SMB Service vom 08.04.22 (für DSM 7.1) WS-Discovery... Portfreigabe?

[Sequoia]

Hallo Zusammen,

gerade wurde mir ein Update des SMB Service (4.10.18-0433) gemeldet.

Dieses habe ich ausgeführt, und danach ploppte die Firewall auf, dass sie Ports freigeben möchte:


Dazu die Frage:

Wozu?
Was ist das genau?
Braucht man das, oder kann das wech?

 

[tproko]

Wenn du die Services nutzt dann ja.

Aber generell mach dir mal Gedanken darüber, ob du die Firewall dort benötigst. Ist die Syno via Internet / Portforwards erreichbar? Dann ja zu Firewall.

Ansonsten sollte die Firewall eher dort laufen, wo dein vpn zB. auch läuft.

Für eine Syno die nur im LAN verwendet wird, sehe ich nicht unbedingt die Notwendigkeit für die FW.

 

[Sequoia]

Um die Firewall geht es eigentl. nicht. Die ist aktiv, konfiguriert, da die Syno via Internet erreichbar sein muss, und das unkompliziert ohne VPN und ständig.
Das ist nicht das Thema.

Ich fragte mich nur, wozu die Dienste sein sollten. Vermutlich kenne ich sie nicht, da ich keine Berührungspunkte mit Windows habe.
Zumindest habe ich es nicht erlaubt und stelle keine Einschränkungen (auch alle User, die meine Syno nutzen) fest.

 

[Fusion]

Das kommt jedes Mal bei Update oder Installation von Paketen die auf Ports lauschen, wenn man z.B. Regeln für lan1 definiert hat aber nicht unter 'alle schnittstellen', dann sieht die Automatik das als fehlende an.
Einfach abbrechen / ignorieren war also die richtige Wahl, wenn es schon passend eingerichtet ist.

Also entweder nutzt du, und hast schon passend konfiguriert, Samba/SMB Netzwerkfreigaben, dann fragt er wegen oben genanntem Punkt, oder du nutz dies nicht und er fragt nach, weil der Dienst aktiv ist (Systemsteuerung > Dateidienste), aber keine Regeln dazu existieren.

Einträge für die prinzipielle Erreichbarkeit der Netzwerkfreigaben und deren automatische Auffindbarkeit im Netz.
Kann man anhand der angegebenen Namen auch in wenigen Minuten im Internet finden, wenn es einen interessiert.

 

[Sequoia]

Natürlich greife ich über SMB / Samba via Finder auf die Synology zu.
Dennoch sind mir (wie gesagt, ich habe seit 15 Jahren keinen Windows Computer mehr angesehen) die Begriffe nicht bekannt gewesen. Und Einschränkungen habe ich keine gehabt.

FW ist sehr selektioniert eingerichtet. Nur Ports, und nur die, die ich brauche.

 

[Fusion]

Dann sind die CIFS Ports wohl offen, sonst würde es ja nicht gehen.

Die WS Discovery Dienste, dass u.a. die NAS in der Netzwerkumgebung z.b. im Windows Explorer angezeigt wird... Hab ich persönlich auch nicht nie gebraucht.

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_service_discovery?version=6

 

[Sequoia]

Nein, die sind bei mir nicht offen.

Es sind alle Ports geschlossen, außer:

DSM https
Drive
Videostation
Hyperbackup Vault

Diese sind erlaubt, und als weitere Einstellung "alle" nicht erlaubt.
Das habe ich schon seit je her so.

CIFS sind doch reine Windows Sachen, wenn ich das recht sehe.


Kann es sein, dass wir da aneinander vorbei reden? Du kennst macOS nicht, bzw. was es da braucht, und ich Windows nicht

 

[Fusion]

Mmh. Dann würde ich auf eine Fehlkonfiguration der Firewall tippen.
Weil smb/cifs Netzwerkfreigaben funktionieren nicht, wenn Ports nicht erreichbar sind.
Gilt ebenso für AFP oder NFS.

 

[Sequoia]

Warum sollten die nicht funktionieren? SMB braucht lokal doch keine Portfreigabe, oder liege ich da falsch?

Fehlkonfiguration ist ja nicht so einfach, wenn man 10 Ports auf erlauben hat, und alle anderen auf verboten?

Das Gleiche, wenn ich teste:

Firewall den Haken raus bei "erlaubte Ports". Dann ist mein DSM nicht mehr über das Netz erreichbar.
Intern über die IP Adresse im Browser dennoch.
SMB Verbindungen gehen auch weiterhin.

