Firewall: Blocken von gesamten IP-Bereichen

[Oeche]

Hallo!

Eigentlich dachte ich, dass ich über die Firewall meiner DS211+ einen ganzen IP-Adressbereich (z.B. 190.0.0.1 - 190.255.255.255) wie folgt blocken kann:

a) Neue Firewall-Regeln erstellen
b) "Ports alle"
c) Quell-IP: "Single-Host"
d) IP-Adresse: "190.0.0.0"
e) Aktion "Verweigern"

Klappt aber nicht. Die IP 190.208.34.228 ist durchgekommen und erst nach mehreren Fehlversuchen auf die Blockierliste gesetzt worden.

Was mache ich denn falsch?

 

[Ap0phis]

Wie der Name schon sagt, ist ein "single-host" genau "einer"!

Versuch mal das "Teilnetz" mit
IP-Adresse: 190.0.0.0
Teilnetzmaske: 255.0.0.0
zu "verweigern".

 

[Oeche]

Der Unterschied zwischen Single Host und Teilnetz ist doch der, dass bei Single Host der gesamte Netzbereich geblockt wird und bei Teilnetz der Netzbereich weiter eingegrenzt werden kann, oder? Auf den IP-Bereich dürfte dies doch keinen Einfluss haben?

 

[Ap0phis]

Hat Synology dann die Eingabemaske für eine einzelne IP vergessen?

 

[Oeche]

Nein, das ist doch ebenso über Single Host möglich?

Im Wiki konnte ich zu den Firewall-Einstellung nichts finden. Das DS-Handbuch ist zur Firewall ziemlich klein gehalten. Hat jemand eine Idee, wo ich mehr Infos finde? Google hat auch nicht wirklich viel ausgeworfen...

Am liebsten würde ich die IP-Bereiche ja direkt in meiner Fritz!Box sperren und erst garnicht durchlassen. Die Software der Fritz!Box unterstützt dies jedoch überhaupt nicht!

P.S.: Wie oben beschrieben über "Teilnetz" lässt leider die anderen IP's auch durch.

 

[mdcc_fun]

HEy Oeche,

nur mal eine Idee von mir, denn ich habe mich damit noch nicht beschäftigt.
Was passiert wenn du als aller ersten Eintrag Alle Ports und Alle QuellIPs auf Verweigern stellst und danach in aufsteigender Reihenfolge die IP-Adressen mit den gewünschten Port(s) zulässt?
Falls diese Variante funktioniert, ist es natürlich ziemlich aufwändig einzelne IP-Adressen hinzuzufügen.

Gib mal bitte Rückmeldung ob es funktioniert. Danke.

cu mdcc

Edit:
Aber Vorsicht! Du musst deinen PC vorher noch eintragen bevor du auf speichern klickst, denn sonst kommst du nicht mehr auf die DS drauf.
Theoretisch ist die Idee nur sinnvoll, wenn im eigenen Netzwerk PCs blockieren möchte.

 

[Ap0phis]

Also ich habe das gerade getestet, so wie ich es oben beschrieben habe.
Habe meine ext. IP 84.xx.yy.zz mit der "IP-Adresse" 84.0.0.0 und der "Teilnetzmaske" 255.0.0.0 vereigert.
Das funktioniert einwandfrei.

Ohne diese Regel einwandfreier Zugriff per FTP.
Mit dieser Regel: Zeitüberschreitung der Verbindung ... Herstellen der Verbindung zum Server fehlgeschlagen
Regel gelöscht und auf [speichern] geklickt; alles geht wieder.


Nach dem Ändern und Erstellen von Regeln bitte nicht vergessen, noch auf [speichern] zu klicken.

 

[Oeche]

@mdcc_fun: Leider müsste ich da auch einen gesamten IP-Bereich freigeben und hätte das gleiche Problem.

@Ap0phis: Greifst Du von intern oder extern auf Deine DS zu? Bei mir erfolgen die Zugriffe von extern und werden über den Router per Port-Forwarding weitergleitet. Das Blocken der externen IP's will nicht klappten. Ich habe die gleiche Firmware wie Du. Kann es sein, dass die DS denkt, der Zugriff erfolgt über die IP des Routers? Das sollte doch eigentlich nicht sein, wenn die Ports nur weitergeleitet werden...

