Generell Frage zu Ports und deren Dienste

Swp2000

Benutzer
Mitglied seit
29. Nov 2013
Beiträge
2.008
Punkte für Reaktionen
34
Punkte
94
Hallo zusammen,

ich möchte von außerhalb auf meine Syno zugreifen. DynDNS sowie die Standard Ports die dafür freigegeben werden müssen hab ich eingerichtet. Das der Zugriff sicher ist, wird ja immer wieder empfohlen die Standard Ports zu ändern und diese dann entsprechen freizugeben. Ist es hier egal welche Port-Nummer ich dafür verwende?
So wie ich es verstanden habe sind diese frei wählbar, ich muss nur schauen das ich keinen erwische der von Synology sowieso schon für einen Dienst definiert wurde, ist das richtig? Das heiß ich kann von 1-65500 einen definieren welcher mir gefällt?
Beispiel: DSM Standard Ports 5000-5001, hierfür konnte ich 50000-50001 festlegen und dann entsprechend die Ports 50000-50001 von der FB an die Ports 50000-50001 der Syno freigeben um von außen auf die DSM Oberfläche Zugriff zu haben?
Oder bleiben die in DSM definierten immer so wie sie sind und ich muss Port 50000-50001 von der FB an die Ports 5000-5001 der Syno weiterleiten. Wie kann ich dies verstehen?
Ich hoffe mir kann dies jemand erklären wie sich das mit den Ports verhält.

Gruß
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Du kannst beide Wege gehen:
Port 50001 (FB) => 50001 (NAS)
oder
Port 50001 (FB) => 5001 (NAS)
Wobei ich zwecks Übersicht die Ports auf dem NAS so belasse und nur beim Portmapping auf der FB das berücksichtige, also 50001 auf 5001 (NAS).

Grundsätzlich würde ich aber empfehlen den Zugriff über VPN zu machen und keine direkten Ports offen zu halten.
 

mayo007

Benutzer
Sehr erfahren
Mitglied seit
26. Okt 2016
Beiträge
2.416
Punkte für Reaktionen
459
Punkte
123
So wie ich es verstanden habe sind diese frei wählbar, ich muss nur schauen das ich keinen erwische der von Synology sowieso schon für einen Dienst definiert wurde, ist das richtig?
Jo


Das heiß ich kann von 1-65500 einen definieren welcher mir gefällt?
SSH Port 22 würde ich nicht nehmen
DSM Standard Ports 5000-5001, hierfür konnte ich 50000-50001 festlegen und dann entsprechend die Ports 50000-50001 von der FB an die Ports 50000-50001 der Syno freigeben um von außen auf die DSM Oberfläche Zugriff zu haben?
Kannst du
Oder bleiben die in DSM definierten immer so wie sie sind und ich muss Port 50000-50001 von der FB an die Ports 5000-5001 der Syno weiterleiten.
Geht meine ich auch. Musst du mal testen
Wie kann ich dies verstehen?
Quasi wie eine Adresse: DDNS Adresse ist die Straße und der Port ist die Hausnummer.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Das hat nur was mit Verschleierung zu tun, aber null mit Sicherheit. Selbst auf Ports 56123 (diese Woche auf mehreren Telekom Anschlüsse) oder anderen für SSH wird inzwischen doch auch mal angeklopft.
Nur eine Frage der Zeit, oder welches Botnet grad mal wieder in welchen IP ranges rumgrast.
 

Swp2000

Benutzer
Mitglied seit
29. Nov 2013
Beiträge
2.008
Punkte für Reaktionen
34
Punkte
94
Denke ich beim Öffnen der Ports nur mal an Lets Encrypt, brauch es hier ja die Ports 80 und 443 geöffnet damit sich das Zertifikat verlängern kann. Diese sind bei mir offen. Oder wie handhabt ihr das?
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Ports für LE-Erneuerung werden kurz vor Ablauf geöffnet, eigene Regel in der Firewall des Syno-Routers, ansonsten nur Zugriff aus Österreich erlaubt, seit Ewigkeiten (Jahren) Ruhe :)
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Wie richte ich so eine Regel und eine Begrenzung auf ein Land ein?
 
Zuletzt bearbeitet von einem Moderator:

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Firewall
erstellen
Ziel
RegionRegion.JPG
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
pro Regel sind nur 15 Regionen möglich, hast du mehrere Regeln mit je 15 Regionen eingerichtet und die dann auf verweigern gestellt?
 
Zuletzt bearbeitet von einem Moderator:

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Habe nur eine Region eingestellt, Österreich, d.h. nur Zugriff auf die DS aus Österreich erlaubt

Sorry, natürlich nicht Ziel, sondern QUELLE !, Ziel ist die interne IP der DS, habs jetzt erst gesehen
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Bei mir sieht das anders aus, oder bin ich irgendwo in einem falschen Dialog?
 

Anhänge

  • SmartSelect_20210217-234200_Samsung Internet.jpg
    SmartSelect_20210217-234200_Samsung Internet.jpg
    157,5 KB · Aufrufe: 15
Zuletzt bearbeitet von einem Moderator:

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Quell-IP -> Ort.
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Das hab ich ja schon gemacht, man kann aber nur 15 Orte pro Regel auswählen, dann muss ich es halt mit mehreren Regeln umsetzen.
 
Zuletzt bearbeitet von einem Moderator:

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Nein, Zugriff aus Deutschland zB. zulassen, alles andere verweigern. Keine 15 Orte / Regeln nötig.
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
ja, aber um den Zugriff zu verweigern muß ich die Orte doch auswählen oder nicht?
 
Zuletzt bearbeitet von einem Moderator:

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Du musst eine Regel schaffen: Deutschland - zulassen
und dann unten:
Wenn keine Regel zutrifft - verweigern.
Also die Firewall blockiert alles, es sei denn, Du hast eine Ausnahme-Regel definiert.

Bildschirmfoto 2021-02-18 um 09.47.45.png
 
  • Like
Reaktionen: andronex

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
95
Punkte für Reaktionen
10
Punkte
8
Danke, jetzt weiß ich warum die Ansicht bei mir anders war, es war alle Schnittstellen ausgewählt, wenn ich die betreffende Schnittstelle auswähle sieht es auch so aus wie hier von euch dargestellt, das wusste ich nicht, jetzt ist alles klar, danke schön für die Hilfe.
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat