DSM 3.0 Konfiguration von iptables via Script

[mbihn]

Hallo,

ich möchte die Konfig von iptables via Script anpassen. An sich kein Problem.

Nur kann man ja inzwischen mit DSM3.0 auch FW-Einstellungen über die Oberfläche vornehmen.

D.h. ich muss nun dafür Sorgen, das mit die Adminoberfläche nicht "ich die Suppe spuckt" und auch keine Regel erstelle, die die Adminoberfläche in Schwierigkeiten bringt.

Weiß jemand, wie das Synology handhabt?
Schreibt / liest die Adminoberfläche direkt aus iptables? Wohl eher nicht?
Wo wird Konfig abgelegt bzw. wann wird das in iptables geschrieben. Wird diese dabei komplett erzeugt (und alles andere überschrieben?)

Gruß
Michael

PS: Ich will meinen Trankappen-Ansatz wiederaufleben lassen. D.h. das aus dem Internet nur Adressen mit einem bestimmten DynDNS-Namen zugelassen werden. Alles andere wird verworfen.

 

[jahlives]

PS: Ich will meinen Trankappen-Ansatz wiederaufleben lassen. D.h. das aus dem Internet nur Adressen mit einem bestimmten DynDNS-Namen zugelassen werden. Alles andere wird verworfen.

Bevor du zuviel Energie da reinsteckst: Wie soll das gehen? IPTable basiert auf IP-Adressen und nicht auf Hostnamen/Domains. Du müsstest also bei jedem Request erst dem Hostnamen aus dem DNS ziehen. Das wird bei dynamischen IPs schwierig weil der ReverseDNS nichts mit dem Domainnamen zu tun hat. Und Reverse DNS ist der einzige Weg den Hostnamen zu einer IP zu bekommen.
Oder du müsstest bei jedem Request einer IP mittels ForwardDNS alle dyndns Domains, die du erlauben willst, zu IPs auflösen und dann gucken ob die IP und die IPTabel Regel matchen oder nicht. Des dürfte ganz exterm auf die Performance gehen

 

[mbihn]

Du hast es 100% erfaßt. Ich will via Cron alle 10min ein paar (1-2) DynDNS-Adressen (genauer gesagt die meines Notebooks) via nslookup auflösen lassen und (nur bei Änderungen) iptables anpassen.
Alle 10min ein Skript ausführen, welche 1-2 DNS-Requests absetzt und mit einer Datei vergleicht sollte einer DS eher nur ein müdes Lächeln abverlangen.
Der Update auf die iptables wird dann ja nur bei Änderugen durchgeführt (1-2x pro Tag). Das dürfte die DS auch ohne mit der Wimper zu zucken schaffen.

Wenn ich Glück habe, ist das Script ein fünfzeiler, sorgt aber dafür, das meine DS nur für mein Notebook sichtbar ist.

Natürlich kann es bei Bezug einer neuen IP bis zu 10min dauern, bis das klappt, aber damit kann ich leben.

Ein Nebeneffekt könnte natürlich sein, das die Platte nicht mehr in Standby geht, aber damit kann ich leben.

 

[jahlives]

Ah ich dachte du wolltest bei jedem Request eine DNS Abfrage reinbasteln. Das hätte die DS wohl gekillt
Ich persönlich würde in deinem Fall (externer Zugriff auf die DS) eher eine (Open)-VPN-Lösung anstreben. Damit hättest du die ganze Sicherheit an VPN übergeben und müsstest dich selber nicht um viel kümmern.
Denn wenn dein Script nur einmal Mist baut, dann kommst du u.U. noch nicht mal aus dem LAN wieder auf die DS. Dann würde nur noch ein Reset helfen.

Da würde ich ein VPN für weniger anfällig halten. "Echte" VPNs kosten meist Geld (Hardware/Software), allerdings gibt es mit OpenVPN auch eine OpenSource Lösung, die gemäss mehrerer Aussagen hier im Forum sehr zufriedenstellend läuft.
Hätte gegenüber deiner Lösung zusätzlich den Vorteil, dass die gesamte Datenübertragung bei jedem Protokoll komplett und stark verschlüsselt abläuft

 

[mbihn]

Da ich das ggf. auch von zwei anderen Geräten aus nutzen will, kann ich nicht auf ein VPN zurückgreifen. Dafür, dass das Script keinen Mist baut, werde ich sorgen (eine statische Regel bleibt immer erhalten).

Also nochmal: Wer weiß, wie bei DSM 3.0 die Firewallkonfig vonstatten geht.