DSM 7.1 Firewall-Konfigurationsfragen zu Profilen und Regeln

RT76

Benutzer
Mitglied seit
18. Mrz 2016
Beiträge
39
Punkte für Reaktionen
2
Punkte
8
Hallo, ich habe einige Fragen zur Firewall-Konfiguration. Ich kenne mich eigentlich mit Firewalls aus, will mich aber nicht durch einen Fehler aus dem DSM aussperren. Ich habe mir mehrere YouTube-Videos angeschaut, aber jeder erzählt da was anderes...

Frage 1: Was machen, wenn man sich aussperrt?

Frage 2: Wenn es zwei Firewall-Profile gibt, "default" und ein eigenes "1", sind dann beide aktiv (wenn darin eine Regel aktiv) ist oder wird nur das aktuell ausgewählte benutzt, wie hier zu sehen also Profil "1". Oder wird auch das Profil "default" abgearbeitet?

firefox_2023-06-28_19-16-01.jpg
Frage 3: Falls alle Profile abgearbeitet werden, muss am Ende als letzte Regel bei jedem Profil ein DENY ALL stehen um Zugriffe die nicht expliziert freigeschaltet sind abzublocken. Oder lang das in einem Profil?

Soweit erstmal. Vielen Dank für eure Antworten.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Zu 1:
Mit den neueren DSM Versionen passiert das nicht mehr. Wenn das aktuelle Regelwerk den aktuell angemeldeten PC bannen würde, verweigert DSM die Speicherung.
Und selbst, wenn es doch passiert, kommst du easy mit dem einfachen Reset wieder rein.
Zu 2:
Es werden immer nur die Regeln vom aktiven Profil angewandt.
Zu 3:
Hat sich mit Frage 2 wohl erledigt.
 
  • Like
Reaktionen: RT76

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
  1. Du kannst dich eigentlich nicht aussperren, weil DSM alle Regeln mit Fehlermeldung verhindert, die dich aussperren würden.
  2. Es ist das ausgewählte und angezeigte Profil aktiv.
  3. Ja, ich habe zum Schluss quasi Deny All Other gesetzt, wie viele andere hier auch, um alles andere, als das explizit erlaubte zu unterbinden, reicht aber im aktuellen Profil, siehe Frage 2.
 
  • Like
Reaktionen: RT76

RT76

Benutzer
Mitglied seit
18. Mrz 2016
Beiträge
39
Punkte für Reaktionen
2
Punkte
8
Danke. Trotzdem hier ein Beispiel:

firefox_2023-06-28_19-27-38.jpg

firefox_2023-06-28_19-26-50.jpg

Frage 4: Würde ich Profil "default" auswählen, wäre alles dicht (ggf. inkl. selbst aussperren) und Profil "!1" ist ohne Wirkung? Ja/Nein

Frage 5: Würde ich Profil "1" auswählen, wäre alles offen, die lokalen Subnetz plus extern, weil DENY ALL fehlt am Ende und Profil "default" ja nicht ausgewählt ist? Richtig?

Frage 6: Kann es sein, dass DSM alle IPs Subnetze, die einer der LAN-Ports zugeteilt ist, automatisch frei schaltet für intern + extern? (Warum ich das frage, erklärt ich später)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
4:
ja, dann wäre alles dicht. Speichern kannst du aber wie gesagt nicht, da das DSM verhindert.
Wenn am Ende keine deny Regel steht, ist die Firewall fürn Ar***
5:
jap
6:
Nein, kann nicht sein und ist auch nicht so
 
  • Like
Reaktionen: RT76

RT76

Benutzer
Mitglied seit
18. Mrz 2016
Beiträge
39
Punkte für Reaktionen
2
Punkte
8
Und IP-Adressen die hier eingetragen werden (Sicherheit/Schutz) haben auf die Firewall keinen Einfluss, sondern nur irgendwie auf die Anmeldung:
a) für DSM?
b) für DSM und SMB?


1687974705115.png
 

Anhänge

  • 1687974637518.png
    1687974637518.png
    60 KB · Aufrufe: 5

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Diese Einstellung bewirkt nur, dass dort hinterlegte IP-Adressen nicht geblacklistet werden, falls zu viele falsche Anmeldeversuche passieren
EDIT: Und du siehst dort IP-Adressen, die aktuell geblockt sind wegen genannten Anmeldeversuchen
Dies gilt DSM global, also für alle Dienste, die DSM anbietet. Dies inkludiert auch SMB
 

RT76

Benutzer
Mitglied seit
18. Mrz 2016
Beiträge
39
Punkte für Reaktionen
2
Punkte
8
Damit die Active Backup-Clientsoftware (Windows) auf externen PCs (außer Haus) noch funktionieren, muss Port 5510 als erlaubte Regeln aktiv sein? Oder erfolgt der Zugriff vom NAS in Richtung Client? (vermutlich nicht, weil der Client sich ja mit Passwort anmelden muss)

Müssen weitere Ports/Dienste freigegeben werden? z.B. für Zerifikatupdate?
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Du kannst letztendlich DSM unter Einstellungen → Sicherheit → Firewall → Allgemein so einstellen, dass es dir benötigte Ports anzeigt, dann brauchst du manuell nichts mehr einzustellen, das ist die untere der beiden Checkboxes. Das QC- und das Synology.me-Zertifikat wird über 80/443 aktualisiert.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

RT76

Benutzer
Mitglied seit
18. Mrz 2016
Beiträge
39
Punkte für Reaktionen
2
Punkte
8
WebDAV muss ich jetzt explizit freigeben, aber ich wundere mich, dass am Handy DS FILE weiterhin Zugriff hat (über Quickconnect-ID). Bin extra in ein fremdes WLAN, kommt aber mit DS FILE rein. Liegt vermutlich am Quickconnect, dass immer geht?!
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
QuickConnect funktioniert nach dem Hole-Punching Prinzip (ähnlich wie TeamViewer) und "umgeht" Firewalls.
 
  • Like
Reaktionen: RT76

RT76

Benutzer
Mitglied seit
18. Mrz 2016
Beiträge
39
Punkte für Reaktionen
2
Punkte
8
Jawohl, QuickConnect.to/... geht weiterhin.

Vielen vielen Dank für die superschnellen Antworten.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Alles klar.
Dann viel Spaß beim Zunageln der DS! 😁
 
  • Love
Reaktionen: RT76


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat