Firewall nicht brauchbar!

[mabox]

Hallo,
ich habe mich heute mit der Firewall unter DSM 5.1 auf einer 213+ beschäftigt und festgestellt das sie unbrauchbar ist. Ich hoffe es kann mich jemand vom Gegenteil überzeugen.

Mein Ziel:
1. Regionbeschränkung auf nur DE. Also alle IPs aus anderen Ländern "verweigern".
2. Zugriff auf die DSM Verwaltungsoberfläche nur von bestimmten internen IPs, zur Not vom ganzen LAN

Zu Punkt 1 habe ich also die Regeln erstellt und alle Länder verweigert und nur DE zugelassen. Diese Regeln habe ich alle an den Anfang gestellt da die Firewall ja anscheinend von oben nach unten abarbeitet und sobald eine Regel zutrifft diese zieht und alle anderen Regeln danach nicht mehr beachtet (dachte ich).

Zu Punkt 2 habe ich nun nach den "verweigern" Regeln eine Regel erstellt in der ich zum Test genau einer internen IP den Zugriff auf alle DSM Dienste verweigere. Danach hab ich eine Regel erstellt in der ich alle benötigten DSM Dienste zulasse und zu guter letzt noch eine für die Verwaltungsoberfläche der DSM in der ich auf bestimmte IP Adressen einschränken möchte.
Genau dies geht aber nicht. Sobald ich speichern möchte erhalte ich die Meldung das ich die IP des Administrator PCs ausschließe und das die alte Regel wiederhergestellt wird. In der alten wiederhergestellten Regel steht dann der Port für die Adminoberfläche drin freigegeben für alle IPs.

Das Schlimme ist das diese Regel dann auch immer voll zieht. Wenn ich die ans Ende aller Regel stelle hat dennoch die IP die ich weiter oben im Text explizit auf alles verbiete Zugriff. Nach meinem Verständnis dürfte diese Regel für die IP gar nicht mehr ziehen weil die IP ja weiter oben schon verweigert wird. Dazu kommt das über den gleichen Port wie die Adminoberfläche auch die FileStation und noch ein paar andere erreichbar sind.
Also kann ich ja überhaupt nicht verhindern das eine IP auf die Adminoberfläche ausgeschlossen wird, somit ist das Ganze doch unbrauchbar oder???

Wie löst ihr sowas?

Gruß mabox

 

[stefan_lx]

Die FW arbeitet von oben nach unten, aber wenn du oben schon alles verbietest, dann hast du dein eigenes Netz ja auch schon verboten, deswegen die Meldung...

Also: zuerst kommen die Regeln, die erlaubt sind, dann die verbotenen...

erste Regel
Alle Ports
Spezifische IP: Subnetz, IP: 192.168.178.0 Subnet-Maske: 255.255.255.0 (vorausgesetzt du hast ne Fritte..)
Aktion: zulassen

zweite Regel:
Ports auswählen, die du freigeben willst
Quell-IP Region: DE
Aktio: zulassen

Wenn keine Regel zutrifft: Zugriff verweigern... (die Zeile unterhalb der ganzen Regeln)

Das ist alles, was du für dein Ziel benötigst...

Stefan

 

[goetz]

Hallo,
schau mal rechts oben für welche Schnittstelle Du die Regeln erstellst.

Gruß Götz

 

[mabox]

Hallo Zusammen,
vielen Dank für Eure Infos.
@goetz: Ich mach das für "alle Schnittstellen". Ist ja nur eine LAN und PPPoE die ich aber ja nicht verwende. Eine einzige Regel habe ich auf der LAN Schnittstelle, das ist die für die Adminobefläche

@stefan: OK danke für die Info das werde ich gleich mal noch testen. Die "Verweigern" Regeln für die Regionen bleiben doch aber schon an erster Stelle oder? Ich bin über den Wiki Netzsicherheit Beitrag auf der Seite hier gelandet http://apfelcheck.de/technik/synology-mehr-sicherheit-durch-geoip/ und dort wird geschrieben das die verweigern Regeln nach oben sollen.......

 

[mabox]

Also ich habe es jetzt wie folgt gemacht:

Bereich "alle Schnittstellen":
erste Regel
Spezifische Ports, unter anderem für Adminoberfläche
Spezifische IP: Subnetz, IP: 192.168.1.0 Subnet-Maske: 255.255.255.0 (hab eine Fritte aber nicht mehr die Standard-IP)
Aktion: zulassen

zweite Regel:
Ports freigegeben gemäß Freigaben im Router, unter anderem auch den Port für die Adminoberfläche
Quell-IP Region: DE
Aktion: zulassen

Bereich "LAN":
Wenn keine Regel zutrifft: Zugriff verweigern...

Das Abspeichern dieser Konfiguration hat geklappt
Dann sollte das jetzt tatsächlich so sein das nur meine LAN Range und übers Internet nur IPs aus DE Zugriff haben und auch nur auf die definierten Ports?

Ich würde es aber gerne noch weiter verstehen.... sorry das ich mich da so schwer tue. Irgendwie logisch ist es mir noch nicht....

1. Wenn ich den Port für die Adminoberfläche aus der zweiten "DE" Regel entfernen möchte erhalte ich wieder die Info das ich quasi den Admin aussperre und die alte Regel wiederhergestellt wird. Verstehe ich gar nicht ist doch eine private IP.
2. Wie könnte ich jetzt einen einzelnen PC aus meinem LAN doch noch den Zugang zur komletten Diskstation verbieten? Ich habe dazu eine weitere Regel erstellt in der ich alle Ports für genau diese eine IP verweigere. Die IP hat aber dennoch Zugriff auf die Disktation egal ob diese Regel oben oder unten steht. Auf die Dienste die einen "eigenen" Port haben wird sogar verweigert, aber auf die Dienste die den gleichen Port haben wie die Adminoberfläche klappt der Zugriff dennoch.... Audio, Video, Download Station usw........

Was mach ich noch falsch?

Gruß mabox

 

[goetz]

Hallo,
hab jetzt nicht alles verinnerlicht, ist schon zu spät aber richte alle Regeln unter LAN ein, PPoE nutzt Du ja nicht.

Gruß Götz

 

[stefan_lx]

"wenn keine Regel zutrifft", für "alle Schnittstellen" definieren. Genau mit der knipst du dir glaube ich die Admin-Oberfläche wieder aus.
Mit deinen Regeln erlaubst du von extern alle Zugriffe...

Stefan

 

[mabox]

Hallo Ihr Zwei,
OK dann richte ich mal alles unter LAN ein, aber warum das dann anders sein soll hab ich noch nicht verstanden.
"Wenn keine Regel zutrifft verweigern" gibt es ja auf dem Reiter "alle Schnittstellen" gar nicht. Den gibt es nur auf der "LAN".
Den letzten Satz verstehe ich nicht "Mit deinen Regeln erlaubst du von extern alle Zugriffe"? Ich hab das doch jetzt so eingestellt wie weiter oben beschrieben.

Ich hab auich noch nicht verstanden warum bei dem Link oben vom Wiki "verweigern" Regeln gebaut werden und an den Anfang gestellt werden und wir haben oben diskutiert das die "Erlauben" Regeln an den Anfang sollen. Bei unserer Konsteallation hier arbeiten wir ja eigentlich überhaupt nicht mit "verweigren" Regeln.....

 

[stefan_lx]

Den letzten Satz verstehe ich nicht "Mit deinen Regeln erlaubst du von extern alle Zugriffe"? Ich hab das doch jetzt so eingestellt wie weiter oben beschrieben.

ok, da hab ich "Regel-Dschungel" die Orientierung verloren ...
Ich meinte Zugriff von extern, aber nur von DE aus...

In dem Link wird "andersrum" gearbeitet: es werden die Länder explizit verboten, damit kommt von dort keiner mehr an die syno, dann erst kommen die erlaubten Adressen und das ist der Rest der Welt...
Bei meinem Beispiel werden die eigenen IPs erlaubt und DE, dann kommt "wenn nichts zutrifft wird verweigert". D.h. der Rest der Welt ist auch ausgesperrt... und das ist dein Ziel...

Stefan

 

[mabox]

Hi Stefan,
alles klar vielen Dank, langsam wirds etwas heller in meinem Hirn Mein Ziel hab ich im Prinzip jetzt erreicht stimmt.
Kannst Du mir aber vielleicht noch helfen wie ich jetzt eine einzelne IP bei meiner Konstellation verweigern könnte?

Gruß mabox

 

[stefan_lx]

du erstellst eine neue Regel..
Ports: alle
Quell-IP: die, die du sperren willst
Aktion: Verweigern

Diese Regel allerdings nach oben, damit bei der Regel gleich Schluss ist...

Stefan

 

[mabox]

Hi,
also das scheint zu klappen wenn ich mich dann z.B. an der FielStation anmelden möchte. Da komme ich so dann tatsächlich nicht weiter.
Die Adminoberfläche kann ich aber im Browser dennoch öffnen und mich sogar anmelden? Ich habe es so eingestellt wie Du beschrieben hast. Alle Ports und genau eine IP verbieten. Diese Regel dann ganz nach oben.
Die zweite Regel ist dann die wo ich die Ports zulasse für mein LAN. Da ist logischerweiße dann die IP die ich in der ersten Regel verweigere mit dabei.
Die dritte Regel ist dann die Regel wo ich die DE IPs zulasse. Müsste die eigentlich vor meine "LAN zulassen Rege" oder passt die an der Stelle?

 

[stefan_lx]

eigentlich sollte die verbotene IP aus der ersten Regel, in der zweiten Regel nicht mehr "aktivierbar" sein.. welchen DSM hast du installiert? in den Releasenotes zum 5.1 Update 2 steht:

Fixed an issue where Firewall rules did not apply correctly.

Vielleicht liegt's daran..?
Leider steht nicht dabei, welche Geräte unter welchen Bedingungen betroffen sind..

Die Stelle der DE-IPs ist in Ordnung...

Stefan

 

[mabox]

Vielleicht liegt's daran..?

