich bzgl. eben nicht mehr möglich ist. Zeitgesteuert. Also der Weg vom Innen nach Aussen versperrt ist.

Wie verhält sich so eine Sperre im umgekehrten Fall?

Meine Tests haben ergeben, dass ich die von extern erreichbaren Applikationen bei aktivierter Kindersicherung nicht mehr erreichen kann, was in meinem Fall in Ordnung ist, da mein Plan der ist, dass die weitergeleiteten Ports nebst verschiedener anderer Sicherheitsvorkehrungen nur zu bestimmten Zeiten zur Verfügung stehen sollen. Das würde meinem Verständnis nach, ein weiterer Baustein sein, damit die Portweiterleitung auf das NAS sicherer ist.

Meine Frage: Ist es generell so, dass solche "Kindersicherungen" oder wie auch immer diese Funktion genannt wird, in beiden Richtungen wirken, oder ist das Router abhängig?
 
Das ist vom Router abhängig
 
Moin,

vorab: Ich kenne den genannten Router und dessen Kindersicherung nicht.

Grundsätzlich ist es so das jeder Router-Hersteller das umsetzen kann wie er möchte, sprich dafür gibt es keine feste Regeln und/oder Normen.
ebusynsyn schrieb:
Meine Tests haben ergeben, dass ich die von extern erreichbaren Applikationen bei aktivierter Kindersicherung nicht mehr erreichen kann,
Zum Vergrößern anklicken....
Bist Du Dir da sicher? Weil eigentlich haben Portfreigaben und -weiterleitungen nicht wirklich etwas mit der Kindersicherung zu tun. Es sei denn sie würden ggf. beide den gleichen Client betreffen.

Bsp.: Du hast im Router einer Portfreigabe für Port 80 für das NAS (z.B. 192.168.1.100) eingerichtet. Die Freigabe im Router sieht dann so aus das man im Router für die IP 192.168.1.100 den Port 80 freigibt. Alle Anfragen die dann aus dem WAN in das LAN zu 192.168.1.100:80 gehen kommen durch und werden von dem Router (durch das NAT-Prinzip) nicht mehr blockiert. Der Client für den man eine Kindersicherung eingerichtet hat, z.B. der PC eines Kindes, hat damit gar nichts zu tun. D.h. eine Anfrage aus dem WAN zu 192.168.1.100:80 geht weiterhin durch.

Im Prinzip ist eine Kindersicherung dafür da das dadurch verhindert wird das ein ganz bestimmter Client im LAN, also z.B. der PC eines Kindes, auf das Internet zugreifen kann. Das hat nichts mit Portfreigabe/-weiterleitungen für andere Clients im LAN zu tun.

VG Jim
 
Vielen Dank Jim, für diese Erläuterungen.

Ja, ich bin mir schon sicher, werde es aber abends nochmals prüfen. In der Tat ist es so, das die Portweiterleitung (80/443) und die in den Routereinstellungen aktivierte Sperre denselben Client (LAN-IP des Syno-NAS) betreffen.

Im Router werden die Ports 80/443 zum NAS weitergeleitet. In den Router-Einstellungen wird das NAS - also dessen LAN-IP mit einer zeitlichen Sperre für die Internetnutzung belegt.

Die Benennung dieser Funktion mit 'Kindersicherung' ist nachvollziehbar, aber eigentlich ist es ja eine Internet-Sperre vom Client zum Internet. Diese Funktion kann auch für 'Nicht-Kinder' angewendet werden. Und - so meine These - wenn die Portweiterleitung denselben Client betrifft wie der, der in den Routereinstellungen gesperrt ist, ist auch der Weg vom Internet (WAN) zum Client (NAS) nicht mehr möglich. Aber eben... '...was zu beweisen wäre'.

Ich werde noch ein bisschen herum probieren...

Beste Grüsse und Danke!
 
Zuletzt bearbeitet von einem Moderator:
Nur mal als Gedanke , bau dir doch eine eigene Firewall ala opnsense oder so davor.
Da könntest das alles individuell so gestalten wie du magst. Ohne das du auf die Funktion deines Router angewiesen bist
 
  • Like
Reaktionen: ebusynsyn
ebusynsyn schrieb:
In der Tat ist es so, das die Portweiterleitung (80/443) und die in den Routereinstellungen aktivierte Sperre denselben Client (LAN-IP des Syno-NAS) betreffen.
Zum Vergrößern anklicken....
Ah ok das erklärt das Verhalten. :) Ich habe mir ehrlich gesagt noch nie wirklich darüber Gedanken gemacht wie diese Sperre im Router intern genau umgesetzt wird. Vermutlich wird dabei der IP einfach der Zugriff auf die WAN-Schnittstelle des Routers kompl. (für alle Ports) blockiert und im Ergebnis ist sie dann für eingehende Anfragen aus dem WAN auch nicht mehr erreichbar.

Bei einer Fritzbox gibt es ja auch eine "Kindersicherung", wobei das da einfach nur ein zusätzlicher Name für die möglichen (Zugangs)Profile ist. Bei einer Fritzbox gibt es ja nicht nur das "Internet Ja/Nein" und das Wann, sondern bei den Zugangsprofilen lassen sich ja auch noch unterschiedliche Einstellungen vornehmen. D.h. für Dienste und deren Ports.

Fritzbox_Zugangsprofile.png
Somit ist es dann wieder möglich das der LAN --> WAN und der WAN --> LAN Verkehr nur für bestimmte Dienste und deren Ports auf der WAN-Schnittstelle blockiert wird.

Wenn Du bei Dir durch Porttests festgestellt hast das bei Aktivierung der Kindersicherung für das NAS im Router alle Ports aus dem WAN heraus in Richtung NAS nicht zu erreichen sind, dann dürfte wohl jeglicher Verkehr NAS <--> WAN-Schnittstelle am Router blockiert sein. Somit hat das Priorität und die Portfreigaben-/weiterleitungen für das NAS im Router spielen keine Rolle mehr.

Da ich bei mir aber in der Tat noch nie irgendwelche Portfreigaben-/weiterleitungen im Router genutzt habe, schon lange nicht in Kombination mit den/der Zugangsprofilen/Kindersicherung, kann ich zu der genauen Funktionsweise leider nichts sagen. Erst Recht nicht zu Deinem Swisscom Router.

VG JIm
 
Vielen Dank nochmals für Deine Erläuterungen. Das passt so für mich.

Der Stein kam durch die Frage ins rollen, ob und wie ich allenfalls die weitergeleiteten Ports zusätzlich - mindestens im Zeitfenster wo sie nicht gebraucht werden, automatisiert 'schliessen' kann. Da kam mir die 'Kindersicherung' in den Sinn, im Wissen, dass diese primär dafür da ist, den Internetverkehr vom LAN zum WAN zu blockieren und habe dann einfach mal den umgekehrten Weg probiert.

In der Zwischenzeit habe ich von extern auf die beiden Apps mit deren URL (abc.ABCDE.synology.me) zuzugreifen versucht und es war mir nicht möglich durchzukommen. Sekunden nach Aufhebung der Sperre kam ich durch.

Mit laienhaften Kenntnissen ausgerüstet würde ich als Fazit (betreffend meinem Router) sagen: Falls in der gesperrten Zeit ein wie immer gearteter PortScan stattfinden würde, wäre die Antwort wohl ein TimeOut.

Beste Grüsse

PS: Den von @metalworker gemachte Hinweis werde ich auch weiterverfolgen. Obwohl ich nicht ganz sicher bin, ob meine Fähigkeiten es ermöglichen eine OPNSense Firewall aufzusetzen.
 
Zuletzt bearbeitet von einem Moderator:
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten