SSH-Zugriff über Firewall nur für bestimmte IP-Adressen freigeben

Jaxon

Benutzer
Mitglied seit
14. Dez 2020
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Gute Tag,

ich möchte den SSH-Zugriff auf meine Synology so regeln, dass lediglich Geräte im eigenen Netzwerk Zugriff darauf haben.
Hierzu legte ich in den Firewall-Einstellungen eine neue separate Regel für den Dienst "Verschlüsselter Terminaldienst" mit Protokoll SSH und Port 22 an.
Unter Quell-IP wählte ich das Subnetz mit der Maske 255.255.255.0 auf die IP-Adresse 192.168.Y.0 (mein Gerät befindet sich auch im entsprechenden Bereich, hat also zum Beispiel die IP-Adresse 192.168.Y.73).

Leider kann ich nach Speicherung keinen Zugriff per SSH mehr auf die Synology erlangen. Ändere ich die Regel hingegen so ab, dass die Quell-IP auf "Alle" oder Ort "Deutschland" steht, funktioniert es. Letzteres ist allerdings, wie angesprochen, gar nicht notwendig, da ich lediglich von zu Hause aus darauf zugreifen mag.

Hat jemand einen Tipp?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Glaub darunter gab es noch irgendwo 2 Möglichkeiten von wegen "alles andere erlauben" und "alles andere verbieten", kann das sein? Weiss grade auch nicht, ob die Regeln noch ein "allow" und "deny" dabei hatten. Das müsste halt entsprechend auch gesetzt werden. Eine Regel besteht "niemals" nur aus Quelle+Dienst+Ziel, sondern braucht auch noch immer die Anweisung, was damit passieren soll.

Wenn Du es "vernünftig" machen willst, würde das Konzept wie folgt aussehen:

Erste Regel: LAN darf X (vermutlich einfach "alles", das ist die oberste und erste Regel, denn damit verhinderst Du, dass Du Dich selbst aussperrst).
Alles dazwischen: Regeln nach Bedarf
Letzte Regel: Alles andere (was nicht vorher aufgeführt wurde) darf nicht

EDIT: Vielleicht hast Du bei der SSH-Regel ggf. auch das falsche Interface ausgewählt? Im Zweifel einfach auf "alle" setzen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Man kann sich in der Syno nicht mehr selber aussperren. Da wurde ein Riegel vorgeschoben. Ist wohl zu vielen Dummies passiert.
Ganz grosses VETO! Deine erste Regel halte ich für fatal. Die trifft auf alles zu und der Überprüfungsprozess für das interne LAN endet hier.
Dann könnte man keine Regeln mehr erstellen, die das interne LAN betreffen. Den Freibrief sollte man auch intern niemals ausstellen.

@TE: Beim Definieren kann man auswählen erlauben oder blocken. Das ist die einzige Fehlerquelle, ansonsten wäre alles stimmig.
 
  • Haha
Reaktionen: blurrrr

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Nu jank nicht rum, wegen irgendwelchem Privatnetz-Kram, ansonsten wird der DSM-Zugang vergessen und Ende im Gelände ?? Aber wenn man sich nicht mehr aussperren kann (was ja auch schon etwas merkwürdig ist), sei's drum ??
 

Jaxon

Benutzer
Mitglied seit
14. Dez 2020
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Danke euch beiden! Ich werde mich gleich nochmal mit der Definition bzgl. erlauben und blockieren auseinandersetzen. Eventuell ist mir hier in der Tat ein Fehler unterlaufen :)

Gruß Jaxon
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Ist noch kein Meister vom Himmel gefallen, also mal ganz in Ruhe hinsetzen und ein bisschen testen (aber primär zusehen, dass man sich nicht selbst aussperrt (ruhig als Gedanken mit aufnehmen, ggf. sogar als Regel, auch wenn es ja anscheinend nicht mehr möglich ist, aber so bekommt man wohl ein besseres Verständnis von der Sache). Viel Erfolg! ??
 
  • Like
Reaktionen: Jaxon


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat