Toggle sidebar

DSM 6.x und darunter IP adress has beem blocked by SSH

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
Wutzmann

Wutzmann

Benutzer
Registriert
13. Apr. 2011
Beiträge
62
Reaktionspunkte
0
Punkte
12
Hallo,

ich habe seitenweise Benachrichtigungen auf meiner DS

Die IP-Adresse [xxx.xx.xxx.xxx] hat 5 vergeblich versucht sich beim Dienst SSH auf xxx innerhalb von 5 Minuten anzumelden und wurde um xxx blockiert.
Zum Vergrößern anklicken....

Gibt es eine Möglichkeit diese ständigen einwähl versuche zu blockieren, oder was kann man generell dagegen unternehmen?
 
Ja, du kannst Port 22 in deinem Router schließen, denn das - und der aktivierte SSH Dienst - ist der Grund für die Zugriffe.
 
Wenn Du den remote ssh Zugang brauchst, leg den Port auf was anderes. Port 22 wird permanent gescannt, daher auch die häufigen blocked Meldungen. Seitdem ich ssh im Router auf einen anderen Port gelegt habe, ist Ruhe.

Also Router (Port xxxx) -> Synology (Port 22)
 
Danke für die Hilfe, den Tipp!
 
Puppetmaster schrieb:
Ja, du kannst Port 22 in deinem Router schließen, denn das - und der aktivierte SSH Dienst - ist der Grund für die Zugriffe.
Zum Vergrößern anklicken....
und wie kann ich den Port 22 ändern? Schliessen ist ja kein Problem, aber dann funktioniert SSH ja nicht mehr.
 
Das WIKI sagt folgendes, ich zitiere:

SSH Port auf einen anderen legen

Der SSH Port kann leider nicht im DSM auf einen anderen gelegt werden. Abhilfe schafft das Ändern unter /etc/ssh/sshd_config:
Einfach Zeile 14 auskommentieren und beispielsweise Port 650 reinschreiben.
Nun verbindet man sich unter Linux und Mac OS X mit: ssh root@ip-adresse -p650
Unter Putty kann der Port auch angegeben werden.
Zum Vergrößern anklicken....

PS: Hättest du auch gefunden
smile.png
 
hallo,
nachdem ich in der Datei die betreffende Zeile geändert habe, habe ich den Router auch nochmal konfigurieren lassen. Auch hier hat sich dann wieder der Port 22 eingefunden. Mit Putty kann ich jetzt über meinen Win-Rechner weder mit Port 22 noch mit 650 auf die DS zugreifen:"Network error. Connection timed out"
 
Du willst ja auch nicht den ssh port der Diskstation ändern, sondern den des Routers.

Wenn Du die Portfreigabe über DSM machst (Externer Zugriff/Routerkonfiguration) dann klick das da weg.
Dann geh in die Konfiguration deines Routers und mach die Freigabe per hand. Dann kannst Du auch beliebige Port-Kombinationen einstellen.
Dort machst Du dann von xxxx (extern) -> 22 (IP der DS) TCP

Wie man das macht, hängt allerdings vom Router ab. Bei ner Fritzbox könnte ich dir das sagen.
 
FritzBox 7390 ist die meine. Hab aber noch nicht geschaut, ob ich das so wie gewohlt hinkriege...
 
Auf der Fritz
Internet/Freigaben/Neue Portfreigabe

Portfreigabe.jpg

Statt 12345 nimmst Du irgendwas im 4 oder 5 stelligen Bereich.
Von intern ist die DS dann immer noch per Port 22 erreichbar, von aussen aber nur über Port xxxx. Das musst Du im SSH-Client dann entsprechend einstellen.
 

Anhänge

  • Portfreigabe.jpg
    Portfreigabe.jpg
    53,1 KB · Aufrufe: 105
also, wenn ich wie weiter oben beschrieben Port 650 editiere, habe ich über den Router keinen Zugriff. Schließe ich die DS direkt an den PC an, kann ich mittels Putty und dem Port 22 auf die DS zugreifen. Ich weiß jetzt natürlich nicht, ob dies an Port 650 liegt?

sshd_config.jpgPutty.jpg
 
Hallo,

du hast den Port auf 650 geändert, aber die Zeile ist weiterhin auskommentiert.

Dann kannst du dich auch nicht mit Port:650 verbinden.
Bitte beachte auch, ob Port:650 nicht von einem anderen Dienst benutzt wird
 
Ok, nur mal zur Klarstellung. Es geht ausschliesslich darum, Attacken auf Port 22 aus dem Internet zu verhindern. Dazu ist es nicht notwendig, am sshd irgwendetwas zu ändern.
Die Portweiterleitung, die ich oben beschrieben habe, setzt nur Anfragen von aussen um. Der Zugriff von intern (auch wenn das über denselben Router passiert, bleibt davon völlig
unberührt.
Das ist mit Abstand die einfachste Methode.
 
vielen Dank, nach der Umstellung sin die geblockten IP-Adressen nicht mehr aufgetreten!

Bis zum nächsten Mal
:)
 
Hi,

man könnte die Authentifizierung auch via RSA-Key gestalten sodass die "User/Passwort Abfrage" deaktiviert ist. Somit schützt man sich zumindest von den Botnet´s die dafür Zuständig sind dass ständig irgendwelche IP´s geblockt werden.
Bei mir ist beispielsweise Port 22 permanent offen und ich bekomme auch keine Meldungen dass IP Adressen geblockt werden. Der ssh server lässt eben dann keine "user/passwort" Authentifizierung mehr zu. Man benötigt dazu den entsprechend passenden geheimen Key (wahlweise mit oder ohne Passwort) um Zugang zu erhalten.
Es ist jedenfalls für diejenigen interessant die auf den ssh Zugriff von außen nicht verzichten und sich dennoch sicher fühlen wollen.

Eine Anleitung wie vorzugehen ist und welche Einstellungen dazu nötig sind findet ihr im SynologyWiki.

Gruß
luddi
 
Zuletzt bearbeitet:
hallo,
nachdem ich den Port geändert habe (jetzt bekomme keine Infos mehr über geblockte IP´s) kann ich mich nicht mehr mit Putty über den Router anmelden!
 
Wo hast du denn den Port geändert?

Und den geänderten Port übernimmst du dann auch für Putty?!
 
alles gut...

heute Morgen konnte ich per Putty mit dem geänderten Port auf die DS zugreifen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten