Toggle sidebar

IP Länderspezifisch blockieren?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
B

bikerjuli

Benutzer
Registriert
09. Dez. 2013
Beiträge
89
Reaktionspunkte
0
Punkte
0
Hi all,

Mir ist aufgefallen, dass ich ständig aus dem Ausland Zugriffe auf meine Syno habe, aber immer failed to login, die IP's sind Weltweit, von Indien, USA bis Japan und CHina..... ich habe den IP blocker aktiviert und auch ssh...... weiss jemand ob es eine möglichkeit gibt alles IP's die nicht (in meinem Fall) aus der Schweiz sind zu blockieren?, Das wäre natürlich fantastisch wenn so was möglich wäre. Sobald die Syno oder IP Blocker bemerkt, dass der Zugriff nicht aus dem zugelassenen Land ist.

Ist sowas machbar?
 
ohhhh krass, ok danke=) ich lese mich da mal rein. merci!

wird leider zu kompliziert für mich, ich kenn mich da leider nicht genügend aus.. dachte es gibt ein programm bei dem ich kästchen markieren will was goodie goodie ist und was pfuii
 
Zuletzt bearbeitet:
das sperren ganzer Länder bzw ganzer Subnetze der Provider würde ich nur im Ausnahmefall versuchen. Denn du musst diese Liste dann auch pflegen. Was heute Russland ist kann morgen schon ein IP Bereich eines deutschen Providers sein.
In deinem Fall denke ich es dürfte reichen wenn du den Autoblock im DSM aktivierst und recht strikt einstellst. Dann werden IPs automatisch gesperrt, wenn eine bestimmte Anzahl fehlerhafter Logins vorhanden ist. Auch helfen tut der folgende einfache Grundsatz: so wenig wie möglich und so viel wie nötig. Frag dich also bei jeder Portweiterleitung die du machst ob du die auch wirklich unbedingt brauchst. Bei kritischen Sachen z.B. der DSM oder der SSH kannst du auch via VPN eine zusätzliche Sicherheit bekommen. Und natürlich immer nur starke Passworte verwenden, denn wirklich gefährlich sind die fehlerhaften Logins nicht, aber die geglückten Logins können das Ende deiner DS bedeuten :-)
 
Ja das habe ich gelesen dass auf die IP's nicht immer Verlass ist.. deshalb lasse ich es sein.... ich werde wahrscheinlich DSM deaktivieren, habe dort auch die normalen ports, müsste mal bei allen die ports ändern, also die standardports gegen einen frei erfundenen port nehmen,, weiss nur nicht ob ich das selber irgend eine zahl nehmen kann zb 8564 oder so...

ssh habe ich aktiviert, das soll besser sein, also sicherer oder? pw habe ich 6 buchstaben und 2 zahlen drin....

schau mal das Bild im Anhang,, habe ich soeben gemacht da siehst du wie offt von irgend wo diese schweinehunde auf meine syno wollen.. saubande das! =)

ich habe den ip blocker vor ein par wochen aktiviert, wusste gar nicht was das ist.. habe so eingestellt... . wenn 2 fehlversuche innert 1minute wird die ip für einige tage gesperrt...

Unbenannt.jpg
 

Anhänge

  • Unbenannt.jpg
    Unbenannt.jpg
    167,8 KB · Aufrufe: 102
mach Port 22(ssh) wieder zu und Ruhe ist.
 
danke laserdesign, habe ich jetzt geschlossen, wofür braucht man den eigentlich??? wie ich meine syno von extern brauche

- über den ddns.. direkt zugriff über den browser auf die DSM und die Filestation
- WebDV mit dem Programm NetDrive2 herrliche Sache!
- Quick ID.. Cloudstation auf 3 PC und auf meinem Android Handy
- MIt dem Handy über Quick ID Audio, Photo, Filstation, Cloud, und Video halt über https 7001

Das ist alles.

hier noch ein screen meiner ports die offen sind... wie gesagt ich habe nicht viel ahnung habe über wikidings die ports die gefährlich sind geschlossen,,,, auf der liste sind alle ports + ganz unten ist noch der 5006 offen, glaube der ist für den webdav

5006.JPG
 
bikerjuli schrieb:
Ja das habe ich gelesen dass auf die IP's nicht immer Verlass ist.. deshalb lasse ich es sein....
Zum Vergrößern anklicken....
wenn du der IP nicht traust wie willst du denn ganz Länder/Provider blocken??? ;-)
Ja IPs können gespoofed werden, ABER das ist bei TCP Verbindungen (und ssh ist TCP) nicht wirklich trivial. Das liegt am 3-Wege-Handshake von TCP. Der stellt (ziemlich) sicher dass die SRC IP auch wirklich die IP ist, welche die Verbindung aufgebaut. Erst nach dem Handshake kann der Client überhaupt mit der Applikation (z.B. ssh) reden d.h. erst nach dem Handshake kann es überhaupt zu einem fehlerhaften Login kommen, ergo kannst du recht sicher sein, dass du den richtigen blockst :-)
Bei UDP ist es hingegen sehr einfach die IP zu fälschen. Aber niemand der klar bei Verstand ist wird bei UDP basierten Protokollen an einem öffentlichen Port automatisch sperren lassen ;-) Sonst schick man einfach ein paar solche Pakete mit dem Absender deines Gateways beim Provider und schwupps kommst du nicht mehr ins Netz :-)
Lange Rede kurzer Sinn: Autoblock bei TCP basierten Protokollen macht durchaus Sinn. Gerade wenn du ssh offen haben willst ist es imho ein 'Muss' den Autoblock ziemlich restriktiv zu aktivieren. Allenfalls kannst du den SSH auch auf Zertifikatslogin umstellen, dann ist eine Bruteforce eigentlich ausgeschlossen
 
Danke Jahlives, für einen IT Typen klingt das was Du da geschrieben hast sicher schon poetisch... ich habe leider nicht viel verstanden aber das liegt an mir da ich in der Finanzbranche bin und kein IT Typ.. ein par Ausdrücke kannte ich, den Rest werde ich mal Googlen Du hast es aber sehr gut "bildlich" erklärt. danke!!!
 
Habe jetzt keine Zugriffe mehr.... ich habe jetzt den Port 22 (Verschlüsselter Terminal Service) deaktiviert, seit dem habe ich keine Zugriffe mehr...
 
Hallo zusammen,

ich habe ein ganz ähnliches Problem, permanent wird versucht per FTP auf meine DS1513+ (DSM 6) zuzugreifen. Meine Idee wäre jetzt gewesen auch von unterwegs über eine immer gleiche IP anzukommen und alle anderen IPs permanent über die Liste zu blocken. Kennt jemand von euch einen Dienst (idealerweise kostenfrei, muss aber nicht) über den sich eine beliebige Ursprungs-IP meines Providers "zurechtspoofen" lässt bzw. eine andere Möglichkeit an eine solche, immer gleiche IP zu gelangen? Leider hat mir die Suche im Board nur ähnliche Threads (wie diesen) gebracht.

Danke für jede Hilfe!
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten