Internetsperre / Kindersicherung

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
468
Punkte für Reaktionen
273
Punkte
119
Hallo,
in meinem Router ist der Port 80/443 offen, damit gewisse Applikationen die im Docker laufen von extern (ohne VPN) erreicht werden können.

Der Router (Schweiz, Swisscom, Internet Box 3) bietet eine Funktion an, die sie 'Kindersicherung/Internetsperre' nennen. Die Funktion ermöglicht, dass für ein zu definierendes Gerät der Internetzugang möglich bzgl. eben nicht mehr möglich ist. Zeitgesteuert. Also der Weg vom Innen nach Aussen versperrt ist.

Wie verhält sich so eine Sperre im umgekehrten Fall?

Meine Tests haben ergeben, dass ich die von extern erreichbaren Applikationen bei aktivierter Kindersicherung nicht mehr erreichen kann, was in meinem Fall in Ordnung ist, da mein Plan der ist, dass die weitergeleiteten Ports nebst verschiedener anderer Sicherheitsvorkehrungen nur zu bestimmten Zeiten zur Verfügung stehen sollen. Das würde meinem Verständnis nach, ein weiterer Baustein sein, damit die Portweiterleitung auf das NAS sicherer ist.

Meine Frage: Ist es generell so, dass solche "Kindersicherungen" oder wie auch immer diese Funktion genannt wird, in beiden Richtungen wirken, oder ist das Router abhängig?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Das ist vom Router abhängig
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.261
Punkte
259
Moin,

vorab: Ich kenne den genannten Router und dessen Kindersicherung nicht.

Grundsätzlich ist es so das jeder Router-Hersteller das umsetzen kann wie er möchte, sprich dafür gibt es keine feste Regeln und/oder Normen.
Meine Tests haben ergeben, dass ich die von extern erreichbaren Applikationen bei aktivierter Kindersicherung nicht mehr erreichen kann,
Bist Du Dir da sicher? Weil eigentlich haben Portfreigaben und -weiterleitungen nicht wirklich etwas mit der Kindersicherung zu tun. Es sei denn sie würden ggf. beide den gleichen Client betreffen.

Bsp.: Du hast im Router einer Portfreigabe für Port 80 für das NAS (z.B. 192.168.1.100) eingerichtet. Die Freigabe im Router sieht dann so aus das man im Router für die IP 192.168.1.100 den Port 80 freigibt. Alle Anfragen die dann aus dem WAN in das LAN zu 192.168.1.100:80 gehen kommen durch und werden von dem Router (durch das NAT-Prinzip) nicht mehr blockiert. Der Client für den man eine Kindersicherung eingerichtet hat, z.B. der PC eines Kindes, hat damit gar nichts zu tun. D.h. eine Anfrage aus dem WAN zu 192.168.1.100:80 geht weiterhin durch.

Im Prinzip ist eine Kindersicherung dafür da das dadurch verhindert wird das ein ganz bestimmter Client im LAN, also z.B. der PC eines Kindes, auf das Internet zugreifen kann. Das hat nichts mit Portfreigabe/-weiterleitungen für andere Clients im LAN zu tun.

VG Jim
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
468
Punkte für Reaktionen
273
Punkte
119
Vielen Dank Jim, für diese Erläuterungen.

Ja, ich bin mir schon sicher, werde es aber abends nochmals prüfen. In der Tat ist es so, das die Portweiterleitung (80/443) und die in den Routereinstellungen aktivierte Sperre denselben Client (LAN-IP des Syno-NAS) betreffen.

Im Router werden die Ports 80/443 zum NAS weitergeleitet. In den Router-Einstellungen wird das NAS - also dessen LAN-IP mit einer zeitlichen Sperre für die Internetnutzung belegt.

Die Benennung dieser Funktion mit 'Kindersicherung' ist nachvollziehbar, aber eigentlich ist es ja eine Internet-Sperre vom Client zum Internet. Diese Funktion kann auch für 'Nicht-Kinder' angewendet werden. Und - so meine These - wenn die Portweiterleitung denselben Client betrifft wie der, der in den Routereinstellungen gesperrt ist, ist auch der Weg vom Internet (WAN) zum Client (NAS) nicht mehr möglich. Aber eben... '...was zu beweisen wäre'.

