Verstehe ich das jetzt so, dass du auf der DS eine Firewall konfiguriert hast, die normalerweise nur die Fritzbox auf den Port 22 durchlässt?
Ja und nein.
Unter Systemsteuerung auf der DS gibt es im Bereich der Netzwerkdienste "Firewall und QoS". Hier stehen verschiedene Einträge drinnen, die vermutlich durch "EZ Internet" angelegt wurden, als ich meinen DynDNS-Dienst hier habe automatisch einrichten lassen. Dabei wurde mir von EZ Internet eine Liste an Firewalports aufgezeigt, die ich aktivieren/deaktivieren konnte und die dann per UPnP auf meine Fritzbox übertragen wurden.
Auf der Fritzbox sind diese auch alle aufgeführt. Darunter ist auch der Port 22, der nach der Grundeinrichtung auch mit Putty/WinSCP funktioniert (auch von extern per DynDNS).
Durch die im Log auftauchenden Verbindungsversuche "Anderer", habe ich heute versucht meinen Port 22 im Router zu verbiegen. Dazu habe ich den UPnP-Eintrag im Router entfernt und manuell eine Portfreigabe eingerichtet. Hier zuerst den von mir gewählten als Umleitung auf den intern 22'er Port der DS. In der DS unter "Firewall und QoS" ist der Port 22 für "Alle" Quell-IPs geöffnet, was eigentlich auch Sinn macht, wenn man später von außerhalb des eigenen Netzwerkes z.B. per Putty zugreifen möchte.
Da aber meine Umleitung nicht funktioniert ich weiterhin "Einloggversuche" registrierte, habe ich nun anstatt "Alle" nur die feste lokale IP von meinem Laptop angegeben (nicht die von der Fritzbox). Somit verschwinden die externen "Versuche" und ich kann mich normal, aber nur lokal, auf Port 22 einloggen und auch nur vom Laptop; vom Festrechner geht es dann nicht. Die Umleitung funktioniert aber weiterhin nicht.
Wenn ich auf der DS in den Firewalleinstellungen alle Einträge entferne, komme ich von extern nicht mehr auf die Diskstation (Oberfläche, Video Station etc.), da dann standardmäßig alle nicht eingetragenen Ports "verweigert" werden. Wenn ich "zulassen" auswählen würde, wäre dies sicherlich nicht so sicher, oder?
NACHTRAG:
Gelöst! Es funktioniert!
Vielleicht hatte ich in der Bedienung von Putty/WinSCP doch einen Denkfehler!? ;-)
Habe jetzt folgendes gemacht:
1) habe die verschiedenen Port-Freigaben in der Firewall der Diskstation wieder aktiviert, da ich sonst weder lokal noch von extern auf irgendwelche Dienste zugreifen konnte
2) habe für den Port 22 wieder "Alle" Quell-IPs zugelassen.
3) Habe in der Fritzbox den UPnP-Eintrag zu Port 22 gelöscht und eine manuelle Umleitung von extern Port 7652 auf intern Port 22 der DS erstellt.
4) Habe weiterhin den von extern kommenden Port 22 auf Port 65535 umgeleitet, da dieser explizit gesperrt ist.
5) Habe mich lokal mit der lokalen IP der Diskstation und Port 22 per Putty eingeloggt; erfolgreich!
6) Habe mich in einem zweiten Versuch mit der DynDNS-Adresse und Port 7652 ebenfalls erfolgreich mit Putty eingeloggt.
7) Habe die Gegenports auch probiert (22 extern, 7652 intern) und wurde blockiert!
...und die "Angriffe" tauchen auch nicht mehr im Logfile auf!
Mein Denkfehler war also doch intern <-> extern zu versuchen mit Putty zu verbinden! ;-)
Ok. Wenn ich jetzt den Heise-PortScan laufen lasse (egal ob Router, Backdoor, Unix oder Windows) tauchen nur noch Port 80 und 443 auf, was in Ordnung ist. Alle anderen Ports die vorab rot waren (FTP, SSH, NFS) habe ich entsprechend umgelenkt oder deaktiviert (NFS). Jetzt ist nur noch de Standard-UPnp-Port 5000 offen, für die Oberfläche. Den werde ich demnächst auch noch variieren um "erst einmal" einen fiktiven Grundschutz zu haben. Klar, ein Gewillter mit Portscanner, Sniffer und viel Geduld hat vielleicht irgendwann erfolg, aber meine Passwörter sind alle mindestens 12 Zeichens lang und enthalten alle Komponenten, so dass eine BruteForce-Attack wohl länger dauern wird und die Log-Sperre ist ja auch noch da.
Danke für die Denkanstöße und schnelle Hilfe!
