Firewall habe ich ein wenig jetzt angepasst und paar Länder komplett gesperrt sowie meine DS wird nur lokal zugriff gestattet war vorher auch so aber jetzt mit IP beschränkung.
Einbruchs versuche die ich nicht verstehe
- Ersteller Heaven1976
- Erstellt am
- Status
Firewall habe ich ein wenig jetzt angepasst und paar Länder komplett gesperrt sowie meine DS wird nur lokal zugriff gestattet war vorher auch so aber jetzt mit IP beschränkung.
Hallo Heaven1976,
Bücher und Hardware zum Thema gibt es bei Amazon: Einbruchs versuche die ich nicht verstehe
Bücher und Hardware zum Thema gibt es bei Amazon: Einbruchs versuche die ich nicht verstehe
Sorry, aber die Regeln sind nicht zu gebrauchen (bis vllt auf die zweite) 
Die erste Regel hebelt die beiden unteren völlig aus. Die Regelsets werden von oben nach unten abgearbeitet - was zuerst greift, wird genutzt, der Rest interessiert nicht mehr.
Die erste Regel hebelt die beiden unteren völlig aus. Die Regelsets werden von oben nach unten abgearbeitet - was zuerst greift, wird genutzt, der Rest interessiert nicht mehr.
Bin gern offen für vorschläge wie man sowas optimal macht mit den Firewall einstellungen
Zuletzt bearbeitet von einem Moderator:
- Mitglied seit
- 08. Mai 2015
- Beiträge
- 7.488
- Punkte für Reaktionen
- 1.654
- Punkte
- 274
"Optimal" hängt in diesem Fall von "Deinen" Vorstellungen ab. Das Konzept einer vernünftigen Firewall-Implementierung folgt dabei aber einem ganz einfachen Muster (restriktiv)...
1) Anti-Lockout-Rule (erlaube Dich selbst aus dem eigenen LAN)
2) Service-Rules (div. "allow"-Regeln)
3) Clean-Up-Rule (deny all)
Das Konzept lässt sich halt "nicht immer" unbedingt so durchsetzen, wie man es gerne hätte (Port 25 SMTP ist da ein sehr gutes Beispiel, da man eben nicht weiss, welche Mailserver alle involviert sind), allerdings "kann" man auch hier noch ein bisschen hin und her switchen. Theoretisch wäre es erstmal nur der Gedanke "logo... fremde Mailserver... k.a. wo die stehen... aber irgendwie will ich Mails ja schon bekommen, aber ein paar Länder interessieren mich dabei trotzdem nicht...", somit sollte man eben den umgekehrten Weg gehen (statt 1x allow xy halt aufsplitten in 2 Regeln: 1. deny xy, 2. allow all).
Kurzum würde das Konstrukt dann z.B. für Port 25 so aussehen:
1) Anti-Lockout-Rule
2) Port 25 - deny - weissrussland, china, japan, etc.
3) Port 25 - allow - all
4) Clean-Up-Rule
Je nachdem, welchen Content die Website bereitstellt (und ob ggf. von Google indiziert) wäre ein ähnliches Konzept fällig. Handelt es sich ausschliesslich um eine private Seite, welche garnicht via Google indiziert wird und auch nur deutschsprachige Inhalte bietet, würde sich da für die Ports 80+443 ggf. auch nur ein "allow Deutschland" anbieten. Selbiges gilt für den IMAP-Port. Bei letzterem ist das allerdings der gleiche Fall wie bei SMTP. Alternativ kann man natürlich auch hingehen und nur Deutschland erlauben und die 3 häufigsten Urlaubsländer, oder eben explizite Länderfreischaltung bei Urlaubsantritt (sofern die Ports im Urlaubsland nicht eh geblockt werden (also von den ISPs im Urlaubsland)).
Wenn die Syno-Firewall vllt irgendwann mal mit DDNS arbeiten kann, wäre es sogar noch einfacher, da man für sämtliche Endgeräte nur noch einen DDNS-Hostnamen inkl. Client bräuchte, dann kann man diese Dinge auch einfach auf die entsprechenden DDNS-Records münzen.
1) Anti-Lockout-Rule (erlaube Dich selbst aus dem eigenen LAN)
2) Service-Rules (div. "allow"-Regeln)
3) Clean-Up-Rule (deny all)
Das Konzept lässt sich halt "nicht immer" unbedingt so durchsetzen, wie man es gerne hätte (Port 25 SMTP ist da ein sehr gutes Beispiel, da man eben nicht weiss, welche Mailserver alle involviert sind), allerdings "kann" man auch hier noch ein bisschen hin und her switchen. Theoretisch wäre es erstmal nur der Gedanke "logo... fremde Mailserver... k.a. wo die stehen... aber irgendwie will ich Mails ja schon bekommen, aber ein paar Länder interessieren mich dabei trotzdem nicht...", somit sollte man eben den umgekehrten Weg gehen (statt 1x allow xy halt aufsplitten in 2 Regeln: 1. deny xy, 2. allow all).