Leider nicht, das Update habe ich gleich heute Morgen eingespielt......

 

[stefan_lx]

hab jetzt mal die IP von einem Gerät komplett gesperrt (alle Ports, alle Protokolle und die eine IP, Regel als erstes) und das Gerät ist sofort ausgesperrt. Sobald ich diese Regel nach unten verschiebe (hinter die erlaubt-Adressen) komme ich wieder an die syno... wenn eine Regel zutrifft, wird der Rest nicht mehr abgearbeitet...
Irgendwo passt bei deinen Regeln bei den Ports was noch nicht so ganz ... Evtl. kannst du mal einen Screenshot von den Regeln zeigen??

Stefan

 

[mabox]

Klar kann ich Bilder schicken bin ja so froh das Du mir bei der Fehlersuche hilfst.
Also es ist so eingestellt wie auf den Bildern.

1. Regel der Client der komplett nicht auf die Syno zugreifen soll.
2. Regel mein LAN. Dort sind bestimmte Ports definiert.
3. Regel die für DE IPs
4. Regel für einen Client der über VPN verbunden ist
4. Regel für eine andere NAS die über VPN verbunden ist und die Syslog schicken soll.

In der Konstellation kann ich trotz der ersten Regel mit dem Client über den Browser auf die Synology zugreifen.

Gesamtüberblick


Regel 2 Ports


Regel 2 IPs


Ups sehr klein die Bilder, ich hoffe Du kannst es lesen.....
Was noch ist das die Regeln noch bei "allen Schnittstellen" definiert sind, kann das was ausmachen?

 

[stefan_lx]

Augen sind noch gut

Regel 1: ist ok
Regel 2: ich würde komplett alle Ports freigeben
Regel 3: wenn schon DSM, ssh usw. freigeben, dann auf jeden Fall die verschlüsselten Varianten (so wie Screenshot von Regel 2), hast du vermutlich auch so gemacht
Regel 4/5: für vpn würde ich (zumindest wenn das meine eigenen Geräte wären) die gleiche Regel, wie Regel 2 erstellen

Der einzige Unterschied ist, dass ich die Regeln nicht bei allen Schnittstellen, sondern nur bei LAN/LAN1 definiert habe...
Das könnte evtl. was ausmachen...

Stefan

 

[mabox]

Hi Stefan,
ich kann heute leider nichts mehr machen, aber hoffentlich Morgen ziehe ich alle Regeln mal um zu LAN.
Ich war gerade auch in dem LAN von Regel 4. Also dem Client über VPN der auf die DSM sollen kann. Der kann auch das hat geklappt. Jedoch mit meinem Smartphone das dort im WLAN hing kam ich z.B. zwar nicht auf die Adminoberfläche unter Port 5001, jedoch z.B. auf die http Adresse von der Photostation. Da war ich an der Anmeldemaske. Das wundert mich jetzt auch extrem den Port 80 ist in keiner der Regeln zugelassen. Über https konnte ich die Photostation nicht erreichen. Irgendwie kann ich der Firewall nicht trauen......
Wenn ich so wie Du vorschlägst sowieso alle Ports zulasse für mein LAN, kann ich das Ganze dann nicht auch andersrum machen? Also ich lasse erstmal alles zu und erstelle dann nur "verweigern Regeln". Vielleicht klappt es so rum.

Ach so ja ich habe generell immer nur die verschlüsselten Ports geöffnet....... Eigentlich mach ich mir vermutlich zuviel Stress den an meinem Router hab ich eh nur 443, 993 und 9901 Port geöffnet. Dennoch hätte ich das gerne an der DSM richtig eingestellt. Man weiß ja nie was ich in Zukunft am Router noch auf mache und außerdem hängen an meinem Router insgesamt noch 2 weitere LANs über VPN und zumindest bei einem bin ich nicht der "Administrator" bin Diesem traue ich natürlich aber wenn jemand in dessen Netz mal einbrechen sollte, soll er wenigstens nicht auf meine DSM kommen

 

[mabox]

Ich glaub ich werde echt bescheuert langsam. Bin mal kurz zur LAN Schnittstelle gewechselt.Dort ist jetzt eine Regel die alle Ports und alle IPs zu lässt. Das erklärt das mit dem Port 80 und der Photostation. Gestern war die aber noch nicht da.
Normal dürfte aber dennoch die "Verweigern" Regel auf der "alle Schnittstellen" Seite doch vor dieser ziehen?
Na gut, ich baue Morgen mal alles auf der LAN Schnittstelle und teste dann nochmal.

 

[snowbeachking]

Passende Überschrift für meine Frage...

Habe heute alles mal aktualisiert (DSM 5.1-5004 Update 2) und gleich mal den Port 22 geändert. In den Firewall-Regeln wird mir aber trotzdem zu meinem neuen Port auch der Port 22 weiterhin angezeigt - ziemlich sinnfrei, oder? Was mache ich denn evtl. falsch? Wenn man den DSM Port ändert, dann wird ja 5001 nicht mehr angeboten.

PS: Siehe übrigens auch Screenshot von Kollege mabox oben. Bsp. 22, 2222