Firewall via SSH konfigurieren

[Ghost108]

Hallo zusammen,

ich habe auf der Syno DS718+ die Firewall aktiv.
Hier gibt es u.a. eine Regel:

Zugriff auf Webstation nur mit einer spezifischen IP zulassen

Gibt es eine Möglichkeit, via Aufgabenplanung einen Prozess zu automatisieren, welche die spezifische IP durch eine IP, welche ich vorher angebe, zu ersetzen in der Firewall Regel?

 

[blurrrr]

Guckste mal via "synofirewall"

# synofirewall --help


Usage:
synofirewall <action> [options...]

Actions:
-h, --help
--enable enable firewall.
--disable disable firewall.
--reload reload firewall.
--update update firewall's config.
--enum [IPV4|IPV6] enum firewall iptables rules.
--enum-adapter enum firewall adapter.
--profile-list list all profile.
--profile-set [profile name] set running profile, but would not reload firewall.
--insert-test only for testing
--service [service_keyword] list service name & port mapping
--change-adapter [old adapter] [new adapter]
--change-security-adapter [old adapter] [new adapter]
--serv-block [interface] [service name] check if firewall block service
--info show information

 

[Ghost108]

und welcher Parameter würde für "ip der Regel xyz ändern" funktionieren?

 

[blurrrr]

Such das Wort "Update".....

 

[Ghost108]

Und weiter ? ?
Welche Parameter kann ich noch angeben ?
Muss ja sagen können, welche Regel soll was Updaten

 

[blurrrr]

Ich nutz die Firewalls der Syno i.d.R. nicht bzw. hab auch nicht so komische extra Locken wie Du. Also wäre es ja eher "Dein" Job Dich entsprechend einzulesen und zu testen ?

Damit es vllt "einfacher" wird... Leg Dir ein zweites "Profil" mit den gewünschten Einstellungen an. Steuern kannste das dann via:


--profile-set [profile name] set running profile, but would not reload firewall.
...gefolgt von einem...
--reload reload firewall.

Einmal neues Profil setzen, danach die Firewall-Regeln neu laden.

 

[Ghost108]

profile-set aktiviert nur ein Firewall Profil und ändert keine Regel ...

 

[NocTec]

Ich habe den Thread aufgeräumt. Das ist nicht der Umgangston, den wir hier sehen wollen.

Ich lasse den Thread für die weitere Diskussion offen.

 

[Ghost108]

Vielen Dank fürs aufräumen

Fange gerne noch mal an und freue mich auch über Antworten anderer User.
Also noch mal:

Ich habe ein Profil in der Firewall.
In diesem Profil habe ich mehrere Regeln.

Eine Regel besagt:
Erlaube den Zugriff auf die Webstation von der IP 192.168.1.20

Da sich die IP jeden Tag ändert, würde ich gerne eine Automation via Task Planer realisieren, welche die vorhanden Regel anpassen kann
Hier stellt sich die Frage, ob es dafür einen Befehl gibt, mit dem ich die Firewallregel bearbeiten kann, nach dem Motto:

ändere DIE_EINE_OBEN_GENANNTE_REGEL und stelle die IP um auf 192.168.1.21

Danke

 

[Benares]

Da sich die IP jeden Tag ändert ...

192.168.1.x scheint ja eine interne IP zu sein. Wieso ändert die sich jeden Tag?
Wär da nicht eher der DHCP-Server im Router ein besserer Ansatzpunkt?

 

[Ghost108]

Es war nur ein Beispiel ...
Für dich:

Es ist 109.44.60.2
Mit dem Befehl soll es 109.44.60.3 werden

(Ebenfalls nur ein Beispiel)

 

[Benares]

Bleibt trotzdem die Frage, wieso du das Problem nicht an der Ursache bekämpfst.
Selbst wenn es einen Befehl gäbe, mit dem man die Regel ändern könnte, woher soll das Script die neue IP kennen?

 

[Ghost108]

Das wäre dann MEINE Baustelle

 

[Benares]

Dann folge den Tipps von @blurrr und schau dir die Hilfe von "synofirewall" an

 

[Ghost108]

Das hilft leider nach wie vor nicht ...
Und wenn doch, würde ich mich über einen Ansatz freuen, denn einen Befehl von synofirewall sehe ich da nicht, mit dem ich eine Regel ändern kann

 

[Fusion]

Weil die GUI vermutlich auch nur ein Wrapper ist.

Siehe
iptables -h
iptables -L

 

[DrDeath]

Lesestoff:

https://serverfault.com/questions/146569/iptables-how-to-allow-only-one-ip-through-specific-port

 

[kofcon]

https://linux.die.net/man/8/iptables

 

[blurrrr]

Und, wat is nu? Läuft?

Ist vermutlich sowieso wie @Fusion schon schrieb und @DrDeath hat schon Beispiele gepostet und @kofcon nochmal die entsprechenden Manpages, damit sollte es doch jetzt ein leichtes sein.

 

[Benares]

Du glaubst doch nicht, dass @Ghost108 sich nochmal meldet? Das ist m.E. eher einer mit der inzwischen leider üblichen "Komm, bediene mich"-Mentalität ohne Eigeninitiative.