Kurzum würde das Konstrukt dann z.B. für Port 25 so aussehen:
1) Anti-Lockout-Rule
2) Port 25 - deny - weissrussland, china, japan, etc.
3) Port 25 - allow - all
4) Clean-Up-Rule
Je nachdem, welchen Content die Website bereitstellt (und ob ggf. von Google indiziert) wäre ein ähnliches Konzept fällig. Handelt es sich ausschliesslich um eine private Seite, welche garnicht via Google indiziert wird und auch nur deutschsprachige Inhalte bietet, würde sich da für die Ports 80+443 ggf. auch nur ein "allow Deutschland" anbieten. Selbiges gilt für den IMAP-Port. Bei letzterem ist das allerdings der gleiche Fall wie bei SMTP. Alternativ kann man natürlich auch hingehen und nur Deutschland erlauben und die 3 häufigsten Urlaubsländer, oder eben explizite Länderfreischaltung bei Urlaubsantritt (sofern die Ports im Urlaubsland nicht eh geblockt werden (also von den ISPs im Urlaubsland)).
Wenn die Syno-Firewall vllt irgendwann mal mit DDNS arbeiten kann, wäre es sogar noch einfacher, da man für sämtliche Endgeräte nur noch einen DDNS-Hostnamen inkl. Client bräuchte, dann kann man diese Dinge auch einfach auf die entsprechenden DDNS-Records münzen.
Geht so, als "erste" Stelle kommt "immer" die Anti-Lockout-Rule. Somit ist der dauerhafte Zugriff gewährleistet, ohne die Möglichkeit, dass Du Dich "aus versehen" aussperrst , also eigentlich genau andersrum.
EDIT: Hatte Dir übrigens eine PN geschickt
, also eigentlich genau andersrum.EDIT: Hatte Dir übrigens eine PN geschickt
Oder du tippst Beitrag 24 ab..
Beitrag 24 wäre das hier:
Geht so, als "erste" Stelle kommt "immer" die Anti-Lockout-Rule. Somit ist der dauerhafte Zugriff gewährleistet, ohne die Möglichkeit, dass Du Dich "aus versehen" aussperrst
EDIT: Hatte Dir übrigens eine PN geschickt
Ja jetzt erst gesehn mal sehn was man zu dieser Regel sagt ^^
Hab mir mal nochmal das video angesehn: https://www.youtube.com/watch?v=ffczwwn0nQI
Beitrag 24 wäre "nicht" das was Du da hast, da in Cosmos Beitrag ebenfalls die Anti-Lockout-Regel (gepaart mit extra Diensten) an "erster" Stelle steht Zudem ist es nicht sonderlich sinnig, den SMTP-Dienst auf bestimmte Länder zu beschränken, da Du nicht weisst, wo die Mailsender von denen Du die Mails definitiv haben willst bzw deren Hoster Ihre Mailserver stehen haben. Wie gesagt, das Angebot aus der PN steht, wenn nicht erwünscht, halte Dich einfach an #25, oder wenn besser verständlich an c0smo's Link
Zudem ist es nicht sonderlich sinnig, den SMTP-Dienst auf bestimmte Länder zu beschränken, da Du nicht weisst, wo die Mailsender von denen Du die Mails definitiv haben willst bzw deren Hoster Ihre Mailserver stehen haben. Wie gesagt, das Angebot aus der PN steht, wenn nicht erwünscht, halte Dich einfach an #25, oder wenn besser verständlich an c0smo's Link 
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Und statt (als erste Regel) alle Länder zu blocken erstellt man eine Regel welche Länder erlaubt sind.
In die Firewallregeln kommen nur die Erlaubnisse. Was dann nicht erlaubt ist wird mit dem letzten Eintrag am Fensterende geblockt.
In die Firewallregeln kommen nur die Erlaubnisse. Was dann nicht erlaubt ist wird mit dem letzten Eintrag am Fensterende geblockt.
Nebenbei habe ich auch bisserl nochmal gegoogelt soll ja nicht heißen bekommt alles vorgekaut und serviert
Bischen Eigeninitiative sollte ja auch sein
Bischen Eigeninitiative sollte ja auch sein
Zuletzt bearbeitet von einem Moderator:
uTube? Wo wie was? Du willst doch jetzt wohl keinen entsprechenden Link posten?!
EDIT: Ach... nun hab ich es auch gesehen... Nix für ungut c0smo, Schande auf mein Haupt
EDIT: Ach... nun hab ich es auch gesehen... Nix für ungut c0smo, Schande auf mein Haupt
Zuletzt bearbeitet:
- Mitglied seit
- 08. Mai 2015
- Beiträge
- 7.488
- Punkte für Reaktionen
- 1.654
- Punkte
- 274
uTube? Wo wie was? Du willst doch jetzt wohl keinen entsprechenden Link posten?!
EDIT: Ach... nun hab ich es auch gesehen... Nix für ungut c0smo, Schande auf mein Haupt
Den hatte ich gepostet gehabt von idomix der viele videos wie ich gesehn habe über synology gemacht hat ^^
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
