Reverse Proxy und Firewall

[Mahoessen]

Hallo,
falls es das falsche Forum ist, bitte verschieben.
ich habe eine DS218+, fest IPV4, auf der Maschine läuft ein Web-Server, Mailplusserver, Video- Audiostation, Moments, Calender, Carddav und diverse andere Pakete.

Bis vor ein paar Tagen habe ich im Router (FB7590) Portweiterleitungen eingerichet für Mailserver, Carddav, Caldav, DSM Zugriff. Die weitergeleiteten Ports sind in der Firewall konfiguriert und mit Geo-Blocking belegt.. z.B. Ports für mailserver von überall außer China / Russland / Afrika..., card/caldav nur aus D/NL ... ereichbar. Funktioniert auch alles, Zugriffe aus von Ios, Win7 etc. aus den gewünschten Ländern.

Am Wochenende hatte ich langeweile und habe den reverse proxy konfiguriert. Für die Domain eine Wildcard-Sub angelegt, und im Proxy den Sub-Domains die interne Weiterleitungsports angegeben. Danach die Portweiterleitung bis auf 443 und die Ports für den Mailplusserver im Router gelöscht.
Sind damit die Geo-IP sperren, die auf Anwendungsbasis laufen hinfällig ?? Es kommt doch alles über 443 rein ??
Eine Sperre z.B. von Anwendung carddav mit Port 8443 für den Kongo kommt doch gar nicht mehr in der Firewall an, oder stehe ich hier irgendwo auf der Leitung ??
reicht es in der Syno-Firewall bestimme Länder / alle Ports zu sperren und den Mailserver und mehr nicht zu konfigurieren ??

ich möchte das nicht umbedingt live testen...

danke vorab, viele Grüße

 

[yavaz]

Genau das gleiche Problem habe ich auch.. Hast du eine Lösung gefunden?

 

[JudgeDredd]

Genau das gleiche Problem habe ich auch.. Hast du eine Lösung gefunden?

Was für ein Problem soll das denn sein ?

Wenn nur Traffic auf 443 ankommt, dann sind Firewall Regeln auf anderen Ports sowieso sinnfrei.

 

[yavaz]

Hoi JudgeDredd

Danke für seine Antwort..
Gibt es den über einen reverse Proxy keine Möglichkeit einen 'internen' Port mittels GeoIP zu sichern?
Das der ganze Traffic über den Port 443 läuft ist mir klar.
Vor der GeoIP Sperre hatte ich wöchentlich Anmeldeversuche auf der DS sowie dem Home Assistanten... dies möchte ich eigentlich gerne wieder so haben.

Gruss und Danke
Stefan

 

[JudgeDredd]

Dann muss der GeoIP Blocker Port 443 überwachen
Für die einzelnen Services sieht es ja so aus, das die Anfrage von der IP des Reverse Proxy kommt

 

[Mahoessen]

@JudgeDredd,

danke, ich hatte einen Denkfehler...

viele Grüße
Mahoessen

 

[Mahoessen]

Hi,
dass jetzt alles über 443 reinkommt und die Syno-FW nicht mehr nach Ports agieren kann ist verstanden. Wie kann ich aber meine bis dahin vorhandene FW-Config abbilden ?.
bis zur Umstellung auf reverse Proxy hatte ich es so konfiguriert: Mailserver aus allen Ländern, Webseiten nur aus Eurozone und Anwendungen (Kalender, Audio Video) nur aus den Urlaubsländern. so hatte ich es bis jetzt:



jetzt die Ländersperren (alle Ports bzw 443 (mehr kommt ja nicht durch den Router durch))/ RU&CN/.. nach oben und den Rest weg ??

danke für einen Hinweis bzw. Schubs in die richtige Denkrichtung..

viele Grüße

Mahoessen

 

[NSFH]

In Firewallregeln wird per Standard nur erlaubt.
Der letzte Eintrag blockiert den Rest.

Mit einem File Server ReverseProxy zu realisieren ist sicherheitstechnisch mehr als fragwürdig. Klar kann das die Syno aber das heisst nicht, dass sie wirklich alles machen soll. Sie bietet halt Funktionben für verschiedenste Anwendungsbereiche.
Ich würde dafür immer einen Rasp einsetzen aber niemals im Leben den Fileserver den man schützen will.
Dieses Konstrukt nutzen hier schon so viele aber denken nicht weiter drüber nach.