DSM 5.0 4482 - Erfahrungen, Probleme, Bugs

Status
Für weitere Antworten geschlossen.

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Sehr geil:
Added the GeoIP* feature in Firewall settings, enabling you to allow or block IP addresses from certain countries.
Vor ca. 1 Jahr vorgeschlagen und nun drin.

Wie habt ihr es eingestellt: Ich habe Deutschland zugelassen+IP range 192.168.1.1-192.168.1.154 und 192.168.2.1-192.168.2.154 zugelassen. Wenn keine Regel zutrifft: Zugriff verweigern. Oder brauche ich private IP Adressen hier nicht reinzuschreiben? Will auf Nummer sicher gehen, nicht, dass ich mich selbst lokal aussperre.

Update lief wunderbar durch.
 

Christian72D

Benutzer
Mitglied seit
29. Apr 2010
Beiträge
725
Punkte für Reaktionen
15
Punkte
44

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Zuletzt bearbeitet:

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314

P4ddy

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
461
Punkte für Reaktionen
1
Punkte
16
Sehr geil:
Vor ca. 1 Jahr vorgeschlagen und nun drin.

Wie habt ihr es eingestellt: Ich habe Deutschland zugelassen+IP range 192.168.1.1-192.168.1.154 und 192.168.2.1-192.168.2.154 zugelassen. Wenn keine Regel zutrifft: Zugriff verweigern. Oder brauche ich private IP Adressen hier nicht reinzuschreiben? Will auf Nummer sicher gehen, nicht, dass ich mich selbst lokal aussperre.

Update lief wunderbar durch.
Interessant ist für mich auch die Frage: Habt ihr EINe Regel wo z.B alles drin ist außer Deutschland und die für alle Ports auf "verweigern" gestellt, oder habt ihr Ausnahmen für bestimmte Porst für DEutschland auf "Zulassen" gestellt und dann unten "wenn keine Regel zutrifft" den haken bei "verweigern" gestellt.
Was ist "sauberer"?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Was ist "sauberer"?

Ist das Glas halb voll oder halb leer?

Ich würde sagen, sauber ist beides. Einfacher ist wohl, nur das lokale Netzwerk und z.B. Deutschland zuzulassen, als alles bis auf die genannten zu sperren. Nach meinem Verständnis muß ja eine "zugelassene" Regel alle anderen Möglichkeiten "verweigern" und umgekehrt.

Tommes
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.217
Punkte für Reaktionen
69
Punkte
114
Habe jetzt meine 712+ auch upgedatet, läuft alles bis jetzt!

Nach Anpassung der /etc/profile & /root/.profile klappt auch IPKG wieder...
 

edei

Benutzer
Mitglied seit
08. Apr 2014
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
hab das update auf meiner ds214play auch gemacht (inkl. 2 paketupdates) und alles ist gut ... mir kommt auch vor, dass es echt schneller geworden ist ;-) nervig ist nur die regionseinstellung bei der firewall. wenn ich mehrere länder auswählen möchte, dann löscht es manchmal die bereits angehakten länder wieder raus.

sonst bin ich aber zufrieden
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Interessant ist für mich auch die Frage: Habt ihr EINe Regel wo z.B alles drin ist außer Deutschland und die für alle Ports auf "verweigern" gestellt, oder habt ihr Ausnahmen für bestimmte Porst für DEutschland auf "Zulassen" gestellt und dann unten "wenn keine Regel zutrifft" den haken bei "verweigern" gestellt.
Was ist "sauberer"?

Ich habe komplett Deutschland nur zugelassen (alle Ports). Der davorgeschaltete Router lässt eh nur bestimmte Ports ins interne Netz durch.
Habe also 3 Regeln:
1) komplett Deutschland (alle Ports)
2) komplett 192.168.1.x (alle Ports)
3) komplett 192.168.2.x (alle Ports)

Man kann nur max 15 Länder pro Regel zulassen oder ausschließen, müsste vielleicht noch seitens Synology nachgebessert werden.

alles andere wird verweigert
 
Zuletzt bearbeitet:

fraubi

Benutzer
Mitglied seit
25. Nov 2011
Beiträge
605
Punkte für Reaktionen
0
Punkte
42

Pulpi

Benutzer
Mitglied seit
24. Feb 2014
Beiträge
243
Punkte für Reaktionen
0
Punkte
22
Von mir auch was positives.
Das Update auf meiner DS213+ durchgeführt. Alles verlief problemlos. DS geht weiterhin zuverlässig ins Systemhibernation.

Lediglich der symbolische Link aufs /opt Verzeichnis musste neu erstellt werden und der Pfad in der profile Datei entsprechend erweitert werden.

Wie wird das denn realisiert bzw. wie lautet der Konsolenbefehl dazu?
 

vater

Benutzer
Contributor
Mitglied seit
14. Mrz 2014
Beiträge
487
Punkte für Reaktionen
107
Punkte
43
Melde Update einer RS2414+ ohne Probleme. Tatsächlich fühlt sich die Oberfläche schneller an. Aber echte Messwerte habe ich dazu nicht.

Viele Grüße
Vater
 

DieAbrissbirne

Benutzer
Mitglied seit
01. Jan 2013
Beiträge
101
Punkte für Reaktionen
0
Punkte
16
Ja das funktioniert, du musst aber deinen lokal IP Kreis also die 192.168.*.* auch in den erlaubten mit aufnehmen.

Wie konnte ich das nur vergessen!? :D

Danke für den Hinweis!

Ein Lob an die Entwickler, dass sie da für mich, bzw. andere mitgedacht haben, um ein versehentliches aussperren zu verhindern.

kleiner Nachtrag: Habe mir per VPN IP-Adressen diverser Länder besorgt und tatsächlich werden alle Verbindungsversuche geblockt.
Werden diese Versuche irgendwo protokolliert?
 
Zuletzt bearbeitet:

Delgado

Benutzer
Mitglied seit
21. Dez 2012
Beiträge
164
Punkte für Reaktionen
0
Punkte
22
Wie wird das denn realisiert bzw. wie lautet der Konsolenbefehl dazu?

z.B. so

ln -s /volume1/@optware /opt

und in der systemweiten Profile-Datei unter /etc/profile noch zu dem Pfad ':/opt/bin:/opt/sbin' hinzufügen, speichern und neustarten.

Das wars.

@Pulpi
Das musst du nur machen, wenn du IPKG installiert hattest, ansonsten natürlich nicht.
 

Pulpi

Benutzer
Mitglied seit
24. Feb 2014
Beiträge
243
Punkte für Reaktionen
0
Punkte
22
z.B. so

ln -s /volume1/@optware /opt

und in der systemweiten Profile-Datei unter /etc/profile noch zu dem Pfad ':/opt/bin:/opt/sbin' hinzufügen, speichern und neustarten.

Das wars.

@Pulpi
Das musst du nur machen, wenn du IPKG installiert hattest, ansonsten natürlich nicht.

Alles klar danke, ich habe IPKG installiert und werde das dann gleich mal machen, da anscheinend einige Tools die IPKG nutzen nicht mehr ordnungsgemäß funktionieren ;)
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
kleine Anmerkung, den Befehl macht man nur wenn man die erweiterte ipkg Installation gemacht hat. Die Standardinstallation arbeitet mit mount.

Gruß Götz
 

macrockdoc

Benutzer
Mitglied seit
13. Sep 2010
Beiträge
10
Punkte für Reaktionen
0
Punkte
7
Hallo liebe Syno-Kenner,

ich habe mit dem Update auf den DSM 5 bisher bei meiner DS 210+ noch gewartet. Derzeit läuft bei mir DSM 4.3-3827 ohne Probleme.
Was meint Ihr - kann ich das Update auf DSM 5.0 in der Version 4482 jetzt wagen?

Grüße
MacRockDoc
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.545
Punkte für Reaktionen
1.377
Punkte
234
Kann es sein, dass bei einer nur für Deutschland offenen Firewall mit dem Mailserver / -station keine eMails mehr aus dem Ausland empfangen werden können? (liegt ja nahe)

Wenn ja, welchen Port müsste man dann öffnen (SMTP: 465 IMAP: 993)?
Leider könnte man ja über beide Ports nach meinem Verständnis via Brute-Force die Adminanmeldung testen, weswegen ich diese für andere Länder gesperrt habe.
 

stefan_lx

Benutzer
Mitglied seit
09. Okt 2009
Beiträge
2.766
Punkte für Reaktionen
74
Punkte
88
Hab mir grad mal dieses GeoIP angeschaut.

Im Forum wurde ja bereits öfter mal darüber diskutiert, ob diese Funktion Sinn macht oder nicht. Auch im Wiki ist ja ein Weg beschreiben, wie man das bis dato lösen konnte ( zu finden unter http://www.synology-wiki.de/index.ph...schränken). Das es diese Funktion jetzt "offiziell" in den DSM geschafft hat finde ich schon ziemlich gut, aber bringt das auch was, oder ist und bleibt das jetzt nur ein vorgegaukeltes "in Sicherheit wiegen" ?

Was meint ihr?

Tommes

hat dir da schon jemand was geantwortet?

Das ist in meinen Augen das gleiche, wie mit den "verbogenen" Ports für ssh, ftp usw. ... Es hilft gegen das Grundrauschen und gegen den Gelegenheitshacker, wenn jemand dich hacken will, wird er das tun und dann kommt er halt mit einer IP-Adresse aus Deutschland daher. Da ist sozusagen "security by obscurity"...
Außerdem gibt es da mehrere Probleme:
die Bereiche der IP-Adressen können zwischen den Ländern wechseln
die Bereiche sind unzusammenhängend
es könnten Bereiche dazukommen, die es noch nicht gab (das ist wohl eher theoretischer Natur)
wo kommt die Liste überhaupt her? wird die Online runtergeladen, oder wie????

Nur mal zum Anschauen, eine Website, die htaccess-Einträge generiert. Da kann man schon leicht den Überblick verlieren und diese Seite hat den Stand von August 2013... da kann sich schon wieder was geändert haben...

Das heißt jetzt nicht, dass ich die Funktion nicht gut finde, das Grundrauschen "abschalten" zu können ist auch schon was wert...

Stefan
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat