Toggle sidebar

DSM 6.x und darunter Router Portforwarding + DSM Firewall?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.
N

northC

Benutzer
Registriert
25. Jan. 2012
Beiträge
25
Reaktionspunkte
0
Punkte
0
Hallo,

ich habe in meinem Router die Ports die ich für meine Diskstation Dienste benötige freigegeben. Jetzt stellt sich mir die Frage ob ich zusätzlich noch die DSM Firewall der Diskstation konfigurieren soll? Dabei mache ich ja eigentlich auch nichts anderes als Ports durchzuleiten. Ist das nicht dann doppelt gemoppelt oder gibts andere Vorteile warum ich die Firewall nutzen sollte?

Gruß
 
Hi !

Mit der Konfiguration der Portweiterleitungen in deinem Router hast du ja nichts anderes getan, als der Firewall zu sagen, was sie tun soll! Mag sein, das manche das anders sehen, aber die Firewall der DS brauchst du nur, wenn du sie direkt ins Internet hängst, ansonsten würd ich sie deaktiviert lassen! Außer du willst in deinem eigenen LAN noch Regeln aufstellen!

Tommes!
 
Die automatische IP Blockierung aktivieren würde ich in diesem Fall noch sinnvoll finden :)
 
imho solltest du die Firewall auf der DS auch aktivieren. Sonst hast du einen SinglePointOfFailure an der Routerfirewall. wenn also die mal abkackt und einfach alles durchleitet steht deine DS ohne Hosen da :-)
 
Z.B. wird die Brute-Force-Methode damit erheblich erschwert... Zitat Wiki: "stärkt den Schutz der DiskStation vor unberechtigtem Zugriff". Ich habe 1 Versuch in 50'000 Minuten eingestellt. Ich vertippe mich _nie_ im Passwort :D
 
jahlives schrieb:
imho solltest du die Firewall auf der DS auch aktivieren. Sonst hast du einen SinglePointOfFailure an der Routerfirewall. wenn also die mal abkackt und einfach alles durchleitet steht deine DS ohne Hosen da :-)
Zum Vergrößern anklicken....

Ich glaub, ich hab da noch ein wenig Erklärungsbedarf und brauch wohl noch den Schupps in die richtige Richtung.

Ist die DS denn, nur mit aktivierter "automatischer Blockierung" und einem starken Passwort vorrausgesetzt, so angreifbar, das ich noch die Firewall der DS (in meinem eigenen LAN) aktivieren sollte, wenn sie an einer Routerfirewall hängt? Wie wahrscheinlich ist es, das jemand die Routerfirewall überlistet oder das diese mal ausfällt?

Nehmen wir an, die Routerfirewall fällt, dann muß derjenige doch erstmal die Zugangsdaten der DS aushebeln, richtig? Oder kann ich über irgendeinen Port einfach so durch die DS spazieren? Wenn ja, dann würde ich mir echt Gedanken machen, meine DS zu verticken!

Ich sage ja nicht, das du unrecht hast, aber ich denke, das dieser Schutz etwas übertrieben ist. Das ist natürlich etwas anderes, wenn die DS direkt mit dem Internet verbunden ist und nicht durch eine Routerfirewall geschützt wird.

Tommes!
 
völlig klar ein starkes PW ist das Wichtigste, Autoblock ist sicher auch eine gute Idee.
Bei Routern ist imho die Sache, dass sie die Protokolle der Anwendungen nicht verstehen können. Sie leiten also stur einfach Ports weiter. Dafür gibt es zwar Application Firewalls, aber auch die bekommen ein Problem wenn end-to-end verschlüsselter Traffic durch sie hindurchgeht. So können auch teuere Geräte z.B. nicht in eine OVPN-Verbindung hineinsehen und müssen es einfach durchleiten. Für einen Router ist das einfach OVPN-Taffic, eine lokale Firewall auf dem OVPN-Server kann jedoch auch sehen was darin verpackt ist z.B. http oder smb.
Für mich braucht es immer beides: Firewalls an Netzwerkgrenzen (Router), aber auch lokale Firewalls.
 
jahlives schrieb:
...Für einen Router ist das einfach OVPN-Taffic, eine lokale Firewall auf dem OVPN-Server kann jedoch auch sehen was darin verpackt ist z.B. http oder smb.
Zum Vergrößern anklicken....

Oh, das wusste ich garnicht. Das wirft gleich ein anderes Licht auf das Ganze. Hätte eigentlich gedacht das die Server-Firewall auch nur durchlässt und nichts weiteres kontrolliert! Von diesem Standpunkt aus betrachtet macht das für mich schon wesentlich mehr Sinn, wenngleich ich wohl auch weiterhin mit deaktivierter DS-Firewall auskommen werde. Jedem das Seine.

Danke jedenfalls für deine Erklärung, Jahlives!

Ich seh schon, ich muss mich mal in Zukunft in diese Dinge tiefer einlesen.

Tommes
 
von sich aus kontrolliert auch die lokale Firewall nichts ;-) Aber mit einem Regelsatz in der FW kannst du recht detailliert steuern was erlaubt ist und was nicht. Heute werden immer mehr end-to-end verschlüsselte Verbindungen eingesetzt und bei denen hat ein Router nichts zu sehen, auch der teuerste Gateway den es für Geld zu kaufen gibt ned ;-) Nur wenn eine lokale Firewall auf dem System läuft, welches die verschlüsselte Verbindung terminiert, kannst du solche Datenströme kontrollieren.
Ein weiterer Vorteil einer lokalen Firewall wäre noch, dass diese kontrollieren kann welcher Prozess ein ausgehendes Datenpaket generiert hat. So kannst du z.B. wenn du einen Mailserver hast nur dem Mailserveruser erlauben auf Port 25 ausgehend zu verbinden.

gruss

tobi
 
jahlives schrieb:
Nur wenn eine lokale Firewall auf dem System läuft, welches die verschlüsselte Verbindung terminiert, kannst du solche Datenströme kontrollieren.
Zum Vergrößern anklicken....

Das merkt man aber relativ schnell bei SSL Errors, bzw OpenVPN lässt eine Verbindung soweit ich weiss nicht mehr zu.

@tobi: Sovil zum Thema offline ;)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten