Firewall IP Adressbereiche sperren

[FrankE75]

Ich bereibe meine DS mit eigener Domain und ist von extern erreichbar. Obwohl ich in der Firewall nur Zugriff von deutschen IPS erlaube habe ich Login versuche auf den Mailserver aus den USA, Kirgistan usw.
Sind vielleicht die Standardadressbereiche IP Adressen der Länder nicht korrekt oder vollständig?

Hat jemand Erfahrung, ob das blockieren von Adressbereichen außerhalb von Deutschland funktioniert bzw. zuverlässig ist?

By the way, gibt es Erfahrungen, wie sicher die DS für unbefugten Zugriff ist?

 

[diver68]

Sicher, dass nicht irgendwo in deiner FW der Mailserver erscheint? Hatte ich nämlich auch. Ich habe meine FW jetzt so weit runter gekürzt und habe seitdem meine Ruhe. Je, nachdem in welchem Land ich mich befinde, mache das jeweilige Land "frei".

 

[Frogman]

Sind vielleicht die Standardadressbereiche IP Adressen der Länder nicht korrekt oder vollständig?

Die Firewall nutzt die GeoIP-Daten von hier. Wie auch bei vergleichbaren Diensten ist die Abdeckung nicht 100%, nur sehr nahe dran.

Hat jemand Erfahrung, ob das blockieren von Adressbereichen außerhalb von Deutschland funktioniert bzw. zuverlässig ist?

Grundsätzlich funktioniert es. Aber es gibt nun mal diverse Mittel und Wege, Geo-Filter zu umgehen... und davon machen nicht nur videophile Zeitgenossen Gebrauch...

By the way, gibt es Erfahrungen, wie sicher die DS für unbefugten Zugriff ist?

Was möchtest Du denn hier hören? Bei einer Forensuche findest Du diverse Dinge zu sicheren Passwörtern und Optimierungen bei der OpenSSL-Konfiguration. Hier kannst Du mal testen, wie es um Deine DS bestellt ist.

 

[FrankE75]

ich denke, ich habe den Fehler bei mir gefunden. Ich hatte nicht zwischen den Schnittstellen differenziert.
Jetzt habe ich auf LAN2, die nach außen geht, Standard verweigern und nur Anwendungen und IP aus Deutschland aktiviert.
LAN1 - eigenes Subnetz nur interne IP Bereiche

 

[FrankE75]

@Frogman

Danke für die Info. Die Testseite bringt mich nicht weiter, Ausgabe: Unable to connect to server - failed to connect to the server
Er ist aber UP und erreichbar

 

[rednag]

Welche Domain wird denn getestet? Also Eingabe in Form www.domain.de? Zeigt diese auch per CNAME-Record auf Deine DS/Router?

 

[FrankE75]

Die URL wird richtig aufgelöst

 

[rednag]

Evtl. liegt es daran, daß bei Dir auf Port 443 der DSM lauscht. Abgesehen davon würde ich sowas nie tun.

 

[FrankE75]

Ist das - abgesehen von VPN - nicht die beste Möglichkeit externen Zugriff zu erlauben?

 

[rednag]

Prinzipiell mag das schon so stimmen, aber der komplette DSM gehört nicht ins Internet.
Dafür gibts die File Station die Du über einen Alias auch zugänglich machen kannst.

 

[FrankE75]

Das verstehe ich nicht. Worin genau besteht die Gefahr? Die Filestation wird von extern nicht benötigt, benötigt wird eMail und Photo

 

[Frogman]

Er meint, dass man das DSM-Interface nicht ins Netz stellen sollte - denn das braucht man eigentlich nie... und wenn, sollte man dafür besser einen VPN nutzen.
Alle Dienste wie Mailserver, Webserver, Photostation usw. lassen sich übern dedizierte Ports und den allgemeinen https-Port nutzen - dann mit der jeweiligen Funktionalität.

 

[rednag]

Nun, Port 443 ist bekannt für SSL/TLS. Somit landet erstmal jeglicher Traffic an Deiner DS. Zum anderen kannst Du auch die PS oder Mail per Alias zugänglich machen. Wenn jemand das PW nebst User errät, kann er in z. B. File Station schilmmstenfalls Dateien löschen. In DSM kann er dann aber z. B. Deine DS auf Werkseinstellung setzen.
DSM gehört nicht ins Internet! Es gibt vielleicht auch andere User, die wollen immer Zugriff auf sämtliche Dienste haben, aber seien wir doch ehrlich. Wie oft brauchen User direkt Zugriff auf DSM. Webmail und Photo Station wird per Alias zugänglich gemacht und fertig.

Edit:

Bei der Geschwindigkeit die @Frogman an den Tag legt kann ich nicht mithalten

 

[rednag]

Zurück zum ursprünglichen Thema.
So sollte das im großen und ganzen aussehen:

Anhang anzeigen 33820

 

[FrankE75]

Verstanden, Danke
Macht natürlich absolut Sinn, dann werde ich mich mal mit dem Alias beschäftigen

 

[FrankE75]

@rednag
Kann den Anhang nicht sehen

 

[rednag]

 

[FrankE75]

Ihr habt geschrieben, dass das DS Interface nicht ins Internet gehört.
Das ist mir noch nciht ganz klar, wie und wo deaktiviere ich das?
Wenn z.B. Mail genutz werden soll, dann Aliass anlegen und direkt per DNS Eintrag auf domain.de/mailaliass umleiten?
Wie genau realisiere ich das?

 

[rednag]

Am einfachsten ist natürlich Port 5000/1 im Router sperren.
Mailstation kannst Du über einen Alias erreichen. z. B. in Form domain.de/mail oder mit einem vHost mail.domain.de

 

[TheGardner]

Rednags Beitrag bedeutet:

Systemsteuerung - Anwendungsportal