Einstellung Firewall

[saffamo]

Hallo Zusammen,

falls in der falschen Rubrik, bitte verschieben.

Meine NAS (DS224+) ist aktuell extern über DynDNS erreichbar. Funktioniert sowar auch sehr gut.
Ich hatte lediglich anfangs 1-2 Login versuche auch anderen fernen Ländern.
Daraufhin hatte ich meine Firwall Einstellungen erneuert, und seid dem hatte ich nie wieder eine Meldung von gescheiterten Loginversuchen.
Weil ich gestern zufällig gelesen habe man sollte als letzte Regel wieder alles ausschließen, bin ich aktuell bisschen verunsichert, ob meine Einstellungen "ausreichend" sind.
Vielleicht könnt ihr zu meinen Einstellungen euren Senf mal dazu geben, und auch Verbesserungsvorschläge. ich wäre euch dankbar!
PS:
- Die Länder der Quell-IP's sind meine Urlaubsländer, alles andere wird dadurch ja ausgeschlossen
- Die letzte Regel, in der alles verweigert wird hatte ich jetzt gerade zugefügt.

Vielen Dank euch!!

 

[wegomyway]

Ganz schön viel, was da zugelassen wird.
DAS ist meines:
Man kann im Aufgabenplaner mal IP-Blocker einrichten, irgendwo hier im Forum zu lesen (finde es aktuell nicht)
https://github.com/geimist/Update_Blocklist ist vom User @geimist.
Oder https://www.synology-forum.de/threads/staendige-anmeldeversuche-am-dsm.122250/page-2#post-1015901

 

[saffamo]

Nachtrag:
- Die Länder der Quell-IP's sind meine Urlaubsländer, alles andere wird dadurch ausgeschlossen.

Bei deiner Variante, hast du zwar alle Länder außer Deutschland ausgeschlossen, aber hast auch wirklich ALLE Port's freigegeben! Hier solltest du nur die Ports freigeben die du auch benutzt.

 

[Kachelkaiser]

sieht für mich gut aus.

Ich habe es so eingestellt:


Man muss nur beachten, dass die Regeln von oben nach unten "durchgearbeitet" werden.

 

[saffamo]

sieht für mich gut aus.

Ich habe es so eingestellt:

Anhang anzeigen 101173
Man muss nur beachten, dass die Regeln von oben nach unten "durchgearbeitet" werden.

Top danke!

Frage zu deinen Einstellungen:
1.) wenn nach der ersten Regel erstmal nur die lokalen IP's reingelassen werden, funktioniert es dann überhaupt, das man von extern rein kommt? Müsste da die 3te Regel nicht am Anfang stehen?

2.) Wenn Regel 1-3 Positiv abgearbeitet wurden. was bringt hier noch die 4te Regel.
Es sind ja schon alle drinnen aus Deutschland und Italien, außerdem deine beiden lokalen IP's
Wer und warum kann dann noch ausgeschlossen werden. Davor wird ja schon alles was man nicht will ausgefiltert. oder
habe ich einen Denkfehler!?

3.) Warum lässt du immer alle Portszu und nicht nur die die du benötigst? So wären ja unnötig viele Angriffsflächen offen oder nicht?

 

[Benares]

Die Abarbeitung hört bei der ersten passenden Regel auf.

 

[saffamo]

Die Abarbeitung hört bei der ersten passenden Regel auf.

Ah verstehe, hier liegt der Denkfehler. Sollte Die erste Regel schon nicht passend sein, zb. weil die Anfrage vom Mond kommt, wird die Anfrage nicht gleich komplett beendet, sondern er geht definitiv alle Regeln weiter ab und und wird dann am Ende durch die Regel "Alle Ports mit allen Quell-IP's verweigern" rausgeschmissen.
Sollte eine Regel zwischendrin passen, lässt er dies zu.

Liege ich hier richtig?

 

[wegomyway]

Nachtrag:
- Die Länder der Quell-IP's sind meine Urlaubsländer, alles andere wird dadurch ausgeschlossen.

Bei deiner Variante, hast du zwar alle Länder außer Deutschland ausgeschlossen, aber hast auch wirklich ALLE Port's freigegeben! Hier solltest du nur die Ports freigeben die du auch benutzt.

Wen meinst Du denn?
Bei mir ist nur 443 offen. Wenn ich auf Malle oder in Kroatien weile, dann eh über WG-VPN und gut ist (wenn es notwendig ist, eigentlich nur für Pictures and Videos), alles andere ist zu. Urlaubsländer, die kann man händisch freigeben oder ist man 365 Tage in allen Ländern gleichzeitig?

