IP-Blocking in Firewall

stifu

Benutzer
Mitglied seit
17. Feb 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo Miteinander

Meine Firewall soll nur Zugriffe aus der Schweiz erlauben (vorerst unabhängig des Ports). Wie die Firewall richtig eingestellt werden muss ist hier im Forum zur genüge dokumentiert:
1. Eigene IP-Range erlauben (192.168.x.1-192.168.x.255)
2. Gewünschte Länder erlauben
3. Alles andere blockieren
Die Regeln können grundsätzlich unter "Alle Schnittstellen" oder "LAN1" (resp. "LAN2", bei mir ists "LAN1") festgelegt werden. Trifft keine Regel in "Alle Schnittstellen" zu, werden die Regeln aus "LAN1" (resp. "LAN2") angewendet. Trifft keine Regel aus LAN1 zu, wird blockiert/erlaubt, je nachdem wie der Radio Button am unteren Fensterrand eingestellt ist.

Leider verhält sich meine Firewall nicht wie gewünscht.
- Wenn ich unter "Alle Schnittstellen" Zugriff aus meiner IP-Range sowie aus der Schweiz erlaube (siehe Bild 1) und unter "LAN1" keine Einstellungen habe, werden Anfragen aus der Schweiz blockiert. --> Meines Erachtens ist das eine falsche Reaktion der Firewall.
alleSchnittstellen.jpg
- Wenn ich exakt dieselben Einstellungen unter "LAN1" erfasse (und keine Einstellungen unter "Alle Schnittstellen"), werden Zugriffe aus der Schweiz erlaubt (siehe Bild 2). --> Wie erwartet.
Lan1.jpg
- Wenn ich nun unter "LAN1" die Schweiz entferne (und weiterhin keine Einstellungen unter "Alle Schnittstellen"), werden Zugriffe aus der Schweiz weiterhin erlaubt (siehe Bild 3). --> Meines Erachtens ist das eine falsche Reaktion der Firewall.
Lan1.jpg

Verstehe ich etwas fundamental falsch, oder hat jemand eine Idee weshalb sich die Firewall nicht wie erwartet verhält? Ich freue mich sehr über Inputs!

Beste Grüsse
Stifu
 

micaleum

Benutzer
Mitglied seit
10. Okt 2017
Beiträge
17
Punkte für Reaktionen
2
Punkte
3
Hallo Stifu
das mit der GEO-IP setze an letzter Stelle deiner Auflistung.

Deine Regeln besagen das zuerst alle Nutzer im Heimnetz alles nutzen dürfen, dann kommen die Schweizer Eidgenossen und zum Schluss hast du eine doppelte Verneinung angelegt vgl. "Wenn keine Regel zutrifft -> alles verweigern; ist unnötig.

Gruß Mica
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Welche dsm Version ist es denn?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.129
Punkte für Reaktionen
588
Punkte
194
Die Firewall macht genau was sie soll.
Im 2. Screen hast du GeoIP aktiviert und die Schweiz zugelassen.
Im 3.Screen ist GeoIP nicht aktiviert, deswegen gehen alle Länder.

Von Einstellungen unter alle Schnittstelle rate ich immer ab. Sicherer und genauer ist immer die Schnittstellen einzeln abzusichern!
 
  • Like
Reaktionen: blurrrr

stifu

Benutzer
Mitglied seit
17. Feb 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Vielen Dank für die vielen schnellen Antworten!
@micaleum Klar, die letzte Zeile ist hier nicht nötig. Sie macht aber funktionel gesehen keinen Unterschied.
@the other DSM Version ist DSM 6.2.3-25426 Update 3
@NSFH Genau, in Variante 2 habe ich auch erwartet dass der Zugriff funktioniert. In Variante 3 sollten aber ALLE Externen IP's (ausserhalb 192.168.178.x) geblockt werden, unabhängig der IP-Location, womit ich GeoIP nicht explizit aktivieren müsste. Übrigens, ich kann mit GeoIP sogar explizit die Schweiz blocken und der Zugriff aus der Schweiz funktioniert trotzdem noch :rolleyes: (keine Einstellungen unter "Alle Schnittstellen" vorhanden):
Lan1_CHverweigert.jpg
Sobald ich diese 3 Einstellungen (Interne IP's zulassen; Schweiz verweigern; Alle anderen verweigern) von LAN1 nach Alle Schnittstellen verschiebe, wird der Zugriff aus der Schweiz blockiert.

