Firewall Beschreibung
- Ersteller Mike1304
- Erstellt am
- Status
Ich verstehe das Ganze wohl immer noch nicht:
Wenn Du in der ersten Regel alle Deine lokalen IPs freigibst, kommst du doch aus dem heimischen LAN nie auf die 2.Regel, oder?
Falls Du aus Deutschland z.B. mit Quickconnect auf die Syno gehst, dann zieht erst Regel 2.
Mein Problem ist:
Ich hab nur eine Ort-Regel Deutschland und sperre mich damit aus.
Zuletzt bearbeitet von einem Moderator:
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.798
- Punkte
- 314
DSM > Hauptmenü > Systemsteuerung > Sicherheit > Register "Konto" > ca. in der Mitte > Freigabe- und Blockierungsliste, sowie Einrichtung vertrauenswürdiger Cients darunter
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Firewallregeln werden von oben nach unten abgearbeitet.
Die Firewall der Syno ist dabei sehr einfach gestrickt, da sie keine boolschen Abweichungen oder Sprünge zulässt wie es eine "richtige" Firewall kann.
Greifst du also auf die Syno zu wird von oben nach unten geprüft, ob dieser spezielle Zugriff erlaubt ist. Wenn ja steigt die Fw an der Stelle aus und alle folgenden Regeln greifen nicht mehr.
Gebe ich also am Anfang mein gesamtes LAN auf allen Ports frei sind alle folgenden Regeln, sofern sie das LAN betreffen, obsolet.
Ein typischer Anfängerfehler!
Die Firewall der Syno ist dabei sehr einfach gestrickt, da sie keine boolschen Abweichungen oder Sprünge zulässt wie es eine "richtige" Firewall kann.
Greifst du also auf die Syno zu wird von oben nach unten geprüft, ob dieser spezielle Zugriff erlaubt ist. Wenn ja steigt die Fw an der Stelle aus und alle folgenden Regeln greifen nicht mehr.
Gebe ich also am Anfang mein gesamtes LAN auf allen Ports frei sind alle folgenden Regeln, sofern sie das LAN betreffen, obsolet.
Ein typischer Anfängerfehler!
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.669
- Punkte für Reaktionen
- 1.566
- Punkte
- 314
Unzufrieden bin ich mit dem Pi erstmal nicht, da sowohl Pi-Hole als auch OpenVPN absolut zufriedenstellend laufen. Aktuell spiele ich hier auch ein wenig mit iptables, fail2ban, Logwatch usw. rum, aber das auch nur, weil ich gerne über den eigenen Tellerand schaue und neugierig bin, wie das alles funktioniert und wie man das konfiguriert. Aber der Pi ist und bleibt für mich nur eine kleine Bastelkiste worauf ich mich austoben kann. Richtig interessant wird es erst, wenn man anfängt mit einer "echten" Hardware Firewall rumzuspielen die dann auch VPN, V-LAN's und jede Menge von Haus aus mitbringt. Das Kannst du mit der Fritzbox nämlich alles vergessen. VPN ist zu lahm, V-LAN kann das Teil schon mal garnicht und die Firewall - wenn man sie denn so nennen will - ist auch Lichtjahre von dem entfernt, was eine "richtige" Firewall einem so bietet. Aber gut, das wird hier langsam echt Off Topic... auch mache ich das immer nur aus Spaß an der Freud. Brauchen tu ich das wohl alles nicht, aber ausprobieren will ich das alles gerne mal.
Zum Rest...
