DSM 5.0 4482 - Erfahrungen, Probleme, Bugs

[raymond]

Sehr geil:

Added the GeoIP* feature in Firewall settings, enabling you to allow or block IP addresses from certain countries.

Vor ca. 1 Jahr vorgeschlagen und nun drin.

Wie habt ihr es eingestellt: Ich habe Deutschland zugelassen+IP range 192.168.1.1-192.168.1.154 und 192.168.2.1-192.168.2.154 zugelassen. Wenn keine Regel zutrifft: Zugriff verweigern. Oder brauche ich private IP Adressen hier nicht reinzuschreiben? Will auf Nummer sicher gehen, nicht, dass ich mich selbst lokal aussperre.

Update lief wunderbar durch.

 

[Christian72D]

Oder brauche ich private IP Adressen hier nicht reinzuschreiben? Will auf Nummer sicher gehen, nicht, dass ich mich selbst lokal aussperre.

Link

 

[raymond]

Link

Okay alles klar. Also gleich richtig gedacht

@hopeless: verstehe auch nicht, warum die nicht endlich netatalk aktualisieren.

 

[Delgado]

Das benötigt man zum Re-Aktivieren von IPKG nach einem Firmwareupdate.

Tommes

Genau so ist es. Wer IPKG nicht nutzt, muss das auch nicht tun.

 

[Tommes]

Sehr geil:
Vor ca. 1 Jahr vorgeschlagen und nun drin.

Dann kannst du bestimmt auch meine Frage aus Beitrag #13 beantworten. Leider hat da noch keiner was zu geschrieben.

Tommes

 

[P4ddy]

Sehr geil:
Vor ca. 1 Jahr vorgeschlagen und nun drin.

Wie habt ihr es eingestellt: Ich habe Deutschland zugelassen+IP range 192.168.1.1-192.168.1.154 und 192.168.2.1-192.168.2.154 zugelassen. Wenn keine Regel zutrifft: Zugriff verweigern. Oder brauche ich private IP Adressen hier nicht reinzuschreiben? Will auf Nummer sicher gehen, nicht, dass ich mich selbst lokal aussperre.

Update lief wunderbar durch.

Interessant ist für mich auch die Frage: Habt ihr EINe Regel wo z.B alles drin ist außer Deutschland und die für alle Ports auf "verweigern" gestellt, oder habt ihr Ausnahmen für bestimmte Porst für DEutschland auf "Zulassen" gestellt und dann unten "wenn keine Regel zutrifft" den haken bei "verweigern" gestellt.
Was ist "sauberer"?

 

[Tommes]

Was ist "sauberer"?

Ist das Glas halb voll oder halb leer?

Ich würde sagen, sauber ist beides. Einfacher ist wohl, nur das lokale Netzwerk und z.B. Deutschland zuzulassen, als alles bis auf die genannten zu sperren. Nach meinem Verständnis muß ja eine "zugelassene" Regel alle anderen Möglichkeiten "verweigern" und umgekehrt.

Tommes

 

[DKeppi]

Habe jetzt meine 712+ auch upgedatet, läuft alles bis jetzt!

Nach Anpassung der /etc/profile & /root/.profile klappt auch IPKG wieder...

 

[edei]

hab das update auf meiner ds214play auch gemacht (inkl. 2 paketupdates) und alles ist gut ... mir kommt auch vor, dass es echt schneller geworden ist ;-) nervig ist nur die regionseinstellung bei der firewall. wenn ich mehrere länder auswählen möchte, dann löscht es manchmal die bereits angehakten länder wieder raus.

sonst bin ich aber zufrieden

 

[raymond]

Interessant ist für mich auch die Frage: Habt ihr EINe Regel wo z.B alles drin ist außer Deutschland und die für alle Ports auf "verweigern" gestellt, oder habt ihr Ausnahmen für bestimmte Porst für DEutschland auf "Zulassen" gestellt und dann unten "wenn keine Regel zutrifft" den haken bei "verweigern" gestellt.
Was ist "sauberer"?

Ich habe komplett Deutschland nur zugelassen (alle Ports). Der davorgeschaltete Router lässt eh nur bestimmte Ports ins interne Netz durch.
Habe also 3 Regeln:
1) komplett Deutschland (alle Ports)
2) komplett 192.168.1.x (alle Ports)
3) komplett 192.168.2.x (alle Ports)

Man kann nur max 15 Länder pro Regel zulassen oder ausschließen, müsste vielleicht noch seitens Synology nachgebessert werden.

alles andere wird verweigert

 

[fraubi]

Also auf meiner DS713+ gibt es nach dem Update arge Probleme mit Rsync über SSH.

(siehe hierzu auch meinen Thread unter http://www.synology-forum.de/showth...-5.0-4482-RSYNC-%E4ndert-Ordnerberechtigungen)

Gruß
Fraubi

 

[Pulpi]

Von mir auch was positives.
Das Update auf meiner DS213+ durchgeführt. Alles verlief problemlos. DS geht weiterhin zuverlässig ins Systemhibernation.

