DSM 6.x und darunter Skript zum Deaktivieren/Aktivieren der Firewall

[princemaxwell]

Hallo zusammen,

ich benötige ein Bash Script Befehl, den ich im Aufgabenplaner hinterlegen kann.
Dieser soll die Firewall deaktivieren. Und anschließend wieder aktivieren.

Ziel ist die automatischer Aktualisierung meines Zertifikates, was durch die Firewall verhindert wird.
Daher will ich automatisch die FW deaktivieren, Zertifikat erneuern und dann FW wieder aktivieren.

Hat jemand eine Idee oder einen Befehl?

 

[RichardB]

Per Hand? Wie oft erneuert man ein Zertifikat?

 

[framp]

...Hat jemand eine Idee oder einen Befehl?...

Auf Linuxebene wird iptables benutzt um zu definieren was und wie geblocked wird. Mit iptables-save kann man die aktuell aktiven Regeln sichern und mit iptables-restore wiederherstellen. Hier werden diverse Methoden beschrieben wie man die iptable Regeln ausschaltet. Die drei Dinge muessen dann nur noch in ein kleines bash Script gegossen werden.

 

[goetz]

Hallo,

root@DS916:~# synofirewall --help
Usage:
  synofirewall <action> [options...]

Actions:
  -h, --help
  --enable                              enable firewall.
  --disable                             disable firewall.
  --reload                              reload firewall.
  --update                              update firewall's config.
  --enum [IPV4|IPV6]                            enum firewall iptables rules.
  --enum-adapter                                enum firewall adapter.
  --profile-list                        list all profile.
  --profile-set [profile name]          set running profile, but would not reload firewall.
  --insert-test                         only for testing
  --service [service_keyword]       list service name & port mapping
  --change-adapter [old adapter] [new adapter]
  --change-security-adapter [old adapter] [new adapter]
  --serv-block [interface] [service name] check if firewall block service
  --info show information

Gruß Götz

 

[framp]

Dachte mir schon dass es von Syno ein fertiges Teil dazu gibt. Gibt es irgendwo eine Liste aller nuetzlichen Syno commandline tools?

 

[Tommes]

synoservice --help

Oder noch besser *klick*

Tommes

 

[framp]

Perfekt @Tommes. Vielen Dank

 

[princemaxwell]

Mega! Vielen Dank für Eure Hilfe!

 

[framp]

<OT>
@Tommes: Kennst Du dieses Cheetsheet?
</OT>

 

[princemaxwell]

Funktioniert perfekt, damit bin ich meinem Ziel einer völlig automatisierten LetsEncrypt Aktualsierung sehr nahe.

Hat jemand ne Idee, ob es auch ein Script für die Fritz!Box gibt, um Portfreigaben zu aktivieren und deaktivieren?

 

[Tommes]

@framp
Explizit dieses kannte ich noch nicht, von daher danke für den Tipp bzw. Link. Sowas kann manchmal ziemlich nützlich sein.

@princemaxwell
Nun, ob bzw. wie das in der FritzBox gehen soll, kann ich dir nicht beantworten. Eventuell gibt es aber eine Möglichkeit das per UPnP von der Syno aus zu erledigen, Leider habe ich damit aber keinerlei Erfahrungswerte, da UPnP ja eigentlich ausgeschaltet gehört.

Tommes

 

[NSFH]

Für AVM gibt es sowas mit Sicherheit nicht. Das ist eine geschlossene Anschlussbox für Dummies (nicht abwertend gemeint). Wenn du solche Wünsche hast musst du in einen richtigen Firewall Router investieren.

 

[Tommes]

Wobei... wenn der Port 80 in der FritzBox für die Aktualisierung des Zertifikats offen ist, die Firewall der DS den Port i.d.R. aber blockiert, sollte die Gefahr eines Angriffes auf diesem Port wohl eher gering sein, oder sehe ich das falsch? Ein offenerer Port als solches ist ja erstmal nicht das Problem, sondern der Dienst, der an diesem Port lauscht. Sollte ich hier falsch liegen, dann bitte ich darum, mich in Kenntnis zu setzen.

Tommes

 

[NSFH]

Das Problem ist schon die Weiterleitung von Ports aus dem Router an die Syno. Damit ist Port 80 das Angriffstor für jegliche Hackersoftware, auch wenn er in der Firewall erst mal zu ist landest du auf der Nw-Karte im Server. Das muss dann nicht unbedingt der Einstieg in den Server sein, aber evtl in das LAN. Ein vollkommen unnötiges Risiko.
Aus dem Grund erfolgt in meinen Installationen die Anbindung Syno<>Internet immer über eine eigene LAN Verbindung, die mit dem lokalen LAN nie in Berührung kommt.

 

[princemaxwell]

Das bedeutet dann aber doch auch, dass Du Deine Syno nicht lokal erreichen kannst.
Wie hast Du das denn angestellt, dass die Syno vom LAN getrennt bleibt?
Sicher wäre da ja nur nen eigenständiger Router, oder?