Ich fühle mich in meinem eigenen Netzwerk eigentlich sicher, auch wenn das hier berechtigter Weise als Trugschluss gesehen wird. Daher habe ich mein LAN in der DS-Firewall auch komplett freigegenen. Die GeoIP Sperre für D habe ich auch nur drin, weil ich hin und wieder mal mit WebDAV, http bzw. https Verbindungen inkl. Portweiterleitung von der Fritzbox und DDNS nach Extern spiele. Da dieses aber nur temporär und eher selten vor kommt um z.B. mein LetsEncrypt Certifikat über den Port 80 der DS zu erneuern, halte ich diese Konfiguration für absolut ausreichend. Ansonsten läuft eh alles per VPN und da halte ich es für Blödsinn auf der DS noch weitere Regeln aufzubrummen. Aber jeder so wie er mag.
Warum beim TE bei Verwendung der GeoIP Sperre dazu führt, das die VU den Dienst quittiert, würde mich auch mal interessieren. Wo genau steht denn dein VPN-Server? Ist das die Diskstation, der Router oder evtl. ein externer VPN-Dienst? Das wurde glaub ich noch garnicht geklärt.
Tommes
Ich bin zu Hause in Deutschland im LAN (nix mit VPN), die VU spielt eine Film von der Syno.
Ich gebe für LAN Ort=DE ein.
Bei OK bleibt die VU stehen und die Syno sagt mir, dass ich mich gerade selbst aussperre.
Sie lässt die Änderung nicht zu und alles ist wieder ok.
Meine Frage ist:
Wie erkennt die Syno in welchem Land ich bin?
https://www.dein-ip-check.de/ sagt für IPv4 und IPv6: country DE
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Nochmal: DE ist nicht die IP deines LAN. Die LAN IPs 192.168.x.x werden weltweit verwendet.
Wenn du DE erlaubst wird alles andere gesperrt, auch diese öffentlichen, für den Privatanwender freigegebenen IP-Bereiche.
Wenn du DE erlaubst wird alles andere gesperrt, auch diese öffentlichen, für den Privatanwender freigegebenen IP-Bereiche.
ok, was macht dann Sinn um im LAN IP bzw Ort einzuschränken?
IP z.B. bei Fritzbox 192.168.178.1 - 999 ?
IP z.B. bei Fritzbox 192.168.178.1 - 999 ?
sorry für die dummen Fagen,
ich hab in der Fritzbox für die Syno freigeben:
- IPv4 port 5001
- IPv6 port 5001
- IPv6 port 1199
außerdem sind diverse Ports für FritzBox Dienste offen
am Schlimmsten: Die Fritzbox hat selbständig alle Ports für die Syno IPv6 geöffnet, das ist der Grund warum ich mich mit Firewall überhaupt beschäftige.
Alle ports IPv6 für Syno ist in den Freigaben nicht sichtbar, nur wenn man in Diagnose/Sicherheit reinschaut.
Was kann ich jetzt unter LAN oder VPN machen um mein Risiko zu reduzieren???
-
ich hab in der Fritzbox für die Syno freigeben:
- IPv4 port 5001
- IPv6 port 5001
- IPv6 port 1199
außerdem sind diverse Ports für FritzBox Dienste offen
am Schlimmsten: Die Fritzbox hat selbständig alle Ports für die Syno IPv6 geöffnet, das ist der Grund warum ich mich mit Firewall überhaupt beschäftige.
Alle ports IPv6 für Syno ist in den Freigaben nicht sichtbar, nur wenn man in Diagnose/Sicherheit reinschaut.
Was kann ich jetzt unter LAN oder VPN machen um mein Risiko zu reduzieren???
-
- Mitglied seit
- 10. Mai 2015
- Beiträge
- 9.139
- Punkte für Reaktionen
- 1.798
- Punkte
- 314
Ich bin auch nicht der Netzwerkspezialist, aber soweit ich das Verstanden habe gibt es für IPv6 keine Freigaben und Portweiterleitungen, da ja die Endgeräte direkt über ihre weltweit einmalig vergebenen mac Adressen angesprochen werden.
Aber mal schauen was die Netzwerkspezialisten dazu noch sagen. Ich meine mal gelesen zu haben dass dies nur für die "alten" IP v4 Adressen gilt.
