Firewall auf DS als VPN-Client aktivieren

ape12 · 19. Nov 2014

Hallo zusammen,

leider konnte ich bisher nicht die nötigen Informationen finden, die mir meine Frage beantworten.

Ich habe meine DS über OpenVPN bzw. IPsec mit einem VPN-Server/Provider verbunden. Leider kann ich nicht immer ausschließen, dass der VPN-Server vertrauenswürdig ist und möchte daher jeglichen Zugriff von Außen unterbinden.

Ist für mein Vorhaben dieser iptables-Eintrag ausreichend oder was sollte ich sonst noch beachten?

Rich (BBCode):

iptables -A INPUT  -i tun0 -j DROP

Schon mal vielen Dank!
Gruß,
Markus

Anzeige · 19. Nov 2014

Hallo ape12,

Bücher und Hardware zum Thema gibt es bei Amazon: Firewall auf DS als VPN-Client aktivieren

cyorps · 20. Nov 2014

Was meinst du mit "nicht immer ausschließen" genau? Denn entweder ist der Server vertrauenswürdig oder er ist es nicht! Hm!? Wenn ich mir deine iptables-Regel anschaue, ist es bezogen auf deinen Wunsch der richtige Weg. Die gesamte, von außen kommende Kommunikation auf den Tunneladapter würde blockiert werden. Ich kann mir aber nicht vorstellen, dass dies das Ziel deiner Intension ist. Denn dann könntest du auch gleich die VPN-Verbindung deaktivieren, was der bequemere Weg wäre. Vielleicht solltest du detaillierter beschreiben, was genau du machst, wo du das Problem siehst und welcher Lösungsansatz dir vorschebt.

ape12 · 20. Nov 2014

Guten morgen und vielen Dank für deine Antwort!

Ok, da habe ich mich undeutlich ausgedrückt. Ganz konkret geht es darum, dass ich ab und zu VPN-Provider wie hide.io verwende und ich mein Netzwerk durch Zugriffe von Außen schützen möchte. Ich möchte, dass lediglich angeforderte Daten von zb. der Download-Station über tun0 empfangen werden.

Gruß,
Markus

g202e · 20. Nov 2014

Was spricht gegen OpenVPN?

ape12 · 20. Nov 2014

Ich kenne mich nicht wirklich mit VPN aus, aber was hat OpenVPN mit der Problematik zutun? OpenVPN ist doch nur ein anderes Protokoll, oder?

g202e · 20. Nov 2014

Nö, OpenVPN ist eine Software mit der man sich ganz hervorragend mit dem VPN-Server auf der Syno verbinden kann. Also solche, dir offensichtlich nicht vertrauenswürdig erscheinenden Anbieter wie hide.io überflüssig macht. OpenVPN nutzt OpenSSL und sollte vertrauenswürdig sein!

jahlives · 20. Nov 2014

ape12 schrieb:
Ich möchte, dass lediglich angeforderte Daten von zb. der Download-Station über tun0 empfangen werden.

mit dieser Regel würde rein gar nichts zugelassen. Weder angefordert noch "unangefordert". Du müsstest mindestens mit den States arbeiten und damit Antworten auf deine Anfragen zulassen

Code:

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun0 -j DROP

ape12 · 20. Nov 2014

Hallo jahlives,

vielen Dank für deine Antwort, das werde ich so mal einbauen!
Kann ich das ganze irgendwie auf Funktion testen?

Gruß,
Markus

Suche

Firewall auf DS als VPN-Client aktivieren

ape12

Benutzer

Anzeige

cyorps

Benutzer

ape12

Benutzer

g202e

Benutzer

ape12

Benutzer

g202e

Benutzer

jahlives

Benutzer

ape12

Benutzer

Kaffeautomat