Zusammengefasst: Unabhängig davon, was ich genau für Regeln erfasse:
- Wenn ich die Regeln unter LAN1 erfasse, wird der Zugriff aus der Schweiz erlaubt.
- Wenn ich dieselben Regeln unter Alle Schnittstellen erfasse, wird der Zugriff aus der Schweiz blockiert.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.129
Punkte für Reaktionen
588
Punkte
194
Nutzt du für die Zugriffe von Aussen Synology Quick Cconnect?
 

stifu

Benutzer
Mitglied seit
17. Feb 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Ja
 
Zuletzt bearbeitet von einem Moderator:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
da der Zugriff via QuickConnect afaik über die Synology Server geht (die sonstwo stehen)...könnte das zur Lösung des "Problems" beitragen.
Mal über andere Wege probiert (VPN, DYNDNS, etc)?
;)
 

stifu

Benutzer
Mitglied seit
17. Feb 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Tatsache, über andere Wege reagiert die Firewall wie erwartet. Habe nun einen VPN-Server eingerichtet, so klappts. Vielen Dank für den Tipp!
Was mich nach wie vor verwundert ist, dass die Firewall beim Zugriff mit quickconnect anders reagiert je nachdem die Einstellungen unter "Alle Schnittstellen" oder "LAN 1" vorgenommen wurden.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
https://global.download.synology.co...All/enu/Synology_QuickConnect_White_Paper.pdf guckste Dir dat mal an, vllt wird es dann etwas verständlicher. Grundlegend blockiert die Firewall nur die "eingehenden" Dinge (welche vorher nicht von intern angefragt wurden). Der Fall Quickconnect ist mitunter "etwas" anders gelagert (das NAS wird angewiesen von innen nach aussen eine Kommunikationskanal zu öffnen, deswegen braucht es auch keine Portfreigaben, oder dergleichen) ??

EDIT: Hast Du Dich eigentlich nie gefragt, wie die Syno an ihre Update-Server kommen kann, wenn Du alles ausser der Schweiz verbietest? ;)
 

stifu

Benutzer
Mitglied seit
17. Feb 2021
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hey @blurrrr
Vielen Dank für den Link, sehr aufschlussreiches Paper! Wieso jetzt der Unterschied zwischen LAN 1 und Alle Schnittstellen gemacht wird muss ich mir aber nochmals durch den Kopf gehen lassen :)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Da die synology mit verschiedenen Interfaces arbeitet (lan1, lan 2, lan usw, vpn, etc) ist es eben möglich, Regeln für alle Schnittstellen zu erstellen (spart Arbeit) oder auch Regeln für die einzelnen Schnittstellen.
Ob das für private Zwecke sinnig ist, sei mal zur Diskussion gestellt.
Wenn du also nicht so viel Interface Krempel hast (nur lan), dann bist du (wie auch schon gesagt wurde) mit der Regel Erstellung im konkreten Interface besser aufgehoben.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Wieso jetzt der Unterschied zwischen LAN 1 und Alle Schnittstellen gemacht wird
Das ist was für "faule", die ansonsten alles für jede Schnittstelle regeln müssten ;) Guckste hier:
https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewall

Priorität der Firewall-Regeln:​

  1. Regeln, die unter „Alle Schnittstellen“ definiert sind.
  2. Regeln, die in den entsprechenden Schnittstellen definiert sind, zu denen die Verbindung gehört.
  3. Standardregeln in den entsprechenden Schnittstellen, zu denen die Verbindung gehört.
 
  • Like
Reaktionen: the other


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat