Firewall mit DSM 4.2 - wie tragt ihr ein Subnetz ein??
- Ersteller ecryptFS
- Erstellt am
- Status
Hallo ecryptFS,
Bücher und Hardware zum Thema gibt es bei Amazon: Firewall mit DSM 4.2 - wie tragt ihr ein Subnetz ein??
Bücher und Hardware zum Thema gibt es bei Amazon: Firewall mit DSM 4.2 - wie tragt ihr ein Subnetz ein??
Nein wie denn auch, es gibt ja keine Firewall-Regeln für VPN im DSM... :/ Fraglich ist, ob es die überhaupt gibt. Fakt ist aber... wenn es keine Möglichkeit gibt die Firewall auf VPN auszuweiten werde ich VPN nur noch für mich verwenden und meine 2 Testpersonen kicken...
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
direkt über die Konsole dürfte es schon gehen 
Dazu erstmal gucken wie das vpn Interface heisst (ifconfig kann da helfen). Dürfte wohl tun0 heissen. Dann kannst du mal mit einer harten Blockregel testen
dann dürfte imho nichts mehr gehen via OVPN ;-)
Allerdings neigen manuelle Regeln dazu, dass sie überschrieben werden sobald der DSM die Firewall Regeln neuschreibt (z.B. nachdem man was im DSM geändert hat und auf Save klickt)
Dazu erstmal gucken wie das vpn Interface heisst (ifconfig kann da helfen). Dürfte wohl tun0 heissen. Dann kannst du mal mit einer harten Blockregel testen
Code:
iptables -I INPUT -i tun0 -j DROP
iptables -I OUTPUT -o tun0 -j DROPAllerdings neigen manuelle Regeln dazu, dass sie überschrieben werden sobald der DSM die Firewall Regeln neuschreibt (z.B. nachdem man was im DSM geändert hat und auf Save klickt)
ganz kastrieren wollte ich ja das vpn interface auch nicht.... ich hab ja noch eine überschaubare Einwahl also lass ichs erst einmal so. Nur generell ja Mist...
Grosses Fragezeichen!!!!!
Wie kann nach einer mehrmonatigen Betaphase so ein Bug auftreten?
Ich hab auch bei Synology einen Security case aufgemacht (VOR 4 TAGEN);
Bisher keine Antwort.
Wie soll man da den anderen Features(mirroring, backup, lun, etc) noch trauen,
Die noch viel fragiler sind?
Bisher war ich von DSM und Synology ueberzeugt;
Aber jetzt.....echr Schade!
Wie kann nach einer mehrmonatigen Betaphase so ein Bug auftreten?
Ich hab auch bei Synology einen Security case aufgemacht (VOR 4 TAGEN);
Bisher keine Antwort.
Wie soll man da den anderen Features(mirroring, backup, lun, etc) noch trauen,
Die noch viel fragiler sind?
Bisher war ich von DSM und Synology ueberzeugt;
Aber jetzt.....echr Schade!
Hey juscom,
ich hab mittlerweile eine Antwort! Problem ist erkannt und es wird an der Lösung gearbeitet.
Und ich wurde auf das nächste Update vertröstet. Vermutlich verwenden die meisten die DS im internen LAN betreiben und kümmern sich da nicht um die Firewall.
Aber es ist und bleibt Software, und da kömmen Fehler entstehen...
Sehr ärgerlich finde ich aber, dass es keine (schnelle + einfache) Möglichkeit gibt, auf die alte Version zurück zu gehen.
Somit bleibt es für mich immer ein "Spielzeug für zu Hause" und kann geschäftlich nie eine Option sein.
Grüße Toby
ich hab mittlerweile eine Antwort! Problem ist erkannt und es wird an der Lösung gearbeitet.
Und ich wurde auf das nächste Update vertröstet. Vermutlich verwenden die meisten die DS im internen LAN betreiben und kümmern sich da nicht um die Firewall.
Aber es ist und bleibt Software, und da kömmen Fehler entstehen...
Sehr ärgerlich finde ich aber, dass es keine (schnelle + einfache) Möglichkeit gibt, auf die alte Version zurück zu gehen.
Somit bleibt es für mich immer ein "Spielzeug für zu Hause" und kann geschäftlich nie eine Option sein.
Grüße Toby
Firewall Rules Issue nach DSM 4.2 update
Hi Tobi,
danke für die Auskunft, dass Du schon eine Antwort von Synology hast.
Das lässt hoffen!
Auch Danke für Deinen Hinweis zum Anwendungsgebiet;
leider läßt dieser keinen optimistischen Ruekschluss zu.
Laut Synology sind die Geräte (Bsp. DS 213+) für den Small Office bzw. Smal Business Bereich.
Sollte also nicht nur ein Speilzeug für Home Anwender sein....
Also, lass uns hoffen, dass ein zielführendes Update nun aus der "BETA" -phase von
produktiven Anwendern kommt. (Ähnlich macht es ja der MS-Riese seit Jahren...Beta Tests in Produktion)
VG und schönen Sonntag
Hi Tobi,
danke für die Auskunft, dass Du schon eine Antwort von Synology hast.
