Toggle sidebar

Synology Firewall Geo Blocker Geolocation aktivieren?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

synuser12

Benutzer
Registriert
08. Apr. 2015
Beiträge
80
Reaktionspunkte
2
Punkte
8
Hallo,

ist es eine gute Idee die Synology Firewall zu aktivieren?
Um dann den Geolocation Geoblocker in der Synology Firewall zu aktivieren?
Es geht mir nur darum, möglichst viele Tür zuzumachen.

Es soll WebDAV von aussen ohne VPN genutzt werden. (windows notebook)

Die Synology steht hinter einer Fritzbox.
Sonstige Synology Routerfunktionen werden nicht benötigt/sind nicht aktiviert.

In der Fritzbox werden dann diese Ports zur Synology weitergeleitet: (wobei http Port ggf. entfält)

Es wird ein Letz-Encrypt Zertifikat von Synology verwendet.

5000TCP
5001TCP
5005TCP
5006TCP
5015TCP
80TCP
 
Warum leitest du den Port 5000/5001 weiter, wenn du nur WebDAV nutzen willst?
Mach die Ports zu!
Ansonsten ja, ich würde Geoblocking nutzen. Zudem noch ein IP-Blockscript einsetzen:
 
  • Like
Reaktionen: QuickMik
WebDav gehört zu den wellknown Ports die in jeder Scanliste stehen.
Von daher würde ich vorzugsweise nur einen Reverseproxy nutzen oder zumindest den Port für WebDav (HTTPS) in einen hohen 5-stelligen Bereich verlegen.
Unverschlüsselte Ports nach Aussen zu öffnen ist grob fahrlässig!
 
wie sollen die iPhone unterwegs via webdav zugreifen?

Vorschlag: via DS File nur über Port 5001 (https) bzw. einen 5 Stelligen Port oder?
Ich kenne keine Webdav Funktion für Android oder iPhone.
 
Zum Beispiel in der App "Dateien" (vom iOS vorinstalliert) den Server anlegen mit https://webdav.example.com:5006 als Serveradresse samt deinen Credentials und schon kannst du via WebDAV darauf zugreifen.

(5006 - hier die Standardport, bitte sie nach außen hin ändern, da WebDAV ein gern gesehenes Attack-Ziel ist).
 
Meine Firewall sieht so aus, ziemlich einfach aber effektiv.
Ich komme im lokalen Netzwerk an alles dran,
Österreich und Deutschland auch,
Der Rest der Welt ist tot, sprich über 95% sind weg.

Ich habe 0-5 Admin-Loginversuche pro Monat von extern seit dieser Einstellung.

1713859145151.png
 
  • Like
Reaktionen: Kachelkaiser
Bitte auch daran denken, dass fast alle Lets Encrypt Server in den USA stehen. Wer also irgendwelche LE-Zertifikate darüber anlegen/verlängern will, muss da noch etwas mehr zulassen. Bei LE gibt es eine Liste der Server.
 
  • Like
Reaktionen: Benie
guter Einwand, werde ich beobachten, aktuell sind meine Zertifikate noch alle gültig

1713860245821.png
 
Zertifikate für quickconnect.to und synology.me brauchen keine geöffneten Ports, da läuft die Verlängerung anders als bei LE direkt.
 
  • Like
Reaktionen: Benie
synuser12 schrieb:
via DS File nur über Port 5001 (https) bzw. einen 5 Stelligen Port oder?
Zum Vergrößern anklicken....
Eben nicht. Kann man machen, aber das ist dann kein WebDAV. Du musst erstmal klar definieren, was du willst. Wenn du DS File und nicht WebDAV nutzen willst, kannst du der FileStation im Anmeldeportal einen separaten Port verpassen im hohen fünfstelligen Bereich. Den gibst du dann frei. Somit kommt man von extern "nur" auf die FileStation und nicht auf das Admin-Interface des DSM. Selbiges könntest du mit WebDAV tun (der WebDAV Server hat bereits per default nen anderen Port; den könnte man aber auch verlegen). Gehen tut beides. Und nichts erfordert das Exposen des DSM-Ports ins Netz
 
Die sauberste Lösung für WebDav ist die Nutzung des ReverseProxy via Port 443!