Aber mal schauen was die Netzwerkspezialisten dazu noch sagen. Ich meine mal gelesen zu haben dass dies nur für die "alten" IP v4 Adressen gilt.
Hallo,
ich zitiere NSFH
Gruß Götz
ich zitiere NSFH
Du musst als erstes die lokalen Geräte die auf die DS zugreifen dürfen freigeben, als erstes Deinen PC und die VU (sowie weitere Smartphones und Tablets, max 192.168.xxx.1 - 192.168.xxx.254), diese Adressen sind privat und werden weltweit benutzt, da greift kein DE Filter.
Gruß Götz
Wenn ich das richtig sehe, kann ich nur entweder IP oder Ort einschränken.
Macht eine Einschränkung auf 192.168.178.1 bis 255 Sinn?
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 623
- Punkte
- 174
Ich für meinen Teil habe beschlossen, dass mein privates Netz daheim immer auf die DS drauf darf.
Da kann man jetzt drüber streiten, weil ein Gerät infiziert sein könnte.
Ja, die Möglichkeit besteht, aber seien wir doch mal bisserl realistisch, wer sich mit bedacht und Hirn-V2 im Netz bewegt, sollte sich nicht alle Nase lang 'böse Software' einfangen.
Diese Einstellung muss nicht jeder mit mir teilen.
Jeder soll mit seiner Ansicht zufrieden sein und mit bestem Wissen und Gewissen dazu stehen.
Da kann man jetzt drüber streiten, weil ein Gerät infiziert sein könnte.
Ja, die Möglichkeit besteht, aber seien wir doch mal bisserl realistisch, wer sich mit bedacht und Hirn-V2 im Netz bewegt, sollte sich nicht alle Nase lang 'böse Software' einfangen.
Diese Einstellung muss nicht jeder mit mir teilen.
Jeder soll mit seiner Ansicht zufrieden sein und mit bestem Wissen und Gewissen dazu stehen.
Ich will hier keinen Antreiben. Und ich muss sagen, deiner Ansicht war ich lange Zeit auch. Aber nun wird es in meinem Umfeld immer öfter deutlich, welche Vorteil homogene Netzwerkstrukturen bieten.
Tasmoa-Schalter, Sonos&Alexa, Viera... Alles Geräte die wie selbstverständlich heute in Heimnetzen agieren. Dazu kommen Switches, WindowsPCs, SmartphoneOSs usw. usf.
Es ist für meinen Geschmack nicht mehr klar abgrenzbar, welche Angriffsvektoren sich bei solch heterogenen Strukturen ergeben. Also wird aufgeteilt, geroutet und geblockt. Spaß macht mir das aber auch nicht.
Tasmoa-Schalter, Sonos&Alexa, Viera... Alles Geräte die wie selbstverständlich heute in Heimnetzen agieren. Dazu kommen Switches, WindowsPCs, SmartphoneOSs usw. usf.
Es ist für meinen Geschmack nicht mehr klar abgrenzbar, welche Angriffsvektoren sich bei solch heterogenen Strukturen ergeben. Also wird aufgeteilt, geroutet und geblockt. Spaß macht mir das aber auch nicht.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
So wie es andiheitzer oben gemacht hat kannst du es auch machen, aber für jeden Dienst einzeln, nicht alle Ports dafür freigeben sonmdernn nur das was wirklich benötigt wird. Es gibt dann u.U. auch Geräte, wo du nur einzelne IPs im LAN freigeben kannst.
Leider taugen die Firewalls der SoHo Router nicht viel, da diese nur einseitig blocken. Eine richtige Firewall kann auch ausgehenden Verkehr regeln, so wie es zB die Windows Defender Firewall macht.
Leider taugen die Firewalls der SoHo Router nicht viel, da diese nur einseitig blocken. Eine richtige Firewall kann auch ausgehenden Verkehr regeln, so wie es zB die Windows Defender Firewall macht.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