Das lässt hoffen
!Auch Danke für Deinen Hinweis zum Anwendungsgebiet;
leider läßt dieser keinen optimistischen Ruekschluss zu.
Laut Synology sind die Geräte (Bsp. DS 213+) für den Small Office bzw. Smal Business Bereich.
Sollte also nicht nur ein Speilzeug für Home Anwender sein....
Also, lass uns hoffen, dass ein zielführendes Update nun aus der "BETA" -phase von
produktiven Anwendern kommt. (Ähnlich macht es ja der MS-Riese seit Jahren...Beta Tests in Produktion
)VG und schönen Sonntag
Tobi vielen Dank! Ich hab noch keine Rückmeldung.
Interessant wäre ja noch, wie ich User, die sich per OpenVPN einwählen, beschränken kann - hierzu sieht die GUI ja keine Maßnahmen vor.
Ansonsten zur Synology. Die verändert die ganze PC-Landschaft zu hause. Hatte ich früher HTPC, Receiver und ein TV kann heute theoretisch der HTPC wegfallen, weil der Receiver über DLNA alles super verwalten kann - ja oder man nimmt nur den DLNA-fähigen TV, wenn man da keine Ansprüche hat. Auch sind 13 Festplatten - die meisten davon 2-3TB rausgeflogen. 2 Computer konnte ich vermeiden. Die anderen PCs sind nur noch Rechner mit SSD und einer schnellen 1TB-Platte, um Daten von dort zur Synology zu transportieren. Kurzum: ich habe mittlerweile verstanden, wieso ich für einen Atom-Rechner mit Plastik-HDD-Slots (Synology ) 870 Euro bezahlt habe.
Interessant wäre ja noch, wie ich User, die sich per OpenVPN einwählen, beschränken kann - hierzu sieht die GUI ja keine Maßnahmen vor.
Ansonsten zur Synology. Die verändert die ganze PC-Landschaft zu hause. Hatte ich früher HTPC, Receiver und ein TV kann heute theoretisch der HTPC wegfallen, weil der Receiver über DLNA alles super verwalten kann - ja oder man nimmt nur den DLNA-fähigen TV, wenn man da keine Ansprüche hat. Auch sind 13 Festplatten - die meisten davon 2-3TB rausgeflogen. 2 Computer konnte ich vermeiden. Die anderen PCs sind nur noch Rechner mit SSD und einer schnellen 1TB-Platte, um Daten von dort zur Synology zu transportieren. Kurzum: ich habe mittlerweile verstanden, wieso ich für einen Atom-Rechner mit Plastik-HDD-Slots (Synology
) 870 Euro bezahlt habe. Hi zusammen,
@juscom: ja, die Geräte werden für Small Office und Small Business angeboten. Laut Synology auch für größere Unternehmen...
Und genau dort darf sowas nicht passieren! Aber ich würde geschäftlich für VPN und Daten kein System ohne fest definierte Service Level einsetzen... ;-)
Aber da ist man natürlich in ganz anderen Preisregionen. Aber Du hast schon recht. Sowas darf nicht passieren.
Deshalb hatte ich ja auch sofort einen Security Bug gemeldet.
@ecryptFS: Sehe ich genauso! Bei mir macht die Synology auch sehr viel. Umso mehr trifft es mich, wenn etwas davon nicht mehr läuft.
Warten wir mal ab bis wann ein Patch heraus kommt. Und nächstes mal lese ich erst ne Weile Forum, bevor ich aufs Update klickt... ;-) (Was ich dann ja doch wieder nicht mache...)
Grüße Toby
@juscom: ja, die Geräte werden für Small Office und Small Business angeboten. Laut Synology auch für größere Unternehmen...
Und genau dort darf sowas nicht passieren! Aber ich würde geschäftlich für VPN und Daten kein System ohne fest definierte Service Level einsetzen... ;-)
Aber da ist man natürlich in ganz anderen Preisregionen. Aber Du hast schon recht. Sowas darf nicht passieren.
Deshalb hatte ich ja auch sofort einen Security Bug gemeldet.
@ecryptFS: Sehe ich genauso! Bei mir macht die Synology auch sehr viel. Umso mehr trifft es mich, wenn etwas davon nicht mehr läuft.
Warten wir mal ab bis wann ein Patch heraus kommt. Und nächstes mal lese ich erst ne Weile Forum, bevor ich aufs Update klickt... ;-) (Was ich dann ja doch wieder nicht mache...)
Grüße Toby
Hallo Zusammen,
hatte ja einen Security Case bei Synology aufgemacht.
Als Antwort kam recht schnell:
Und
hatte ja einen Security Case bei Synology aufgemacht.
Als Antwort kam recht schnell:
Und
Hallo Zusammen,
hier meine Antwort an Syno Support:
Antwort darauf kam auch promt:
Damit schließe ich hier mit einem: "So weit, so gut!"
VG
juscom
hier meine Antwort an Syno Support:
Antwort darauf kam auch promt:
Damit schließe ich hier mit einem: "So weit, so gut!"