Ich werde noch ein bisschen herum probieren...

Beste Grüsse und Danke!
 
Zuletzt bearbeitet von einem Moderator:

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Nur mal als Gedanke , bau dir doch eine eigene Firewall ala opnsense oder so davor.
Da könntest das alles individuell so gestalten wie du magst. Ohne das du auf die Funktion deines Router angewiesen bist
 
  • Like
Reaktionen: ebusynsyn

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.261
Punkte
259
In der Tat ist es so, das die Portweiterleitung (80/443) und die in den Routereinstellungen aktivierte Sperre denselben Client (LAN-IP des Syno-NAS) betreffen.
Ah ok das erklärt das Verhalten. :) Ich habe mir ehrlich gesagt noch nie wirklich darüber Gedanken gemacht wie diese Sperre im Router intern genau umgesetzt wird. Vermutlich wird dabei der IP einfach der Zugriff auf die WAN-Schnittstelle des Routers kompl. (für alle Ports) blockiert und im Ergebnis ist sie dann für eingehende Anfragen aus dem WAN auch nicht mehr erreichbar.

Bei einer Fritzbox gibt es ja auch eine "Kindersicherung", wobei das da einfach nur ein zusätzlicher Name für die möglichen (Zugangs)Profile ist. Bei einer Fritzbox gibt es ja nicht nur das "Internet Ja/Nein" und das Wann, sondern bei den Zugangsprofilen lassen sich ja auch noch unterschiedliche Einstellungen vornehmen. D.h. für Dienste und deren Ports.

Fritzbox_Zugangsprofile.png
Somit ist es dann wieder möglich das der LAN --> WAN und der WAN --> LAN Verkehr nur für bestimmte Dienste und deren Ports auf der WAN-Schnittstelle blockiert wird.

Wenn Du bei Dir durch Porttests festgestellt hast das bei Aktivierung der Kindersicherung für das NAS im Router alle Ports aus dem WAN heraus in Richtung NAS nicht zu erreichen sind, dann dürfte wohl jeglicher Verkehr NAS <--> WAN-Schnittstelle am Router blockiert sein. Somit hat das Priorität und die Portfreigaben-/weiterleitungen für das NAS im Router spielen keine Rolle mehr.

Da ich bei mir aber in der Tat noch nie irgendwelche Portfreigaben-/weiterleitungen im Router genutzt habe, schon lange nicht in Kombination mit den/der Zugangsprofilen/Kindersicherung, kann ich zu der genauen Funktionsweise leider nichts sagen. Erst Recht nicht zu Deinem Swisscom Router.

VG JIm
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
468
Punkte für Reaktionen
273
Punkte
119
Vielen Dank nochmals für Deine Erläuterungen. Das passt so für mich.

Der Stein kam durch die Frage ins rollen, ob und wie ich allenfalls die weitergeleiteten Ports zusätzlich - mindestens im Zeitfenster wo sie nicht gebraucht werden, automatisiert 'schliessen' kann. Da kam mir die 'Kindersicherung' in den Sinn, im Wissen, dass diese primär dafür da ist, den Internetverkehr vom LAN zum WAN zu blockieren und habe dann einfach mal den umgekehrten Weg probiert.

In der Zwischenzeit habe ich von extern auf die beiden Apps mit deren URL (abc.ABCDE.synology.me) zuzugreifen versucht und es war mir nicht möglich durchzukommen. Sekunden nach Aufhebung der Sperre kam ich durch.

Mit laienhaften Kenntnissen ausgerüstet würde ich als Fazit (betreffend meinem Router) sagen: Falls in der gesperrten Zeit ein wie immer gearteter PortScan stattfinden würde, wäre die Antwort wohl ein TimeOut.

Beste Grüsse

PS: Den von @metalworker gemachte Hinweis werde ich auch weiterverfolgen. Obwohl ich nicht ganz sicher bin, ob meine Fähigkeiten es ermöglichen eine OPNSense Firewall aufzusetzen.
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat