Synology -Firewallregeln

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Zum Verständnis:
Bildschirmfoto 2018-10-19 um 21.39.13.jpg
Wenn die hier markierte, 4te Regel (alle IP's sperren) abgearbeitet wird, was passiert dann?
Theoretisch laufen die freigegebenen ersten 3 durch. Bei der 4ten tut sich dan gar nix mehr?
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Wenn man unter "Alle Schnittstellen" die Firewallregeln erstellt, wird die Option "Wenn keine Regel zutrifft" nicht angezeigt (nur bei LAN, VPN & PPPoE). Ob die Option trotzdem greift, kann ich nicht sagen.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
NFSH hat es doch schon im Beitrag #20 perfekt und korrekt erklärt. Mach dir das Leben also nicht unnötig schwer. Alles was du erlauben willst, gibst du in der Firewall an, alles andere wird verworfen. Als Beispiel mal ein Screenshot, wie ich das aktuell konfiguriert habe, wobei ich momentan nur FileStation und WebDAV benötige, sonst nichts.

2018-10-20 Screenshot_01.png

That's all

Tommes
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Ich bin bestimmt kein Sicherheitsjunkie, aber ist es nicht sinvoller auch im LAN nicht alles offen zu haben? Oder hast du kein WLAN?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Sicherlich verfüge ich über eine ausgeprägte Paranoia und bin von Hause aus ein vorsichtiger Mensch. In diesem Falle ist es jedoch so, das hier eine DS115 als reiner Fileserver werkelt, auf dem sich Daten befinden, die sowas von unwichtig sind, das ich diese auch auf eine Postkarte kleben würde. Hinzu kommt, das die DS115 aktuell garnicht ins Internet zeigt, da ich das nur sporadisch benötige. Auch hier schlägt meine eigene Paranoia wieder zu... nichts offen lassen, was man nicht wirklich benötigt.

Aber du hast vollkommen recht. Um das Ganze abzurunden müsste ich die Zugriffe auch auf bestimmte, lokale IP's begenzen, aber ich wollte die Kirche mal im Dorf lassen. Außerdem... mal abgesehen von den ganzen Würmern, Trojanern und sonstigem Ungeziefer auf meinem Rechner & Laptop gibt es aktuell niemanden, der mein LAN wirklich in Gefahr bringen könnte. Naja... okay... da wäre noch mein 12 jähriger Sohn, der sich seit kurzem mit Linux, Raspberry Pi, Python und Scratch beschäftigt... vielleicht sollte ich meine Strategie doch noch mal überdenken.

Tommes
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Ok verstehe..
Nach all den Themen hier, ala "Wo bekomme ich einen Tresor für meine DS her", war dein Setup ja schon grob fahrlässig :)

Nicht das dein Sohnemann mit 12 Jahren dein ausgeklügeltes Sicherheitsnetz aushebelt.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Nicht das dein Sohnemann mit 12 Jahren dein ausgeklügeltes Sicherheitsnetz aushebelt.

Der Gedanke ist garnicht mal so abwegig. Vielleicht noch nicht jetzt, aber in Naher Zukunft könnte das durchaus mal vorkommen. Kinder sind da gnadenlos und nutzen jede Möglichkeit und Gelegenheit ihre Eltern auf die Palme zu bringen. Haha... war‘n Spaß! Kinder haben aber in der Tat die faszinierende Eigenschaft, Dinge wie einen Schwamm aufzusaugen. Allein schon wenn ich sehe, wieviel Zeit ich damit verbrachte hatte, meinen ersten Pi einzurichten und zu konfigurieren. Mein Sohn hat den erst ein paar Wochen und hat schon 5 Betriebssysteme ausprobiert, sich auf dem Flohmarkt einen Alte Webcam gekauft und an den Pi angeschlossen und fängt nun an die GPIO‘s zu verdrahten. Das macht einem echt Angst. Da fühlt man sich immer so alt...

Aber wir kommen vom Thema ab...

Ach übrigens... mein Tresor steht in einer Bank... sowas brauch ich zu Hause dann doch nicht. Vor allem dann nicht, wenn die analogen Aktenordner direkt neben den digitalen Daten stehen. Da bräuchte ich schon einen recht großen Safe um alles dort unterzubringen. So groß ist meine Paranoja dann doch nicht. Haha...

Tommes
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
@Tommes: Danke für den Hinweis! NFSH hat es wirklich verständlich erklärt!
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Also die 4te Regel ist nicht mehr funktionstüchtig. Verstehe ich nicht ...
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Wie kontrollierst du die 4te Regel?
Dir ist schon bewusst, dass vom WAN alles erlaubt ist wenns von Deutschland kommt.
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
wie meinst du wie ich die kontrolliere?
indem ich mich mit dem handy ohne wlan auf den server aufschalte.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Die 4te Regel besagt, alles was nicht lokal ist und/oder nicht aus Deutschland kommt wird nicht zugelassen. Du bist in Deutschland mit deinem Handy, also bekommst du Zugriff mit Regel 3.
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
joo, aber die vierte regel sperrt wieder alle ip‘s aus der vorherigen regel?!
anwendungen sind erst nach der vierten regel freigeschaltet.
ich verstehe halt nicht wieso das nach der vierten regel weiterhin funktioniert.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Falsch, sobald eine Regel greift werden die darunter liegenden nicht beachtet. Deshalb ist die Reihenfolge so wichtig. Es wird von oben nach unten abgearbeitet.
Ansich ist dein Regelbaum ab Regel 3 abwärts irrelevant. Selbst Regel 4 bräuchtest du nicht, da eh alles verweigert wird was nicht Regel 1-3 entspricht.

Nur mal zur Veranschaulichung.
1. Bestimmte Dienste im LAN sind erlaubt.
2. Zusätzliche Ports im LAN erlaubt, die nicht in der Anwendungsliste stehen
3. Dienste vom WAN erlaubt, beschränkt auf Länder
4. Zusätzliche Ports vom WAN erlaubt, beschränkt auf Länder

Der Rest ist gesperrt!

1.JPG
 
Zuletzt bearbeitet:

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
okay, dh. das eine ip aus deutschland somit alle programme die verfügbar sind nutzen könnte?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Bei meinem Beispiel, Nein. Die 3te Regel ist beschränkt auf bestimmte Ports/Anwendungen. Wenn dort "Alle" steht, ist alles offen nach draußen.
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
ja, bei deinem bsp. nicht. aber bei meinen wäre es dann so.
denke jetzt hab auch ich das geschnallt.
danke dir/euch :)
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
so, nochmal eine frage:
ich nutze vpn, wenn ich unter lan1 bei der schnittstelle vpn keine regel einstelle und ganz unten dann sperre wenn keine regel zutrifft funzt das vpn nicht mehr. erst wenn ich das wieder auf zulassen schalte.
wie kann ich hier zusätzliche sicherheit einbringen? macht es das überhaupt sinn?
wenn ich deutsche ip's zulasse funktioniert vpn nur im wlan, aber nicht mehr mit lte.
woran liegt das?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.488
Punkte für Reaktionen
1.654
Punkte
274
Wie baust du dein VPN auf? Über die fritzbox?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat