kann man irgendwo einstellen, dass nur ausgewählte IP Adressen oder besser noch MAC Adressen Zugriff auf DSM haben? In Systemsteuerung>Schutz>Konto habe ich etwas gefunden. Aber wenn ich dort freigegebene IPs eingebe, dann sind die restlichen IPs ja nicht gesperrt. Ich will nur drei IP Adressen den Zugriff gewähren, den Rest will ich sperren.
DSM 6.x und darunter nur ausgewählte IPs Zugriff auf DSM
- Ersteller master123
- Erstellt am
Alle DSM Version von DSM 6.x und älter
- Status
Hallo master123,
Bücher und Hardware zum Thema gibt es bei Amazon: nur ausgewählte IPs Zugriff auf DSM
Bücher und Hardware zum Thema gibt es bei Amazon: nur ausgewählte IPs Zugriff auf DSM
- Mitglied seit
- 11. Jun 2017
- Beiträge
- 2.117
- Punkte für Reaktionen
- 256
- Punkte
- 129
Ich kenne dafür nur die Möglichkeit über die Firewall.
Diese bietet die Möglichkeit, Regeln zu definieren. Und zusätzllich noch die Möglichkeit, sämtliche anderen Zugriffe entweder zu erlauben oder zu blockieren.
Das kann dann natürlich auch schon etwas komplexer werden. Vor allem mit der Option, alles was nicht zutrifft zu blockieren.
Ich betreibe bei mir das ganze im Modus, trifft etwas nicht zu, dann blockieren. Dazu muss man aber schon ziemlich genau wissen, wer/was/wo da Zugriff benötigt.
Und was ich mir bisher komplett gespart habe, ist für den Zugriff von außen zB. via VPN nur gewisse IP Ranges zu whitelisten (gerade mit Handys und LTE-Tarifen gibt es soviele IPs durch dynamische NAT Pools
). Da gibts dann die Regel alle:VPNPort erlauben.
Wenn es dir nur um DSM -also die Verwaltungsoberfläche - geht (Port 5001 Standardmäßig?), könntest du es wie folgt umsetzen:
IP1:5001 erlauben
IP2:5001 erlauben
IP3:5001 erlauben
alle:5001 Zugriff verweigern
Diese bietet die Möglichkeit, Regeln zu definieren. Und zusätzllich noch die Möglichkeit, sämtliche anderen Zugriffe entweder zu erlauben oder zu blockieren.
Das kann dann natürlich auch schon etwas komplexer werden. Vor allem mit der Option, alles was nicht zutrifft zu blockieren.
Ich betreibe bei mir das ganze im Modus, trifft etwas nicht zu, dann blockieren. Dazu muss man aber schon ziemlich genau wissen, wer/was/wo da Zugriff benötigt.
Und was ich mir bisher komplett gespart habe, ist für den Zugriff von außen zB. via VPN nur gewisse IP Ranges zu whitelisten (gerade mit Handys und LTE-Tarifen gibt es soviele IPs durch dynamische NAT Pools
). Da gibts dann die Regel alle:VPNPort erlauben.Wenn es dir nur um DSM -also die Verwaltungsoberfläche - geht (Port 5001 Standardmäßig?), könntest du es wie folgt umsetzen:
IP1:5001 erlauben
IP2:5001 erlauben
IP3:5001 erlauben
alle:5001 Zugriff verweigern
Hallo zusammen,
dieser Thread spricht genau das an was ich einstellen möchte
Aber leider ist mir nicht ganz klar wie ich es definiere.
Meine Synology meldet mir täglich Angriffe durch die Benachrichtigung der Sperrung einer IP aufgrund schneller Loginversuche mit falschen Logindaten.
Da diese Angriffe bislang nur aus dem Ausland kommen, möchte ich erstmal alle IP-Bereiche sperren und ausschließlich die aus Deutschland zulassen.
Ich habe noch keine Möglichkeit gefunden das so einzustellen.
Geht das überhaupt?
Vielen dank für eure Hilfe
Sascha
dieser Thread spricht genau das an was ich einstellen möchte
Aber leider ist mir nicht ganz klar wie ich es definiere.
Meine Synology meldet mir täglich Angriffe durch die Benachrichtigung der Sperrung einer IP aufgrund schneller Loginversuche mit falschen Logindaten.
Da diese Angriffe bislang nur aus dem Ausland kommen, möchte ich erstmal alle IP-Bereiche sperren und ausschließlich die aus Deutschland zulassen.
Ich habe noch keine Möglichkeit gefunden das so einzustellen.
Geht das überhaupt?
Vielen dank für eure Hilfe
Sascha
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 622
- Punkte
- 174
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Blos nicht nachmachen, was in der Grafik abgebildet ist!
In einer Firewall stellt man nur Regeln auf, die etwas explizit erlauben.
Heisst in der Firewall der Syno steht rechts aussen immer allow, kein deny!
Als allerletzte Regel setzt man dann mit dem Haken am unteren Bildschirmrand das Blocken vom allem, was nicht unter allow steht.
Heisst für die Sperrung von IPs aus dem Ausland setzt du Deutschland auf Allow und der Rest der Welt ist automatisch geblocked.
In einer Firewall stellt man nur Regeln auf, die etwas explizit erlauben.
Heisst in der Firewall der Syno steht rechts aussen immer allow, kein deny!
