ipv6 ports intern blockiert, ipv4 freigegeben

[LittleOtter]

Hallo zusammen,

Ich dreh schön langsam durch. Ich verstehe einfach nicht, was meine DS mit der Firewall und den Ports macht.
Ein Portscan im internen Netzwerk mit ipv4 Adresse liefert alle möglichen offenen ports (inklusiv gewollter ports 25, 587, 993), inklusive Ports die laut Firewall der DS eigentlich gar nicht explizit freigegeben sind(port 21 z.B.)
Ein Portscan im internen Netzwerk mit ipv6 Adresse liefert alle möglichen offenen ports (allerdings ohne gewollte ports 25, 587, 993), inklusive Ports die laut Firewall der DS eigentlich gar nicht explizit freigegeben sind(port 21 z.B.)

Und ich versteh es nicht. Kann mir vielleicht jemand einen Hinweis geben wie ich das Problem analysieren kann. Die DS ist übrigens eine DS220+

 

[the other]

Moinsen,

Ich dreh schön langsam durch.

Na, besser als schnell, wenn es schön langsam ist wird mir immer nicht sofort schlecht.

Poste doch mal einen screenshot deiner Regeln. Das hilft uns hier ungemein.
Port 21 ist AFAIK Telnet...

Generell hier noch eine (weitere) kurze Einführung in das Thema:
https://www.heimnetz.de/anleitungen/nas-netzwerkspeicher/synology/synology-firewall-einrichten/

 

[LittleOtter]

Zumindest hab ich es jetzt so, dass z.B. Port 21 und 22 blockiert ist, aber 25 ist z.B. auch immer noch blockiert.
Bei den Anwendungen ist zusätzlich auch noch der MailPlusServer ausgewählt

 

[LittleOtter]

Aaah.... Danke fürs antworten

 

[the other]

Moinsen,
bitte nicht falsch verstehen, aber deine Regeln sind IMHO etwas wirr.
Es ist IMHO keine gute Idee Telnet UND ssh komplett zu verbieten, denn das brauchst du manchmal doch sehr (sehr sehr).
Es ist IMHO die ein oder andere Regel eher überflüssig, denn du erlaubst mit deinen Regeln quasi ALLES für fast ALLE...
Soll das so??

 

[LittleOtter]

Das sind eigentlich die Tests, 21 und 22 muss ich ja nur eins nach unten schieben und ich hab wieder Zugriff aufs dem lokalen Netz.
Die Regeln machen noch nicht wirklich Sinn weil nichts verboten ist, da hast du Recht. Aber mein Hauptproblem ist ja eigentlich, das bestimmte Ports bei ipv6 geblockt sind und bei ipv4 nicht. Ich brauch sie aber bei v6 auch offen.

 

[the other]

Moinsen,
mal doof gefragt (sorry): IPv6 auf dem NIC ist aktiv? Dein NAS läuft im DS?

 

[LittleOtter]

Ipv6 ist aktiv,ich komme auch auf den auf der DS gehosteten Webserver über ipv6 Adresse. So sehen die Ports aus für v6

 

[LittleOtter]

Wenn ich die Firewall komplett deaktiviere werden die Ports trotzdem blockiert. Aber von was?

 

[c0smo]

Nicht böse sein aber deine Regeln sind Mist und falsch konfiguriert.

Schau mal hier.
https://www.synology-forum.de/threads/synology-firewallregeln.72606/page-2#post-795533

Und bitte konfiguriere eine explizite Schnittstelle und nicht "Alle"! So benötigst du keine "verweigern" Regel.

 

[LittleOtter]

Ich hab die Firewall auch schon komplett ausgeschalten und immer noch sind manche Ports bei ipv6 blockiert die mit ipv4 frei sind. Es liegt also nicht an den Firewall Regeln.

 

[c0smo]

Was sind das für Ports?

 

[LittleOtter]

So sieht es bei ipv4 aus


und so bei ipv6

 

[c0smo]

Welchen Scanner verwendest du und hast du mal nen anderen versucht?
Du nimmst auch sicher die richtige ipv6 Adresse? Wo steht die denn?

 

[LittleOtter]

Ja, ich hab schon andere Scanner versucht. Die ipv6 Adresse hab ich aus der Fritzbox und aus der DS (an der DS dynamisch über DHCP und fest vergeben versucht). DIe, auf der DS, gehostete Website wird mit der Adresse richtig angezeigt, kann also nicht an der Adresse selber liegen

 

[c0smo]

Bei bestimmten Diensten werden Verschlüsselungen benötigt, sobald ipv6 verwendet wird. So zb bei Port 21. Erst wenn tls/ssl für ftp aktiviert ist, wird der Port aufgemacht.
Vielleicht ist das bei deinen Diensten auch der Fall.
Es gibt auch Unterschiede bei der Leistungsfähigkeit der Scanner in Bezug auf TCP und UDP. UDP ist bekanntlich Verbindungslos und es erfordert andere Scantechniken.

 

[LittleOtter]

Ich hab gerade noch was gefunden und tatsächlich trifft das die meisten meiner Problem-Ports. MailPlus Server unterstützt anscheinend kein ipv6 und deswegen sind die ports (auch manche die ich bisher nicht mit Mail in Verbindung gebracht hätte) auch zu. Ich hab ständig an der falschen Stelle gesucht. Tut mir leid, dass ich das nicht früher gesehen habe und ich euch hier Kopfzerbrechen bereitet habe, damit hätte ich einfach nicht gerechnet.
Trotzdem danke für eure Unterstützung

 

[c0smo]

Na zumindest bist du auf die richtige Fährte gestoßen worden!

Hier noch ein wichtiger Hinweis zu ipv6.
https://www.infopoint-security.de/angriffspotential-ueber-ipv6-wird-oft-uebersehen/a15413/

 

[LittleOtter]

Security hab ich im Blick