Also es ist eigentlich ganz einfach!
Die scannen wild (oder mit System) IP's und DNS Namen im Internet ab und fragen da nach offenen Ports! Bei Dir zum Beispiel werden sie beispielsweise (wie bei mir) die Ports 21 (FTP) und 80 (Webserver) finden und sich den 21er mal genauer unter die Lupe nehmen! Da stoßen sie dann aber auf das nächste Hindernis - nämlich dass der Port Passwort geschützt ist! Sie brauchen also User und Passwort und kommen dann als nächstes mit zwei fehlerhaften Anmeldungen in Deine 5 Minuten Regel und werden gesperrt!
Jetzt könnten die sich aber clever stellen und einfach mit einer neuen IP (welche sie - wie auch Du Dir ja - jederzeit erneuern können) wieder kommen und Du sperrst sie dann mit Anmeldeversuch 3 und 4. Das können die jetzt sinnlos so für Jahre weitermachen, oder die sagen sich einfach "Probieren wirs doch woanders mal, es gibt sicher noch genug andere 'offene Scheunen'! "
Zur Abwechslung mal noch meine Block-Daten! Ich sperre fehlerhafte Logins/Versuche nach 5x in nur 3 Minuten und dann die IP Adresse für 10 Tage!
Eine IP länger (oder für immer) zu sperren macht im Prinzip keinen Sinn! Jeder Teilnehmer im Internet hat immer und überall die Möglichkeit sich schnell eine neue IP zu besorgen und ist danach ein ganz "anderer" als vorher! Du lässt somit Deine DS nur sinnlos IP sammeln und hast irgendwann mal das Problem, dass vielleicht einer Deiner User zufällig mit einer IP kommt, die Deine DS vor zig Jahren schonmal gesperrt und gesammelt hat!
Eh Du darauf kommst, dass es daran liegt, hast Du einen Tag mit Suchen verbracht!
Von daher - sperre IPs auch bloß 10 Tage! Die Irren da draußen werden nicht weniger - da hast Du eh keinen Einfluss!
Fazit: OFFEN heisst nur Offen, weil der Scanner den Port "sieht" und weil Deine DS unter anderem immer auf ne Anfrage antwortet:
"Port 21??? Jaaaaa, den habbich! Willste Dich verbinden????"
Darauf dann der Scanner: "Jaaaaa willich!!!"
Und die DS wieder: "Tja! Dann sag mir mal den User und das Passwort!!??"
Und der Scanner steht da: "Ähh??? ja??? Hmm?? Lass mal Raten! 18?"
DS: "nee!"
Scanner: "20?"
DS: "nee! Hau ab Du Penner! Das war das zweite Mal falsch!"
Und schreibt sich die IP auf, dass der jaaar nich nochmal kommen brauch (der Penner)!
Desweiteren musst Du Dir keine Gedanken machen, dass die Gegner schon viel wissen, wenn Sie vor Deiner Anmeldemaske stehen! Am Ende müssen sie immer noch das Passwort für alles wissen!
Also zum Verständnis:
- wenn ich weiss, wie der DDNS Name Deiner DS ist
- und ich weiss, dass der Port für die Anmeldemaske bei Synology Maschinen ja meistens 5000 ist (weil das ja bei mir auch so ist)
- und ich weiter weiss, dass der Benutzername dafür "admin" (bei mir ebenso)
dann kann ich schonmal vor Deiner Anmeldemaske sitzen und "admin" eingeben! Nur wie ist dann das Passwort????? Und da hörts dann eben auf!
Du könntest -nach Lesen des obigen Beispiels- noch folgenden Störballon starten:
- ändere einfach den Standard-Port (5000) Deiner DS in einen ganz anderen -nicht wirklich oft benutzten- Port! Zum Beispiel 58543 oder 32598 oder irgendwas im 5stelligen Bereich.
- dazu musst Du noch nicht mal etwas an Deiner DS verbiegen/umstellen!
- ändere es einfach im Router!
- ändere dort nur die Portweiterleitung, die Du sicherlich ja schon erstellen musstest, damit Du überhaupt von außerhalb auf Deine DS zugreifen kannst
- dabei bleibt der innere Port weiterhin die 5000 und der äußere Port bekommt ne 5stellige Zahl (z.B. 53535, weil sichs leicht merken lässt).
Von jetzt ab wählst Du Deine DS von außerhalb im Browser immer mit
http://dein.dyndns.name:53535/webman/index.cgi anstelle von
http://dein.dyndns.name:5000/webman/index.cgi an!
Fertig!
Sowas kannst Du auch gerne mit allen anderen Ports machen - zum Beispiel bei FTP. Innen lässt Du alles auf 21 stehen und außen am Router nimmst Du meinetwegen 53521. Das musst Du Deinen FTP Usern aber mitteilen, dass die in Zukunft in ihren FTP Clients dann explizit den Port 21 durch 53521 ersetzen!
Das hat ab dann den positiven Effekt, dass die DS Scannern dann immer antworten wird: "Port 21???? Iss zu!!! Du kommst hier net rrein!"
Zum besseren Verständnis vielleicht noch:
Unsere Scanner-Freunde aus China, Russland oder sonst woher, haben auch nicht alle Zeit der Welt! Die sterben auch irgendwann mal und bis dahin wollen die "etwas schaffen". Also sparen sie mit ihrem wilden Rumscannen bisschen Zeit, indem sie "auf die Schnelle" erstmal nur die "sehr bekannten" Ports von Rechnern abfragen! Also 21, 80, 443 und all das Bekannte, was es auf der Welt so gibt ----> Synology hat zum Beispiel Port 5000. Und solche Ports rücken dann in den Vordergrund, während andere Ports weggelassen werden! Man sagt in der Branche immer "5stellige Ports" hat kein Schwein, da scannt man gar nicht erst! Die Scanner müssten sonst bei jedem Rechner von 1 bis 65Tausend-irgendwas abscannen!
Wenn Du also jetzt hingehst und einfach den oberen Bereich der Port-Scala (50.000 - 65.000) benutzt, dann werden unsere Scanner-Roboter bei Dir nie was finden, wo sie die Brechstange ansetzen könn(t)en.