VG
juscom
fpo4711
Benutzer
- Mitglied seit
- 26. Mai 2010
- Beiträge
- 2.772
- Punkte für Reaktionen
- 1
- Punkte
- 0
Hallo Jusom,
dann schreib ihm doch mal bitte zurück wie er hier eine 192.168.0.0 eingeben kann. Das wäre nämlich die korrekte Angabe für ein Subnet mit der Maske 255.255.255.0.
Gruß Frank
Edit: Deine zweite Antwort konnte ich leider erst zu spät lesen. Warum auch immer
dann schreib ihm doch mal bitte zurück wie er hier eine 192.168.0.0 eingeben kann. Das wäre nämlich die korrekte Angabe für ein Subnet mit der Maske 255.255.255.0.
Gruß Frank
Edit: Deine zweite Antwort konnte ich leider erst zu spät lesen. Warum auch immer
Hi fpo4711,
danke, dann sind wir mal wieder der gleichen Meinung!
Denke der Helpdesk versteht das Security Problem als Solches nicht;
der Entwickler gibt nur zurueck, dass es nicht geht.
Wie weiter oben schon gesagt; ich verstehe nicht, wie so etwas in der BETA Phase nicht festgestellt wurde.
Einzige Erklärung dafür, BETA Test haben nur Nutzer ohne FW und anderer in diesem Forum dargestellter Bug's der 4.2 Version teilgenommen.
GGF dem Fakt geschuldet, dass kein Backward möglich ist und man eine wirkliche TEST-Umgebung benötigt.
(Diese habe ich jetzt für mich; ein alte DS110 mit 300GB HD )
Viele Grueße
juscom
danke, dann sind wir mal wieder der gleichen Meinung!
Denke der Helpdesk versteht das Security Problem als Solches nicht;
der Entwickler gibt nur zurueck, dass es nicht geht.
Wie weiter oben schon gesagt; ich verstehe nicht, wie so etwas in der BETA Phase nicht festgestellt wurde.
Einzige Erklärung dafür, BETA Test haben nur Nutzer ohne FW und anderer in diesem Forum dargestellter Bug's der 4.2 Version teilgenommen.
GGF dem Fakt geschuldet, dass kein Backward möglich ist und man eine wirkliche TEST-Umgebung benötigt.
(Diese habe ich jetzt für mich; ein alte DS110 mit 300GB HD
)Viele Grueße
juscom
fpo4711
Benutzer
- Mitglied seit
- 26. Mai 2010
- Beiträge
- 2.772
- Punkte für Reaktionen
- 1
- Punkte
- 0
Hallo juscom,
warum das in der Betaphase so schlecht festgestellt werden konnte, dafür hab ich eine Erklärung. Es betrifft ja nur die GUI. Wenn jetzt schon in der alten Version die Regeln eingegeben wurden und jetzt ein Update zur Beta durchgeführt wurde, dann hat sich nichts geändert und somit funktionierte auch alles einwandfrei.
Erst wenn jetzt mit der 4.2 jemand das über die GUI eingeben will geht es eben nicht. Mich wundert hier nur, das Synology das nicht als erkannten Fehler bestätigt und so schnell wie möglich ändert. Ist, jedenfalls für mich, ein wenig unüblich. Ich geh aber auf jeden Fall davon aus, das das gefixt wird.
Gruß Frank
warum das in der Betaphase so schlecht festgestellt werden konnte, dafür hab ich eine Erklärung. Es betrifft ja nur die GUI. Wenn jetzt schon in der alten Version die Regeln eingegeben wurden und jetzt ein Update zur Beta durchgeführt wurde, dann hat sich nichts geändert und somit funktionierte auch alles einwandfrei.
Erst wenn jetzt mit der 4.2 jemand das über die GUI eingeben will geht es eben nicht. Mich wundert hier nur, das Synology das nicht als erkannten Fehler bestätigt und so schnell wie möglich ändert. Ist, jedenfalls für mich, ein wenig unüblich. Ich geh aber auf jeden Fall davon aus, das das gefixt wird.
Gruß Frank
so richtig professionell schaut der Workaround ja nicht aus, oder?
Hoffentlich entsinne ich mich in ein paar Monaten noch dran.
Hoffentlich entsinne ich mich in ein paar Monaten noch dran.
Gibt es zu dem Thema jetzt schon was neues.
Bin jetzt auch bei dem fehler da ich eine neue regel anlegen wollte.
Muss ich die Firewall regeln manuell bearbeiten oder gibt es schon eine andere lösung?
Bin jetzt auch bei dem fehler da ich eine neue regel anlegen wollte.
Muss ich die Firewall regeln manuell bearbeiten oder gibt es schon eine andere lösung?
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Eine andere Lösung gibt's noch nicht - aber da auf dem Synology-Server vor wenigen Tagen im DSM4.2-Ordner gearbeitet wurde, könnte man vermuten, dass in Kürze eine neue Version herauskommt, wo das vermutlich behoben sein wird.
Du musst nun erst einmal z.B. 172.27.1.1 anstelle von -.0 angeben. Das sieht nur leider total falsch aus
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
