DSM 7.2 Firewall Regel konfigurieren

[Ghost108]

Hallo zusammen,

leider habe ich keine passende Kategorie gefunden, habe nach "Sicherheit" oder "Firewall" gesucht.
Sollte das Thema hier nicht richtig sein, bitte verschieben.

Anbei meine alte IST Situation:


Erklärung:
Fritzbox hat einen offnen Port 443 für meine Synology VM und ebenso einen offenen Port 5508 für meine physikalische Synology.
Der Zugriff findet jeweils von meiner Webseite statt, welche bei STRATO liegt.

Meine neue IST Situation sieht nun wie folgt aus:

Klappt auch soweit.
Allerdings möchte ich diesen "Zugriff" via Firewall der NAS beschränken.

Meine Firewall ist aktuell wie folgt konfiguriert:



1. Alle aus dem internen Netz haben Zugriff auf alles
2. Die IP Bereich meiner Docker Container haben Zugriff auf alles
3. Ansonsten alles verweigern

• Nun wollte ich Regel 1 wie folgt anpassen: 192.168.108.1 - 192.168.108.250
• Eine neue Regel darunter: Ports (5808 mariaDB, 5108 DSM für die Webapi), Protokoll TCP, Quell-IP 192.168.108.251 (NAS VM)
• Regel 2+3 unverwändert

Danach funktioniert aber der "Zugriff" nicht mehr.
Wo habe ich hier den Denkfehler? Danke!

 

[maxblank]

Regeln in der Firewall werden immer von oben nach unten abgearbeitet. Deaktiviere mal die letzte Regel und teste es nochmals.
Falls es dann geht, würde ich persönlich Regel Nr. 3 nach oben schieben und wieder testen.

Edit: Welche IP hat dein Gateway? 192.168.108.254?

 

[Ghost108]

das Gateway hat die 192.168.108.1

zur Info:
habe jetzt erst mal eine separte Regel nur für die NAS VM angelegt und diese aus der Regel 1 rausgenommen.


Regel 2 wäre nun die Regel für die NAS VM. Steht aktuell auf "alles alles zulassen".
Das geht natürlich. Wenn ich aber nur auf die 2 Ports runterbreche dann nicht mehr

 

[plang.pl]

Wie jetz? Du kannst die VM doch in Regel 1 mit inkludieren.
Von welchen Ports redest du? Schick mal einen Screenshot von den Regeln, wenn es nicht geht. Dazu die Info, was genau nicht geht

 

[luddi]

Wenn ich aber nur auf die 2 Ports runterbreche dann nicht mehr

Die Frage ist, welche Dienste muss bzw. soll oder darf die VM auf der NAS nutzen dürfen?
Wenn ich aus Post #1 entnehme, sind das diese zwei Dienste und die jeweiligen Ports.

• 5808 mariaDB
• 5108 DSM für die Webapi

Und wo genau sind denn die Probleme um von der VM auf das NAS zuzugreifen? Einmal etwas genauer beschreiben was getan bzw. versucht wird in welcher Form versucht wird auf das NAS zuzugreifen.

 

[Ghost108]

Wie jetz? Du kannst die VM doch in Regel 1 mit inkludieren.
Von welchen Ports redest du? Schick mal einen Screenshot von den Regeln, wenn es nicht geht. Dazu die Info, was genau nicht geht

Wenn ich die NAS VM in die Regel 1 mit aufnehmen würde, dann würde die NAS VM ALLES können.
Das soll Sie ja nicht. Deswegen ja eine limitierte Regel.

Die Frage ist, welche Dienste muss bzw. soll oder darf die VM auf der NAS nutzen dürfen?
Wenn ich aus Post #1 entnehme, sind das diese zwei Dienste und die jeweiligen Ports.

• 5808 mariaDB
• 5108 DSM für die Webapi

Und wo genau sind denn die Probleme um von der VM auf das NAS zuzugreifen? Einmal etwas genauer beschreiben was getan bzw. versucht wird in welcher Form versucht wird auf das NAS zuzugreifen.

Zusammengefasst:

• Von meiner Webseite aus findet eine ajax Abfrage auf www.nasVM.de/meinScript.php statt
• Dieses Script baut eine mysql Verbindung zur MariaDB auf (192.168.108.250:5808) = .250 => die IP der NAS
• Und greift via WebAPI auf Syno Calendar / Contacts zu => http://192.168.108.250:5108/webapi/'

Wenn ich nur diesen beiden Ports öffne = keine Verbindung mehr möglich

Interessanterweise:



Zugriff von meiner NASVM alle alles klappt ja, wie oben schon gesagt:

Jetzt dachte ich mir, ich aktiviere mal die Option "Aus einer Liste integrierter Anwendungen" und aktiviere hier erst mal alle Optionen, sodass ich dann step by step deaktivieren kann, um zu schauen, wann es nicht mehr geht. Aber wenn ich es so einstelle mit allen Optionen aktiv, klappt es auch schon nicht mehr. Mein Aufruf von der Webseite aus läuft jedes mal in einen Timeout.

 

[plang.pl]

Da ist aber immer noch kein Screenshot von dem erwähntem Regelwerk dabei

 

[Ghost108]

Wenn ich es so einstelle, klappt es nicht mehr

 

[plang.pl]

Das ist tatsächlich komisch. Hast du die Ports in der Regel mal manuell eingetragen?

 

[Ghost108]

habe ich - auch ohne Erfolg.

 

[plang.pl]

http://192.168.108.250:5108/webapi/'

deine Regel gilt aber für https

 

[Ghost108]

sorry die URL sollte https:// heißen. tippfehler meinerseits

 

[plang.pl]

Dann verstehe ich das leider auch nicht. Bei mir funktioniert das einwandfrei, wenn ich nur einzelne Ports anwähle.
Gibts ein Log vom Script?
Du kannst mal testweise eine Regel für einen PC erstellen, die genau so aussieht. Dann kannst du mit PowerShell und dem Befehl test-netconnection 192.168.108.250 -Port 5808 testen, ob der Port erreichbar ist

 

[Ghost108]

interessant wäre ja zu wissen, was die Firewall in dem Moment blockt.
Gibt es davon kein Log?

 

[plang.pl]

Den hab ich auch schon mal gesucht - aber leider nicht gefunden

 

[Ghost108]

Dann verstehe ich das leider auch nicht. Bei mir funktioniert das einwandfrei, wenn ich nur einzelne Ports anwähle.
Gibts ein Log vom Script?
Du kannst mal testweise eine Regel für einen PC erstellen, die genau so aussieht. Dann kannst du mit PowerShell und dem Befehl test-netconnection 192.168.108.250 -Port 5808 testen, ob der Port erreichbar ist

habe ich nun von nem windows client getestet.
erst mal firewalltechnisch geblockt und netconenction mit port 5108 + 5808 probiert = Connection false
Dann die Firewall konfiguriert für den Client, für beide Ports = Connection true.


Ich verstehe es nicht

 

[luddi]

Das ist in der Tat sehr merkwürdig. Jetzt würde natürlich ein log der VM helfen um herauszufinden über welche Ports denn versucht wird zusätzlich zu kommunizieren.

 

[Ghost108]

nachdem ich meinen Code nun gesplittet habe (Fehleranalyse) kann ich nun folgendes sagen:

Meine Webseite baut einen ajax request zur nasVM. Hier wird das Script gestartet, welches eine MYSQL Verbindung zur MariaDB aufbaut, welche auf der NAS liegt über Port 5808 -> DAS funktioniert

Als nächstes startet das Script einen curl Befehl an die NAS webapi über Port 5108:
Und hier hakt es - warum auch immer - bin dran!