Lediglich der symbolische Link aufs /opt Verzeichnis musste neu erstellt werden und der Pfad in der profile Datei entsprechend erweitert werden.

Wie wird das denn realisiert bzw. wie lautet der Konsolenbefehl dazu?

 

[vater]

Melde Update einer RS2414+ ohne Probleme. Tatsächlich fühlt sich die Oberfläche schneller an. Aber echte Messwerte habe ich dazu nicht.

Viele Grüße
Vater

 

[DieAbrissbirne]

Ja das funktioniert, du musst aber deinen lokal IP Kreis also die 192.168.*.* auch in den erlaubten mit aufnehmen.

Wie konnte ich das nur vergessen!?

Danke für den Hinweis!

Ein Lob an die Entwickler, dass sie da für mich, bzw. andere mitgedacht haben, um ein versehentliches aussperren zu verhindern.

kleiner Nachtrag: Habe mir per VPN IP-Adressen diverser Länder besorgt und tatsächlich werden alle Verbindungsversuche geblockt.
Werden diese Versuche irgendwo protokolliert?

 

[Delgado]

Wie wird das denn realisiert bzw. wie lautet der Konsolenbefehl dazu?

z.B. so

ln -s /volume1/@optware /opt

und in der systemweiten Profile-Datei unter /etc/profile noch zu dem Pfad ':/opt/bin:/opt/sbin' hinzufügen, speichern und neustarten.

Das wars.

@Pulpi
Das musst du nur machen, wenn du IPKG installiert hattest, ansonsten natürlich nicht.

 

[Pulpi]

z.B. so

ln -s /volume1/@optware /opt

und in der systemweiten Profile-Datei unter /etc/profile noch zu dem Pfad ':/opt/bin:/opt/sbin' hinzufügen, speichern und neustarten.

Das wars.

@Pulpi
Das musst du nur machen, wenn du IPKG installiert hattest, ansonsten natürlich nicht.

Alles klar danke, ich habe IPKG installiert und werde das dann gleich mal machen, da anscheinend einige Tools die IPKG nutzen nicht mehr ordnungsgemäß funktionieren

 

[goetz]

Hallo,
kleine Anmerkung, den Befehl macht man nur wenn man die erweiterte ipkg Installation gemacht hat. Die Standardinstallation arbeitet mit mount.

Gruß Götz

 

[macrockdoc]

Hallo liebe Syno-Kenner,

ich habe mit dem Update auf den DSM 5 bisher bei meiner DS 210+ noch gewartet. Derzeit läuft bei mir DSM 4.3-3827 ohne Probleme.
Was meint Ihr - kann ich das Update auf DSM 5.0 in der Version 4482 jetzt wagen?

Grüße
MacRockDoc

 

[geimist]

Kann es sein, dass bei einer nur für Deutschland offenen Firewall mit dem Mailserver / -station keine eMails mehr aus dem Ausland empfangen werden können? (liegt ja nahe)

Wenn ja, welchen Port müsste man dann öffnen (SMTP: 465 IMAP: 993)?
Leider könnte man ja über beide Ports nach meinem Verständnis via Brute-Force die Adminanmeldung testen, weswegen ich diese für andere Länder gesperrt habe.

 

[stefan_lx]

Hab mir grad mal dieses GeoIP angeschaut.

Im Forum wurde ja bereits öfter mal darüber diskutiert, ob diese Funktion Sinn macht oder nicht. Auch im Wiki ist ja ein Weg beschreiben, wie man das bis dato lösen konnte ( zu finden unter http://www.synology-wiki.de/index.ph...schränken). Das es diese Funktion jetzt "offiziell" in den DSM geschafft hat finde ich schon ziemlich gut, aber bringt das auch was, oder ist und bleibt das jetzt nur ein vorgegaukeltes "in Sicherheit wiegen" ?

Was meint ihr?

Tommes

hat dir da schon jemand was geantwortet?

Das ist in meinen Augen das gleiche, wie mit den "verbogenen" Ports für ssh, ftp usw. ... Es hilft gegen das Grundrauschen und gegen den Gelegenheitshacker, wenn jemand dich hacken will, wird er das tun und dann kommt er halt mit einer IP-Adresse aus Deutschland daher. Da ist sozusagen "security by obscurity"...
Außerdem gibt es da mehrere Probleme:
die Bereiche der IP-Adressen können zwischen den Ländern wechseln
die Bereiche sind unzusammenhängend
es könnten Bereiche dazukommen, die es noch nicht gab (das ist wohl eher theoretischer Natur)
wo kommt die Liste überhaupt her? wird die Online runtergeladen, oder wie????

Nur mal zum Anschauen, eine Website, die htaccess-Einträge generiert. Da kann man schon leicht den Überblick verlieren und diese Seite hat den Stand von August 2013... da kann sich schon wieder was geändert haben...

Das heißt jetzt nicht, dass ich die Funktion nicht gut finde, das Grundrauschen "abschalten" zu können ist auch schon was wert...

Stefan