Firewall-Einstellungen für ABSOLUTEN Internetblock

[Laura]

Hallo Leute,

ich würde meine Synology Firewall gerne so konfigurieren, dass absolut kein Zugriff über das Internet möglich ist. Ich dachte mir, dass ich einfach alle IPs blockiere außer alle mit 192.168.x.x. Macht das Sinn? Dabei bin ich auf folgendes Problem gestoßen. 0.0.0.0 und 255.255.255.255 wird nicht als kleinste bzw. größte IP akzeptiert. Welche IP-Ranges gebe ich da am besten ein? Wie würdet Ihr es machen? Gibt es auch einen MAC-Adressen Filter in Firewall?

Viele Grüße,
Laura

 

[Ulfhednir]

Das ist, wie man so schön sagt, mit Kanonen auf Spatzen schießen. Ich behaupte einfach mal, dass dies gar nicht notwendig ist. Wenn du in deinem Router keinerlei Portfreigaben eingerichtet hast, benötigst du meines Erachtens auch keine großen Firewall-Einstellungen.
Hast du zig User im Heimnetz und jedem im Ansatz verwehren auf die Login-Seite deines NAS zu kommen? Oder weswegen möchtest ebenfalls dein komplettes Heimnetz sperren? Wenn du eine MAC-Sperre möchtest, kauf dir eine SOPHOS-Firewall o.ä.

Für gänzlich paranoide hilft auch eine zweite Netzwerkkarte am PC mit anderer Netzadressierung. Klemm das NAS direkt am PC ran.

 

[frankyst72]

aber die Frage ist nicht schwer zu beantworten.

Du lässt einfach für Deinen IP-Bereich (192.168.x.2 bis 192.168.x.255) alles zu und sonst "verweigerst" Du alles. 192.168.123.2 deshalb, weil mein Router die 192.168.123.1 hat (ich weiß nicht, ob das notwendig ist, bin da kein Experte). Ich habe das hier mal exemplarisch für meine LAN-Schnittstelle 2 gemacht.




Aufpassen da sperrt man sich selbst schnell mal aus, wobei ein (doppelter) Reset dann hilft.
Ggf. kannst Du auch noch die Ports einschränken

 

[Laura]

Danke für die Antworten. Ich hab die Firewall jetzt so eingerichtet. Welche Ports sollte ich denn sperren? Ich benutze eigentlich nur die Filestation, Plex und mache TimeMachine-Backups. Mac-Adressen Filter gibt es demnach nicht?

 

[frankyst72]

Mac-Filter sind Schall und Rauch, Du kannst bei jeder Netzwerkkarte die physikalische Mac mit einer beliebige Mac-Adresse überschreiben und Dich damit als einen anderer Rechner ausgeben. Und da bei der Kommunikation im Netzwerk die ganzen Mac-Adressen mitgeliefert werden, sind die notwendigen leicht auszulesen.

Meinst Du wirklich, dass das mit den Ports in Deinem lokalen Netz notwendig ist? Vertraust Du Deinem Netz gar nicht?

Aber hier die Portliste von Synoplogy > https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
und die von Plex > https://support.plex.tv/hc/en-us/ar...ports-do-I-need-to-allow-through-my-firewall-

Aber pass auf, das Du Dich nicht aussperrst! Lass Dir vielleicht ein Hintertürchen offen, dass Du erst nach erfolgreichem Test schließt.
Ich würde wenigstens die für Synology Assistant, DSM (Du musst die DS ja noch administrieren können) und CIFS (wenn Du mit einem Windowsrechner auf Dateien der DS zugreifst) offen lassen.

 

[TheGardner]

Du bist zu überempfindlich Laura! Hier mal meine Firewall-Einstellungen:



Und die Erklärung dazu:

1. Ein paar Länder (Regionen) werden komplett gesperrt, weil ich weiss, dass ich von dort keinerlei Zugriffe erwarte (für Dich erstmal uninteressant, d.h. brauchst Du nicht, wenn Du alle Deine Regeln auf Deutschland beschränkst)
2. Windows-Dateiserver - dabei handelt es sich um den Zugriff von den Rechnern aus dem eigenen Netzwerk via Netzlaufwerk oder Ordnerfreigabe (es werden*dabei lediglich die Geräte aus dem eigenen Netzwerk [192.168.0.0] erlaubt).
3. DLNA/UPNP Zugriff (quasi der DLNA Zugriff für Geräte in meiner Wohnung)
4. 8030/8080 - Regel für den Testzugriff von zwei Anwendungen von mir (für Dich uninteressant)
5. Mail Server - Regel für den Zugriff von Usern auf ihre Mails (erlaubt für verschiedene aber nicht alle Länder)
6. Regel für das Anpingen des NAS*weltweit
7. Regel für die Verwaltungsprogrammoberfläche
8. Regel für die Web-Station
9. Regel für den FTP Server
10. Regel für den mySQL Zugriff
11. Regel für den verschlüsselten Terminal Zugriff
12. Regel für den*webDAV Server

und schlussendlich für Dich/jeden ganz wichtig:

13. Regel, dass alles andere blockiert wird, was nicht oberhalb erlaubt wird.

Für Dich sind wahrscheinlich nur die folgenden Regeln überhaupt interessant - 2, 3 und 8. Grenzt Du diese Regeln dann auf Dein lokales Netz (z.B. 192.168.x.x) ein und verwendest unten den "Zugriff verweigern" Knopf, kann niemand aus dem Internet darauf zugreifen!
Das sollte sowieso nicht möglich sein, da in Deinem Router wahrscheinlich keine Weiterleitungsregeln aktiviert sind!

ABER VORSICHT: Wenn Du den "Zugriff verweigern" Knopf ganz unten verwendest, stelle 100% sicher, dass Du Regel 8 "Verwaltungsprogrammoberfläche" oberhalb erlaubst, sonst schließt Du Dich selbst aus und kommst ohne Tricks nicht mehr auf Dein NAS drauf.

DES WEITEREN: bedeutet eine Regel beschränkt auf die Region Deutschland, dass auch eigene IPs (z.B. 192.168.x.x) aus dem eigenen Wohnbereich, NICHT mehr auf die DiskStation draufkommen. Also denke dran - entweder 192.168.x.x ODER Regionsbeschränkungen zu*verwenden!
Laut Deiner Frage oben, gehe ich davon aus, dass Du nur 192.168.x.x Beschränkungen bei Dir anwenden solltest!

Wenn Du Dir nicht sicher bist, dann hefte doch hier einfach einen Screenshot Deiner Einstellungen, bevor Du diese abspeicherst und wir sagen Dir dann, ob das so okay ist!