Firewall blockiert ausgehende Verbindungen - Lösung

[goetz]

Hallo,
wie bereits mehrfach vermeldet blockiert die eingerichtete Firewall auf der DS sämtlichen von ihr initiierten Netzwerkverkehr (nicht mal ein Ping zum Router geht). Alle Anfragen gehen zwar raus aber die Antworten werden blockiert.
iptables meldet folgendes:

DS411plusII> iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 6690,1723,137,138,139,445,111,2049,892,80,5000,22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1194,161,111,2049,892
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

d.h. für die konfigurierten Ports ist INPUT erlaubt, alles andere wird verworfen. Hier fehlt nun eine Regel in der INPUT chain. Diese Regel erlaubt alle bereits initiierten und akzeptierten Verbindungen.

iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Mit -I INPUT 1 wird die Regel an die erste Stelle der INPUT chain gestellt.

DS411plusII> iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
modprobe: chdir(2.6.32.12): No such file or directory
modprobe: chdir(2.6.32.12): No such file or directory
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 6690,1723,137,138,139,445,111,2049,892,80,5000,22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp spt:137
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           multiport dports 1194,161,111,2049,892
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Gruß Götz

 

[jahlives]

d.h. Synology hat hier echt sehr grossen Mist gebaut. sorry aber das ist peinlich Haben sie das bei allen Modellen verbockt?

 

[DKeppi]

Also bei der 712+ auf alle Fälle...

 

[rotadrep]

so wie es bei mir aussieht auch bei der DS211

 

[jahlives]

kann ein Mod mit entsprechenden Rechten diesen Thread ganz prominent irgendwo festpinnen?

 

[rauppe31]

Also bei der 712+ auf alle Fälle...

Gut zu wissen. Dann warte ich mit dem Update und bleibe bei der Beta

 

[DKeppi]

Gut zu wissen. Dann warte ich mit dem Update und bleibe bei der Beta

Naja...wenn du die interne FW deaktivierst (alles erlauben) gehts ja...und die brauch ich ja eigentlich eh nicht
Also no stress...

 

[ansijuda]

Hallo goetz,

ich habe versucht Deinen Hinweis zu verstehen und umzusetzten, doch kenne ich mich leider nicht so gut mit Linux und Telnet aus.

Mit Telnet funktionieren deine Hinweise nicht so richtig, bzw. der erste Befehl (iptables -nL) führt zu Meldungen die ich nicht verstehen...

Synology-DS212j> iptables -nL
modprobe: chdir(2.6.32.12): No such file or directory
iptables v1.4.2: can't initialize iptables table `filter': iptables who? (do you
need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Ich verwende Windows 7 64-Bit mit den neusten Updates/ServicePacks.

Würdest Du mir einen Tip übermitteln wie welchen Befehl ich wie mit welchem Tool am besten absetze um das Problem zu beheben?

Vielen Dank für deine Unterstützung.

Gruß ansijuda

 

[jahlives]

bist du sicher auch als root angemeldet?

 

[goetz]

Hallo,
im Moment ist Deine Firewall aus und deshalb sind die Kernelmodule entladen. Also Firewall wieder konfigurieren und dann

iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Gruß Götz

 

[ansijuda]

nein, dass wusste ich nicht. Hatte mich mit dem "ADMIN-Konto" angemeldet.

Habe es mittlerweile hinbekommen (mit Anmeldung als root und dem Tool Putty)

Danke für die Unterstützung. )

 

[utzocker]

hatte das Problem auch, danke Goetz, funktioniert wieder mit Firewall

 

[auge]

Danke!
Hab ebenfalls schon den ganzen Nachmittag daran rumgebastelt, aber dass eine Zeile in den iptables fehlt ist mir nicht aufgefallen ...

 

[jahlives]

...aber dass eine Zeile in den iptables fehlt ist mir nicht aufgefallen ...

den Synology-Entwicklern scheinbar auch ned

 

[Matthieu]

Synology hat reagiert, es gibt eine Firmware mit Version 2198.
http://www.synology-forum.de/showthread.html?27652-DSM-4.0-2198-zum-Download-bereit

MfG Matthieu

 

[ansijuda]

Hallo Götz,

habe vom Support den Hinweis bekommen auf 4.0-2198 bezüglich des Problems, dass keine Außenverbindung möglich ist, upzudaten.
Das habe ich gemacht. Der von dir gepostete Hinweis "iptables -I INPUT 1 -m state --state ESTABLISHED,RELATED -j ACCEPT" ist ebenfalls hinterlegt und wird auch korrekt mit dem Befehl "iptables -nL" angezeigt.

Leider geht seit dem Update auf 2198 gar nichts mehr nach Außen. Weder mit aktiver, noch inaktiver Firewall, noch wenn ich sämtliche Firewallregeln lösche.
Kein Update-/Paketserver erreichtbar. Mails werden nach dem Update auch nicht mehr abgeholt.

Leider hat das Update 2198 wohl etwas verschlimmbessert oder hättest Du noch eine Idee oder einen Tipp für mich?

Danke für Deine Unterstützung.

Gruß ansijuda

 

[jahlives]

geht es mittlerweile oder hast du den Fehler immer noch? Falls ja poste doch mal deine kompletten Regeln

 

[pfender]

Also bei der DS111 habe sie es auch vermurkst habe mich gewundert das ich keine Pakete laden konnte ipkg nix lief und der Time Syn. die ganze Zeit Fehler ausspuckt. Ohje

 

[ec66]

Hallo

ich hab auf meine DS 106j die FW 2198 der DS 108j und habe das selbe Problem - mit oder ohne Firewall - ich bekomme keine externe IP-Adresse. iptables ist bereits korrekt.
Bei DSM-Aktualisierung steht unter Status nach einer gewissen Zeit 'Verbindung zum Server fehlgeschlagen"...
Irgendwelche Hinweise?

ec66

 

[rauppe31]

Schau mal unter Systensteuerung->Netzwerk ob noch alles korrekt eingetragen ist.