Ah, ich glaube, ich weiß warum.
Ich habe meinen privaten IP Bereich als erlaubt markiert. Dort sind alle Ports natürlich dann offen.
Aber daher brauche ich auch die Öffnung, die da vorgeschlagen wurde, nicht:

 

[Fusion]

Doch, alle Dienste brauchen Ports damit sie funktionieren. Unabhängig davon ob sie nur im LAN oder aus anderen Netzen heraus erreichbar sein sollen.

Und ich habe Linux, Mac und Windows Kisten im Familien und Bekanntenkreis.
Alle 'kochen nur mit Wasser'. Kein System kann 'zaubern' und alle sind an die gleichen technischen Grundlagen gebunden.

Was lokale Dienste nicht brauchen ist eine Portfreigabe (ipv6) oder Portweiterleitung (ipv4, NAT) im Router.
Jeder ISP der was taugt filtert sowieso den Verkehr von CIFS/AFP/NFS, weil das nichts im öffentlichen Internet verloren hat.

Eine IP Adresse funktioniert nicht ohne Ports, auch wenn diese in vielen Fällen nicht angezeigt werden.
Im Browser ein 'nas-ip' eingegeben ist eigentlich ein 'nas-ip:80'.
Genauso bei Eingaben im Windows Explorer oder im Finder oder in Nautilus oder anderen Dateimanagern beim Aufruf von Netzwerkfreigaben ala \\nas-ip oder smb://nas-ip oder welches schema auch immer benötigt wird.
Im Hintergrund wird immer eine Verbindung zu einem ip:<port> aufgebaut.
Bei SMB/CIFS müsste ich jetzt allerdings auch erst nachsehen für welche Funktionalität die einzelnen (445,139,...) zuständig sind.

CIFS/SMB ist erst mal ein Netzwerk Protokoll und keine 'windows Sache'. Lässt sich auf allen Betriebssystemen benutzen.

Wenn du sagst, dass du dieses Netzwerk Protokoll über den Finder benutzt müssen auch Ports offen sein.

Ich gehe davon aus, dass du die Ports, wenn auch unbewusst offen hast.

Klären ließe sich das nur wenn man alle Regeln der Firewall von allen Schnittstellen deiner DS vor sich hat.

 

[Sequoia]

Ich gehe davon aus, dass du die Ports, wenn auch unbewusst offen hast.

Ich habe ja oben den Screenshot meiner FW Einstellung gepostet. Mehr habe ich nicht.

Was bräuchtest Du mehr, um das klassifizieren zu können?

 

[tproko]

Mehr habe ich nicht.

Du gibst im internen Netz sowieso alles frei (hast du dann eh selber geschrieben). Darum geht da dann alles - ja klar.

Somit als Antwort auf deine ursprüngliche Frage. Das kommt immer wieder wenn Synology FW aktiv ist und die Regel nicht da ist. Daher in Zukunft immer wegdrücken, da du intern eh alles kannst und extern nicht benötigst.

Hab das beim Router such hin und wieder und die Regeln drücke ich immer weg. Da meine eingestellten Regeln ausreichend sind.

 

[plang.pl]

Das Nachfragen der Firewall lässt sich auch komplett deaktivieren.
In #3 schreibst du aber, dass die DS via Internet ohne VPN erreichbar sein soll. Läuft das dann via QuickConnect?

 

[Fusion]

Das Bild war (oder ich habe es tatsächlich übersehen, dann entschuldige ich mich) als ich angefangen habe die Antwort zu schreiben noch nicht da (und man wird nur auf neue Antworten, aber nicht auf Bearbeitungen hingewiesen während man schreibt)

Die Aussage "es sind alle Ports geschlossen außer..." und das Bild mit "alle, alle, lokal, erlaubt" widersprechen sich halt (weil ich dies auf alle Schnittstellen der DS beziehe und nicht nur auf externe Netze, wie du es vermutlich gemeint hast).

Dann wäre das ja geklärt... und der Apfel fällt immer noch vom Baum auf den Boden ...

 

[Sequoia]

In #3 schreibst du aber, dass die DS via Internet ohne VPN erreichbar sein soll. Läuft das dann via QuickConnect?

Nein, via DynDNS.

 

[plang.pl]

In deinem Screenshot (#9) hast du aber nur die internen IPs freigegeben. Hast du auf den anderen Schnittstellen dann noch separate Regeln?

 

[Sequoia]

Für Schnittstellen nicht. Ich habe die Ports freigegeben.
Den Haken hatte ich ja nur raus gemacht, um SMB zu testen.
Sonst ist der bei den Ports aktiv.

Firewall den Haken raus bei "erlaubte Ports". Dann ist mein DSM nicht mehr über das Netz erreichbar.
Intern über die IP Adresse im Browser dennoch.
SMB Verbindungen gehen auch weiterhin.

 

[plang.pl]

Achso ja, dann macht das mehr Sinn