@Laola1 : Es macht keinen Sinn alle Ports für D und A offen zu lassen! Man öffnet nur was man braucht und stellt keinen Freibrief für alles aus! Diese Regel ist nichts halbes und nichts ganzes und somit keinen Tipp zur Nachahmung wert!
 
NSFH schrieb:
Die sauberste Lösung für WebDav ist die Nutzung des ReverseProxy via Port 443!

@Laola1 : Es macht keinen Sinn alle Ports für D und A offen zu lassen! Man öffnet nur was man braucht und stellt keinen Freibrief für alles aus! Diese Regel ist nichts halbes und nichts ganzes und somit keinen Tipp zur Nachahmung wert!
Zum Vergrößern anklicken....
Du hast natürlich recht, es ist eher die Holzhammer Methode.
Aber ich entledige mich hiermit bereits 95% der möglichen Angreifer überhaupt,
es ist immer noch besser als die Firewall gänzlich deaktiviert zu lassen, was ja leider default ist.
 
Laola1 schrieb:
besser als die Firewall gänzlich deaktiviert zu lassen, was ja leider default ist.
Zum Vergrößern anklicken....
Default - also im Werkzustand - ist die DS von außen gar nicht zu erreichen, was also noch besser ist. :)

Du entledigst dich 95% der möglichen Angreifer, indem du etliche Ports offen lassen hast? :D
 
w00dcu11er schrieb:
Default - also im Werkzustand - ist die DS von außen gar nicht zu erreichen, was also noch besser ist. :)

Du entledigst dich 95% der möglichen Angreifer, indem du etliche Ports offen lassen hast? :D
Zum Vergrößern anklicken....
Nanu, warum so persönlich?

Die DS hängt doch nicht offen an einem Modem, oder steht auf DMZ.
Sie befindet sich hinter einem Router ohne automatischen Freigaben, mit wenigen geöffneten Ports.
 
?????
Laut deiner Firewall hängt deine DS hinter einem Router und hat alle Ports für D und A offen!
Sicherheit = Null, du hast nur Auslandszugriffe weitestgehend blockiert, keine Ports, keine IPs, Null!
 
ich denke Laola1 meinte da er in seinem Router keinen Exposed Host auf die Synology eingerichtet hat .
Und dort nur die wichtigen Ports weitergeleitet hat .
 
  • Like
Reaktionen: Laola1
Benares schrieb:
Bitte auch daran denken, dass fast alle Lets Encrypt Server in den USA stehen. Wer also irgendwelche LE-Zertifikate darüber anlegen/verlängern will, muss da noch etwas mehr zulassen. Bei LE gibt es eine Liste der Server.
Zum Vergrößern anklicken....

@Benares
Weil ich gerade wieder über diesem Thema bin - und auch in der Vergangenheit schon war mal: Wo gibt es von LE eine offizielle Liste der Server zu finden?

Laut deren FAQ wird LE keine IP Liste zur Zertifikatserneuerung veröffentlichen - und die Validierung wird wohl von verschiedenen Servern durchgeführt.
What IP addresses does Let’s Encrypt use to validate my web server?
We don’t publish a list of IP addresses we use to validate, and these IP addresses may change at any time. Note that we now validate from multiple IP addresses.
Zum Vergrößern anklicken....

In einem anderen Beitrag vom Juli 2024 im LE Forum habe ich gelesen, dass aktuell IP Adressen aus USA, Singapur und Schweden verwendet werden. Will das nun mal ausprobieren und habe Port 80 und 443 für DE/SE/US/SG freigegeben... mal sehen, was bei der nächsten Erneuerung passiert.
 
Hallo @Benares - wollt dich nochmal bitte ne kurze Info zu geben, von welcher Liste du sprichst. Danke!
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten