senderversteller
Benutzer
- Mitglied seit
- 10. Dez 2015
- Beiträge
- 254
- Punkte für Reaktionen
- 52
- Punkte
- 34
Synology Firewall Geo Blocker Geolocation aktivieren?
- Ersteller synuser12
- Erstellt am
Hallo synuser12,
Bücher und Hardware zum Thema gibt es bei Amazon: Synology Firewall Geo Blocker Geolocation aktivieren?
Bücher und Hardware zum Thema gibt es bei Amazon: Synology Firewall Geo Blocker Geolocation aktivieren?
Dazu hatte ich auch recherchiert. Das Ende vom Lied: Es gibt keine Serverliste welche LE herausgibt, jedenfalls nix offizielles seitens LE. Unter anderem habe ich dies und das dazu gefunden. Deckt sich also mit dem was senderversteller gepostet hat.
Zu guter Letzt hab ich dann meine DSM-Firewall versucht soweit anzupassen, dass ich mich nicht weiter darum kümmern muss.
Zu guter Letzt hab ich dann meine DSM-Firewall versucht soweit anzupassen, dass ich mich nicht weiter darum kümmern muss.
Ich hatte ursprünglich einfach im Quellcode von acme.sh geschaut, welche URL die da verwenden und wo der/die Server beheimatet ist/sind. Klar, das kann sich jederzeit ändern, der Name bleibt aber hoffentlich gleich.
Zuletzt bearbeitet:
senderversteller
Benutzer
- Mitglied seit
- 10. Dez 2015
- Beiträge
- 254
- Punkte für Reaktionen
- 52
- Punkte
- 34
Was heißt das konkret? Die gleiche Frage richte ich auch an @Benares
Was habt ihr in eurer DSM Firewall freigegeben, dass der LE Renewal funktioniert?
Die letzten drei Jahre hatte ich für Port 80 und 443 einfach auf "Alle" gestellt, würde dies aber gerne etwas restriktiver einstellen, so dass ich - wie vor geschrieben - aus US/SE/SG und eben DE geöffnet habe. Keine Ahnung ob das funktionieren wird.
Quelle:
Link Reddit
Zuletzt bearbeitet:
Von Firewall Einschränkungen bzgl. der Aktualisierung von Zertifikaten rät letsencrypt ausdrücklich ab.
Wenn du keine Ports dafür offen haben willst, nutze Wildcard Zertifikate mit DNS Challenge dafür. Entweder z.B. den Synology DDNS Dienst, oder über Umwege mit eigener Domain/anderen DDNS Diensten, sofern unterstützt.
Wenn du keine Ports dafür offen haben willst, nutze Wildcard Zertifikate mit DNS Challenge dafür. Entweder z.B. den Synology DDNS Dienst, oder über Umwege mit eigener Domain/anderen DDNS Diensten, sofern unterstützt.
Ich fang mal damit an:
Unter "Alle Schnittstellen" hab ich erstmal die Länder geblockt, welche ich definitiv nicht auf mein NAS lassen will. Setzt voraus, das Synology das Geoblocking ab und an mal aktualisiert. Je Land eine Verweigern-Regel. Sind bei mir aktuell 9 an der Zahl.
Unter LAN: (meine 218+ hat nur einen LAN-Port)
Da hier jetzt keine IP aus den unter "Alle Schnittstellen" geblockten Ländern durchkommt, habe ich:
Port 80 und 443 jeweils in einer separaten Regel für alle zugelassen. Damit brauch ich dann nicht mehr mit dem Kalender hantieren, wann die nächste Zertifikatsaktualisierung fällig ist. (bisher keine Loginversuche durch ungefragte)
Ganz oben hab ich für mein lokales Netzwerk noch DSM und diverse Dienste in jeweils einer Regel zugelassen.
Dann folgen noch einige weitere, für mich wichtige Zulassungen.
Unter "Alle Schnittstellen" hab ich erstmal die Länder geblockt, welche ich definitiv nicht auf mein NAS lassen will. Setzt voraus, das Synology das Geoblocking ab und an mal aktualisiert. Je Land eine Verweigern-Regel. Sind bei mir aktuell 9 an der Zahl.
Unter LAN: (meine 218+ hat nur einen LAN-Port)
Da hier jetzt keine IP aus den unter "Alle Schnittstellen" geblockten Ländern durchkommt, habe ich:
Port 80 und 443 jeweils in einer separaten Regel für alle zugelassen. Damit brauch ich dann nicht mehr mit dem Kalender hantieren, wann die nächste Zertifikatsaktualisierung fällig ist. (bisher keine Loginversuche durch ungefragte)
Ganz oben hab ich für mein lokales Netzwerk noch DSM und diverse Dienste in jeweils einer Regel zugelassen.
Dann folgen noch einige weitere, für mich wichtige Zulassungen.
senderversteller
Benutzer
- Mitglied seit
- 10. Dez 2015
- Beiträge
- 254
- Punkte für Reaktionen
- 52
- Punkte
- 34
Wieso separate Regeln? Welche Länder sind bei dir „böse“? (Nicht böse gemeint)
Wieso auch hier separat?
Du hast auch im LAN Einschränkungen vorgenommen? Wieso nicht einfach „Alle“ Ports im LAN?
ich hab diese 9 auserkoren. Die Liste hab ich mir nach etwas online-Recherche zusammengestellt. Sie legt keinen Wert auf Vollständigkeit. Separate Regeln, für die Übersicht. Dann kann ich mal eine Regel deaktivieren und muss nicht in einer Regel herum editieren (einen Eintrag rauslöschen), andersrum dito. Wenn noch mehr "Übeltäter-Länder" einfallen, her damit. ;-)
warum hab ich die 80 und 443 in separate Regeln gepackt... ebenso, wegen der Usability...
jaein. Unter LAN gilt ja, alles was nicht erlaubt ist, ist verboten. So hab ich es bei mir eingestellt. Daher erlaubt, was nötig ist, der Rest ist dann automatisch nicht erlaubt -> verboten(Verweigert).
P.S. Das mit der einen Regel pro Port hab ich hier im Forum in einem Thread (find ihn grad leider nicht) aufgeschnappt und für gut befunden, sodass ich es für mich umgesetzt habe. Für die Länder-Blockade fand ich das dann ebenso gut geeignet.
P.P.S.: LAN ist ja nur die Schnittstelle. Da gibts Regeln fürs lokale Netzwerk und auch Regeln für den Zugriff von außen(Internet).
Zuletzt bearbeitet:
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