Als allerletzte Regel setzt man dann mit dem Haken am unteren Bildschirmrand das Blocken vom allem, was nicht unter allow steht.
Heisst für die Sperrung von IPs aus dem Ausland setzt du Deutschland auf Allow und der Rest der Welt ist automatisch geblocked.
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 622
- Punkte
- 174
So?
Du kennst also die IP-Adressen, die ich explizit nochmal 'denied' habe?
Ja, es mag sein, dass der Eintrag technisch nicht erforderlich ist, habe diesen jedoch als Merkhilfe für mich dort hinterlegt.
Gleiches gilt für die Einträge, die nach ALL/ALL/DENY stehen
Den es aber an dieser Stelle dort eben nicht gibt
Lieber NSFH, mir ist schon öfters aufgefallen, dass Du Dinge in den Ring wirfst, die Du nicht hinterfragt hast.
Sowas dann als gefährlich (dick und fett schwarz geschrieben) darzustellen hilft hier niemandem weiter.
Es würde mich daher freuen, wenn Du hier zukünftig etwas mehr Weitsicht einfliessen lassen würdest.
Aufgrund meines Screenshots erwarte ich vom Ratsuchenden, dass er evtl. eine genauere Vorgehensweise hinterfragt. Daraus kann ich dann erkennen, wo es evtl. noch am Verständnis klemmen könnte. Mit Deinen Ausführungen passiert sowas leider nicht
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Lieber AndiHeitzer,
schau dir deine Schnittstellen in der Firewall mal genau an, dann wirst du auch den Eintrag Block all finden.
Nur weil du etwas nicht findest heisst es nicht, dass es nicht da ist.
Es gibt schon einen Grund, warum gemäss der Lehre in Firewalls mit allows gearbeitet wird und am Ende mit dem Block all.
Dieser Mischmasch führt bei komplexen Einstellungen nur zu Problemen, da häufig übersehen wird, dass die Regeln sequentiell abgearbeitet werden.
Es gibt übrigens noch Firewalls die detaillierter konfigurierbar sind als diese kleine von Synology. Hier muss man sich an gleichmässige Strukturen halten, sonst wird das nichts.
Wenn DU das nicht verstehen willst kein Problem, aber gerade für den Laien ist deine Vorgehensweise definitiv KEIN Musterbeispiel!
Oben drei IP Bereiche zu blocken und unten deny all zu schreiben ist total überflüssig.
Richtig wäre die drei Adressen auf allow zu stellen aber zu deaktivieren um sie im Bedarfsfall freischalten zu können, denn darum gehts da ja anscheinend.
Inkonsequenter Weise schiebst du dann noch 2 deaktivierte Einträge unter block all. Ein Musterbeispiel von Unsinn oder aber Misstrauen gegenüber der Firewall.
Bevor du also andere kritisierst greif dir erst mal an die eigene Nase und setze den vielen Laien nicht etwas vor, was für dich persönlich vielleicht Sinn ergibt, aber nicht dem entspricht wie ein Musterbeispiel aussehen sollte!
schau dir deine Schnittstellen in der Firewall mal genau an, dann wirst du auch den Eintrag Block all finden.
Nur weil du etwas nicht findest heisst es nicht, dass es nicht da ist.
Es gibt schon einen Grund, warum gemäss der Lehre in Firewalls mit allows gearbeitet wird und am Ende mit dem Block all.
Dieser Mischmasch führt bei komplexen Einstellungen nur zu Problemen, da häufig übersehen wird, dass die Regeln sequentiell abgearbeitet werden.
Es gibt übrigens noch Firewalls die detaillierter konfigurierbar sind als diese kleine von Synology. Hier muss man sich an gleichmässige Strukturen halten, sonst wird das nichts.
Wenn DU das nicht verstehen willst kein Problem, aber gerade für den Laien ist deine Vorgehensweise definitiv KEIN Musterbeispiel!
Oben drei IP Bereiche zu blocken und unten deny all zu schreiben ist total überflüssig.
Richtig wäre die drei Adressen auf allow zu stellen aber zu deaktivieren um sie im Bedarfsfall freischalten zu können, denn darum gehts da ja anscheinend.
Inkonsequenter Weise schiebst du dann noch 2 deaktivierte Einträge unter block all. Ein Musterbeispiel von Unsinn oder aber Misstrauen gegenüber der Firewall.
Bevor du also andere kritisierst greif dir erst mal an die eigene Nase und setze den vielen Laien nicht etwas vor, was für dich persönlich vielleicht Sinn ergibt, aber nicht dem entspricht wie ein Musterbeispiel aussehen sollte!
- Mitglied seit
- 30. Jun 2015
- Beiträge
- 3.332
- Punkte für Reaktionen
- 622
- Punkte
- 174
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Schalte mal bitte einen Gang runter. Er hat eine Zeile hervorgehoben und nicht gesagt dass er da ein Musterbeispiel verwendet. Technisch ist das alles durchaus möglich, über den Rest kann man diskutieren, dann aber bitte freundlich und nicht "von oben herab".
Tipp: Wenn dir das Thema wichtig ist, schreib ein paar "Best Practice" oder wie auch immer du es nennen möchtest in einer eigenen Diskussion auf. Darüber kann man viel besser diskutieren und bei Bedarf drauf verlinken.
MfG Matthieu
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