 

[saffamo]

Ja dich meinte ich
Kannst du kurz erklären wie du dann von extern drauf zu greifst? also innerhalb Deutschland? zb. Mobil.
Ja dann ohne DynDNS oder?
Funktioniert aber auch dann nur für einen selbst, bzw. wird kompliziert wenn Familienmitglieder auch drauf zugreifen, zb. per Netzwerkfreigabe an ihren Rechnern.

ne da hast du schon recht. Die anderen Länder könnte ich immer händlich davor auch freigeben.
Wir war es wichtig keine anderen "dubiosen" Länder freizugeben, aus denen man Attacken vermuten würde bzw. schon darüber gehört hat.

Bist du der Meinung das der Externe Zugriff über DynDNS bedenklich ist und empfiehlst mir dann welchen Weg ?
Danke dir!

 

[Benares]

Liege ich hier richtig?

Ja. Und da die häufigsten Zugriffe von innen erfolgen, sollten die oben stehen.

 

[wegomyway]

Meine mobilen Apps, ALLE nur als Nutzer eingerichtet (3 an der Zahl) haben auf ihren Handys alle WG-VPN, in der 224+ ist das Zertifikat von Let's Encrypt mit entsprechender Domain(s) eingerichtet.
Für die mobilen Apps Drive, Photos, Audio und File eingerichtet.
Zugriff dann beispielsweise mobile Photo-App aufm Androiden: photo.xxxxx.myds.me.
Aber wenn es bei dir so funktioniert, wurdest ja auch bestätigt, dann nutze dieses.

 

[Kachelkaiser]

wie hier bereits schon geschrieben, funktioniert das von oben nach unten. was passt, zieht. Hauptsächlich gehe ich lokal oder per VPN auf die DS. Dann zieht die oberste Regel.
Die zweite ist für die docker-Container. Hatte mal geslesen, dass das sinnvoll wäre, damit die Zugriff auf die DS haben.
Und für die paar Dienste, die ich über DDNS anspreche (z.B: Vaultwarden), zeiht dann die dritte Regel.

Hab keinen Sinn gesehen, da dann nochmal die ports zu beschränken.

 

[saffamo]

Ich sehe schon, es gibt hier viele Wege nach Rom
Ich glaube dann lasse ich es so, läuft seit 2 Jahren ohne Vorkomnisse, lediglich die Zugriffe von Innen werde ich hoch setzen.

Danke euch!

 

[synfor]

@saffamo deine 2. Regel kommt nie zum Zuge, denn das wird schon von der 1. abgedeckt.

 

[NSFH]

Das oberste Beispiel ist auch gut als Lehrstück wie man es nicht macht.
Die erste Regel erlaubt für die aufgeführten Länder alles.
Die zweite Regel macht das gleiche nur für bestimmte Dienste. Doppelt und damit überflüssig.

Das Beispiel von Kachelkaiser zeigt gut wie löchrig Regeln sein können.
Er sagt schon richtig, dass die Regeln von oben nach unten abgearbeitet werden, aber das passiert, bis das Ende aller Einstellungen erreicht ist.
Also ist es Unsinn oben etwas zu beschränken was unten wieder erlaubt wird.
Dann aber für ganz D alle Ports aufzumachen ist schon wieder fahrlässig.
Wenn man dann noch in einer regel alle Dienste einträgt blickt man gar nicht mehr durch.

Sauber wird es erst dann, wenn wenn man in der Firewall für wirklich jeden einzelnen Dienst den man erlauben möchte eine eigene Regel aufstellt.
Nur so behält man eine Übersicht.
Und klar, am Ende unten den Haken setzen, mit dem alles was oben nicht zugelassen ist blockiert wird.

Nächste Massnahme alle Apps die auf Webdiensten beruhen auf den ReverseProxy legen. Durch die Mehrfachnutzung von 443 entfallen automatisch jede Menge offene Ports nach aussen!

Als letztes dann noch das bekannte update_blocklist.sh script installieren, was schon über 20T IPs blockiert die als schädlich gemeldet sind.

 

[Kachelkaiser]

ok ich hatte die Firewall mal mit Hilfe eines Threads hier angepasst. Aber man ist ja lernfähig.

Ports nach außen sind eh nur 443 und 6690 offen, der Rest ist zu. Sachen wie Vaultwarden, Photos, Kalender, Kontakte etc. laufen über den Reverse Proxy. Damit sollte das Thema erledigt sein, wenn ich dich richtig verstehe.

Muss dann trotzdem für jedne Dienst ne Regel rein? Ich denke nicht oder?

Das Blocklist script muss ich mal noch einbauen.