Firewall Geoblocking funktioniert nicht wie erwartet

[LF16]

Guten Abend,
ich bin seit ein paar Tagen Besitzer meiner ersten NAS (DS920+) und versuche gerade meine Firewall einzustellen. Dies will leider nicht so funktionieren wie ich es gerne hätte - ich hoffe ihr könnt mir weiterhelfen.
Auf der NAS habe ich Nextcloud via Docker laufen, welches ich gerne extern zugänglich machen würde. Dafür habe ich bisher einen reverse Proxy eingerichtet, ein Zertifikat erstellt und dieses aktiviert. Nextcloud ist nun extern via https erreichbar und alles funktioniert wie gewünscht (ohne Synology Firewall).

Nun würde ich gerne via Firewall den Zugriff auf Deutschland beschränken. Für den Anfang habe ich mal folgende drei Regeln für alle Schnittstellen angelegt:

1. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: 192.168.10.0/255.255.255.0 | Zulassen
2. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: Deutschland | Zulassen
3. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: Alle | Verweigern

Sobald ich jetzt die Firewall aktiviere, komme ich nicht mehr auf meine Nextcloud - der Seitenaufbau dauert extrem lange, bis die Meldung "Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden." mit Synology Logo erscheint.
Via VPN habe ich es mal aus anderen Ländern versucht, hier endet es mit einem Time-out (NSURLErrorDomain) statt Synology Fehlermeldung. Da scheint ja schon irgendetwas zu funktionieren, aber definitiv nicht so wie ich es mir vorgestellt habe.
Was übersehe ich da?

 

[Dummbatz]

Naja,

so haut das nicht hin. In der Regel werden die der Reihe nach abgearbeitet und dann steht da:

Erlaube Deutschland und dann kommt verbiete Alle..

 

[LF16]

Ist es nicht so, dass die Firewall Regeln von oben nach unten abgearbeitet werden und wenn eine Regel zutrifft, diese angewandt und alle darunter stehenden Regeln für diese Anfrage ignoriert werden?

Also:
lokale Anfrage? Ja -> durch lassen
lokale Anfrage? Nein -> aus Deutschland? Nein -> Blocken
lokale Anfrage? Nein -> aus Deutschland? Ja -> durch lassen

Oder wie müsste meine Firewallkonfiguration dann aussehen?

 

[Dummbatz]

Hmm.. jetzt haste mich verunsichert ... lol

Versuch doch einfach mal Deine zweite Version:

okale Anfrage? Ja -> durch lassen
lokale Anfrage? Nein -> aus Deutschland? Nein -> Blocken
lokale Anfrage? Nein -> aus Deutschland? Ja -> durch lassen

 

[LF16]

Hmm.. jetzt haste mich verunsichert ... lol

Versuch doch einfach mal Deine zweite Version:

Ich habe es herausgefunden... So funktioniert nun alles:

1. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: 192.168.10.0/255.255.255.0 | Zulassen
2. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: 172.18.0.0/255.255.0.0 | Zulassen
3. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: Deutschland | Zulassen
4. Aktiviert | Alle Ports | Alle Protokolle | Quell-IP: Alle | Verweigern

Regel Nr. 2 hat gefehlt - das Docker Subnet war nicht Teil meiner Firewall, so konnte natürlich auch keine Verbindung hergestellt werden....
Danke für die Hilfe!

 

[blurrrr]

Regeln werden von oben nach unten abgearbeitet - was zuerst "passt" zählt, der Rest wird nicht mehr abgearbeitet. Euch zieht ja auch kein Türsteher aus dem Laden mit dem Spruch "Ne sorry, hab es mir doch grade anders überlegt"