Firewallkonfiguration in DSM 7 - Brauche Rat und Hilfe

[Chuby]

Hallo zusammen,
ich habe folgendes Problem: Wenn ich meine Firewallkonfiguration mit ALL-ALL-ALL => Verweigern abschließe, funktionieren einige wichtige Dinge (z.B. die Anmeldung im Vaultwarden Web Tresor mit Yubikey) nicht mehr. Deaktiviere ich diese letzte Regel klappt alles wie gehabt.

Nachfolgend meine Firewall Einstellungen:

Regel 1 => ALL-ALL => xxx.xxx.xxx.xxx (meine feste IP) => Erlauben
Regel 2 => ALL-ALL => 192.168.1.1/255.255.255.0 (mein Netzwerk) => Erlauben
Regel 3 => ALL-ALL => Deutschland => Erlauben

Regel 4 => ALL-ALL-ALL => Verweigern

Jetzt meine Frage: Ist Regel 4 wirklich notwendig ? Wird eingehender Traffic durch die Regeln 1-3 erlaubt, dann ist doch alles Andere automatisch verboten....oder nicht??

Danke und Gruß
chuby

 

[King3R]

Müsste es bei Regel 2 nicht eigentlich 192.168.1.0/255.255.255.0 heißen? Wenn du Regel 4 weglässt, brauchst du die anderen drei Regeln auch nicht. Dann ist alles offen. Wenn du die Regeln nicht für "Alle Schnittstellen" sondern nur für z. B. "LAN 1" anlegst, kannst du dir Regel 4 sparen. Dann gibt es unten dann den Punkt: Wenn keine Regel zutrifft: [ ] Zugriff erlauben [ ] Zugriff verweigern

 

[Chuby]

Erst einmal vielen Dank für Deine Antwort.
Ich hab jetzt mal eine neue Firewall konfiguriert und Deine Hinweise eingearbeitet. Statt 192.168.178.1 jetzt also 192.168.178.0/255.255.255.0. Dann statt "alle Schnittstellen" nur den Bond 1 (...habe 2 Netzwerkkabel LAN 1 und LAN 2 angeschlossen). Letztendlich habe ich die Regel 4 dann weggelassen und => [X ] Zugriff verweigern wenn keine Regel zutrifft ausgewählt.
Soweit funktioniert jetzt auch alles so wie es sein soll.

Für die anderen Schnittstellen => PPPoE und VPN sind ja jetzt überhaupt keine Regeln definiert. Ist das richtig ? Wäre sehr nett wenn Du mir diese Frage abschliessend noch beantworten könntest.

Danke vorab und Gruß
chuby

 

[King3R]

Das siehst du richtig. Die von dir angelegten Regel greifen nur, wie von dir angegeben, für Bond 1. Entweder legst du für PPPoE und VPN separate Regeln an oder wenn du alles zentral haben möchtest, müsstest du wieder auf "Alle Schnittstellen" umstellen. Meiner Meinung nach ist man da aber nicht so flexibel. Des Weiteren ist es immer so eine Sache VPN direkt auf dem NAS zu betreiben. Direkt auf dem Router bzw. einem Raspi dahinter macht das m. M. nach mehr Sinn. Aber das muss jeder für sich selbst entscheiden.

 

[Chuby]

Also, VPN mache ich mit dem Router. PPoE, weiß ich gar nicht was das genau ist. Sollte ich für diese Schnittstellen dann trotzdem Regeln definieren oder können diese Schnittstellen einfach leer, also undefiniert bleiben ?
Danke und Gruß
chuby

 

[King3R]

Wenn du die nicht nutzt, musst du da m. M. nach nichts machen. Sicherheitshalber kannst du ja bei beiden Schnittstellen die Einstellungen auf "Zugriff verweigern" setzen. PPPoE würde nur genutzt werden, wenn du das NAS an ein Modem angeschlossen hast und das NAS selbst die Internetverbindung aufbauen würde. Das sollte aber eigentlich nur selten zutreffen und eine Nische sein.

 

[Chuby]

Danke für die Zeit und die Mühe die Du Dir gemacht hast um mir zu helfen.

Gruß
chuby