Benötige Hilfe bei der Konfiguration der Firewall

[Damrak2010]

Hallo zusammen,
ich muss zugeben das ich bei der Firewall nicht durchsteige und da nun wohl einiges falsch gemacht habe. Auf meiner Ds ist Jellyfin unter den Container Manager installiert. Bevor ich die Firewall aktiviert hatte und da einiges eingestellt (verstellt) habe lief Jellyfin ohne Probleme. Weiterhin ist noch unter VMM mein Homeassistant am Laufen.
Nachdem ich nun angefangen habe den Masterclass Kurs zu Paperless ngx auf der Synology umzusetzen, bin ich nun an dem Punkt der Firewallkonfiguration angekommen und seitdem kann ich mich auch zuhause nicht mehr mit Jellyfin verbinden.
Hier mal ein Screenshot wie meine Firewall aktuell konfiguriert ist. Die gesamte Konfiguration ist mehr aufgrund von Vermutungen als durch Wissen begründet. Es wäre klasse, wenn mir jemand mal helfen könnte diese mit den notwendigen Einstellungen einzurichten.

 

[hblein]

Hallo Damrak2010, als erstes, mach dir Gedanken, eine Liste, wie, von wo aus, ob nur im heimischen LAN oder auch von außerhalb, du auf die Pakete/Dienste, welche du auf deinem NAS eingerichtet hast, zugreifen, bzw. Zugriff zulassen möchtest.
Danach richtet sich dann, wie die Syno-FW einzurichten ist. Dann schauen wir uns das im Einzelnen an. Immer dran denken, hast du ja anscheinend schon, dich nicht selbst auszusperren. Sollte das möglich sein, kommt meist auch eine Warnung seitens DSM.

 

[Damrak2010]

Naja, aktuell möchte ich im heimischen Lan auf alles zugreifen können. Das betrifft vor allem Jellyfin
Von unterwegs soll dann der Zugriff lediglich auf meine Photos zugänglich sein. Das geht ja auch schon. Und der Zugriff auf Homeassistant auf der VMM ist wichtig, wobei da der Zugriff ja über NabuCasa erfolgt und auch funktioniert.

Gruß Andy

 

[hblein]

Dann prüfe, unter dieser Prämisse, deine bisherigen Regeln. Des weiteren, Windows Dateiserver und DLNA/UPnP Medienserver sind nur was fürs eigene (LAN) interne Netz, also als Quelle Sub-Netz mit IP 192.168.178.1 und Subnetzmaske 255.255.255.0.
schleust du HomeAssistant und Nabucasa(Docker?) über den RP? Bzw. was geht bei dir alles über den RP?
Welche Portfreigaben/Weiterleitungen gibt es im Router?
Es gibt zum Thema Syno-FW einrichten viele Einträge hier...

 

[NSFH]

Also deine Firewallregeln sind wertlos, Kannst sie gleich ganz ausschalten, da du für sensible Dienste keinerlei Einschränkungen triffst.
UPNP zB ist ein Türöffner, der schon im LAN kritisch ist, dann noch offen nach Aussen ist weniger gut.
Windows und Dateidienste sollten nur auf das lokale LAN beschränkt sein (Quell IP),
Erste Regel die Erlaubnis auf DSM aus dem lokalen LAN zugreifen zu können um sich nicht auszusperren.
Ausserdem würde ich alles blocken, was nicht aus D stammt.
Die letzte Regel alles blocken löschen, das macht man mit dem Haken am Ende der Konfigurationseinstellung der Fw.

 

[Hagen2000]

Die letzte Regel alles blocken löschen, das macht man mit dem Haken am Ende der Konfigurationseinstellung der Fw.

Meinst Du den Radio-Button, der in jeder Schnittstelle einzeln zu setzen ist?
Ich findes es umständlich, den Radio-Button bei jeder Schnittstelle einzeln umstellen zu müssen. Außerdem verliert man die Möglichkeit, die gesamten Firewall-Regeln mit einem Haken für die Fehlersuche kurz mal deaktivieren zu können.

 

[Damrak2010]

Aso in meinem Router gibt es bisher nur eine Freigabe.
Ich weiß nur ehrlich gesagt nicht so genau, was ich in der Firewall anhaken, bzw abhaken muss. Zumal mir viel Begriffe da nichts sagen. Ich würde die Einstellungen erstmal gerne auf das mindeste begrenzen, bis ich dann mal Zeit habe mich damit intensiver zu befassen. Nur im Masterclas Kurs für Paperless ist es halt so das die Firewall aktiviert sein muss um dann die Portfreigaben in der DS einzurichten. Und Paperless hat im Moment für mich die höchste Priorität.

 

[hblein]

z.B.

Aso in meinem Router gibt es bisher nur eine Freigabe.

Das sollte erstmal ausreichen.

 

[hblein]

An welchem der beiden LAN-Ports deiner DS hast du ein Netzwerkkabel dran? Danach richtet sich das weitere Vorgehen beim Einrichten deiner FW.

 

[Damrak2010]

Also kann ich alles bis auf die beiden Verwaltungsprogramme (Port 5000 und 5001 ) alles deaktivieren? Oder muss noch etwas aktiv bleiben?

 

[Damrak2010]

An LAN 1

 

[hblein]

Die Ports 5000 und 5001 kannst du erstmal unter LAN1 für dein LAN als erlaubt-Regel eintragen.

 

[Damrak2010]

Okay, danke ud den Rest erstmal deaktivieren?

 

[hblein]

Unter "Alle Schnittstellen" habe ich bei meiner die Geo-Blocking-Verbote drin.

 

[Damrak2010]

Könntest Du mir das mal mit einem Screenshot verdeutlichen. Sorry, ich weiß das ich mich hier ziemlich dämlich anstelle

 

[hblein]

den Rest erstmal deaktivieren?

Unter "Alle Schnittstellen" ja, fürs erste.
Die Konfiguration wächst, bzw. ändert sich ja noch mit der Zeit und wachsender Erfahrung.

 

[Damrak2010]

Okay, danke

 

[hblein]

mit einem Screenshot verdeutlichen

das dauert mal einen Moment.

das ich mich hier ziemlich dämlich anstelle

dafür sind wir hier. und nein, das hat nichts mit dämlich zu tun.

 

[hblein]

Screenshot

ich muss nochmal nachfragen, zu welchem Bereich, "Alle Schnittstellen" oder "LAN1"?

 

[Damrak2010]

Alle Schnittstellen bitte