 

[Ap0phis]

Natürlich greife ich beim Test über meine dyn.dns auf die DS zu.

Wird auch im Protokoll angezeigt: 227 Entering Passive Mode (84,xx,yy,zz,...,..)

 

[BavariaR]

Möchte ich jetzt mal aufwärmen.. mir gehen diese ständigen Angriffe auf SSH Port 22 auf dem Wecker, die werden zwar durch "automatisch blockieren Funktion" abgefangen aber eigentlich möchte das SSH Port nur für ein Subnetz freigegeben, sagen wir 178.0.0.0 mit Maske 255.0.0.0. Wenn ich in der Firewall nun eine Positiv Regel eintrage für das Subnetz für Port 22 und 23 heißt das dann das automatisch alle anderen IP Adressen blockiert sind die Port 22 oder 23 erreichen wollen und nicht aus 178.x.x.x. kommen? So wäre es eigentlich gewolt!
Ich sehe da ja unten noch "wenn keine Regel zutrifft" was mich stutzig macht.

Wenn ich nun "wenn keine Regel zutrifft" dann "Zugriff verweigern" wähle und nur diese eine positiv Regel in der List existiert, sperre ich mich dann auf Port 5001 selber aus, denn ich habe nicht vor positiv Regeln für all Ports und Ip Adressen zu definieren.

Was ich möchte ist nur SSH / Telnet limitieren auf 178.x.x.x. Subnetz??

 

[jahlives]

Wenn ich nun "wenn keine Regel zutrifft" dann "Zugriff verweigern" wähle und nur diese eine positiv Regel in der List existiert, sperre ich mich dann auf Port 5001 selber aus, denn ich habe nicht vor positiv Regeln für all Ports und Ip Adressen zu definieren.

wenn du nicht aus dem 178-er Netz kommst, dann ist das genau works-as-designed. Es gibt ja dann keine Regel, die den expliziten Zugriff in dem Fall erlaubt, also greift der default und der ist block. u müsstest also auch den Port 5001 Zugriff freigeben.
Mach es so: eine Regel die telnet/ssh für das entsprechende Sub freigibt. Dann gleich folgend eine Regel die diese beiden Ports für alle sperrt. Dann kannst du den default Block auch weglassen und kommst noch auf der 5001. Wenn du den default block setzt, dann MUSST du die Ports, die du noch erreichen willst ebenfalls mit Regeln versehen. Das ist ganz normal bei der iptables Firewall

 

[BavariaR]

Habe das jetzt so umgesetzt, hoffentlich richtig

 

[jahlives]

so sollte das klappen Allenfalls noch den expliziten default "erlauben" setzen.
Btw wenn das Teil hinter einem Router läuft würde ich allenfalls auch dort schauen ob man den Zugriff nicht auf Blöcke beschränken kann. So fängst du es eine Station vor der DS ab und das ist eigentlich besser ;-)

 

[BavariaR]

ok danke schon mal jahlives

 

[tobwag]

Hallo zusammen,

Ich bin auch gerade dabei die Firewall zu aktivieren. Der Port 5000 muss ja auch frei gemacht werden sonst sperre ich mich ja selbst aus oder sehe ich das falsch ??

gruß
Tobias

 

[jahlives]

Hallo zusammen,

Ich bin auch gerade dabei die Firewall zu aktivieren. Der Port 5000 muss ja auch frei gemacht werden sonst sperre ich mich ja selbst aus oder sehe ich das falsch ??

gruß
Tobias

kommt drauf an was deine Default Action ist. Wenn es "verwerfen" ist, dann brauchst du eine explizite Regel für den Zugriff auf Port 5000. Allerdings sollte der DSM keine Firewallkonfig zulassen, wo du dich aussperrst. Es gibt eine Fehlermeldung wenn du eine Konfig machst, die deine aktive admin Verbindung killen würde