Synology -Firewallregeln

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Poste mal einen Screenshot von allen Regeln.
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
x.jpg
y.jpg
Bei VPN unten derzeit auf erlauben. Wenn ich verweigern einstelle funzt es nicht mehr.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Regel 1 ist für dein lokales LAN denke ich mal. Die Adresse musst du nicht schwärzen, damit kann keiner etwas anfangen. ;)

Ich habe jetzt noch keinen VPN Server bei mir in Betrieb gehabt, aber aus der Logik heraus, würde ich jetzt die Regeln für VPN aus "LAN 1" zu VPN übertragen (aus LAN 1 entfernen) und anschließend bei "VPN" Zugriff verweigern wählen.
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
funktioniert nicht! sobald unten verweigern eingestellt ist geht es nicht.
Im Übrigen ist es ja nur eine Regel....
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Welche Ports hast du im Router weitergeleitet?
 

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
bin jetzt nicht mehr am rechner.
da sind die 3 vpn ports freigeschaltet die der server brauch. vpn funktioniert ja auch.
dieser separate vpn-reiter im server ist das problem, die konfiguration.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Ich bin raus hier, da ich kein VPN Server betreibe und deshalb auch nur raten kann.
Vielleicht hilft das..

https://youtu.be/OYXv9tNeE10
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Betrifft #42, die erste Regel!
Sieht das hier keiner? Diese Regel ist genau das was nicht passieren darf.
Es kommt eine Anfrage an einen beliebigen Port und beliebige IP und die Firewall lässt alles nach der ersten Regel durch. Da mit dieser Erlaubnis kein weiterer Bedarf einer Prüfung der folgenden Regeln besteht werden diese auch nicht mehr beachtet.
Wenn ihr das alle so macht könnt ihr die Firewall auch deaktivieren, siehe mein Posting #20
 
Zuletzt bearbeitet:

MediaMan

Benutzer
Mitglied seit
19. Okt 2018
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
wenn man nicht sehen kann was unter dem schwarzen balken steht gebe ich dir recht.
da steht aber blos ein interner ip-bereich drin.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Auch das macht man nicht!!!
Richtung Server wird nur erlaubt was er bzw. der Client braucht, alles andere gehört verboten, auch im eigenen LAN!
Die Schadsoftware/ ein Penetrator die sich in deinem LAN uU tummelt freut sich über die volle Auswahl an Ports.
 

northcup

Benutzer
Mitglied seit
18. Jun 2011
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Betrifft #42, die erste Regel!
Sieht das hier keiner? Diese Regel ist genau das was nicht passieren darf.
Es kommt eine Anfrage an einen beliebigen Port und beliebige IP und die Firewall lässt alles nach der ersten Regel durch. Da mit dieser Erlaubnis kein weiterer Bedarf einer Prüfung der folgenden Regeln besteht werden diese auch nicht mehr beachtet.
Wenn ihr das alle so macht könnt ihr die Firewall auch deaktivieren, siehe mein Posting #20
Hi, ich weiss - das ist schon laengst Geschichte - falls jemand trotzdem noch antworten moechte; ... der Einwand oben ist m.E. nicht berechtigt, weil die formulierte erste Regel als Quell-Ip nur den lokalen IP-Bereich zulaesst. Demzufolge kann eine von aussen kommende fremde IP nicht zugreifen - falsch __ richtig__ ? (ich lerne gerade Firewall - schoenes Thema :( )
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Für deine DS kommt der Zugriff vom Router oder einem PC, also aus dem Heimnetzwerk. Kommt jetzt darauf an, was in der Quell-IP steht. Aber wenn es der Router ist, geht alles durch, was von dort kommt.

Gute Einstellung heißt, in allen Regeln eng definiert bestimmte Zugriffe zu erlauben. Je weniger, um so besser. Die letzte heißt immer (!) alles andere verbieten - sonst kann man sich den ganze Aufwand vorher auch schenken. Was nützt es, wenn eine Anfrage 10x gefiltert und abgewiesen wird, wenn Regel 11 dann sagt: Alles, was hier ankommt, ist übrigens auch erlaubt (obwohl es vorher 10x nicht gepasst hat).
 
  • Like
Reaktionen: Daemion und northcup

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Nur der Vollständigkeit halber: Wer kann sollte die oben besprochenen Firewall-Regeln natürlich auf dem Router umsetzen. Dann würde u.a. das Geoblocking bereits dort erfolgen. Leider braucht es dafür Router, die so etwas können und eben das nötige Know-How.
Insofern ist die hier beschriebene Nutzung der Firewall auf der Syno-NAS absolut richtig und sinnvoll.
 
  • Like
Reaktionen: northcup

EGOiST

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
93
Punkte für Reaktionen
4
Punkte
8
Ich grabe das Thema mal kurz aus:
1642778052005.png

Wo ist die Option "Wenn keine Regel zutrifft hin?"
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.489
Punkte für Reaktionen
1.654
Punkte
274
Auf Regel bearbeiten klicken und die Schnittstelle auswählen.
 
  • Like
Reaktionen: EGOiST

EGOiST

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
93
Punkte für Reaktionen
4
Punkte
8
Danke fuer die schnellen Antworten.
Ist aber falsch.
Vorher konnte man sagen:
Ort -> Deutschland -> Zulassen

Dann gabs weiter unten einen haken - alles andere verweigern.

Den gibts jetzt nicht mehr.
Man kann aber auch nicht alle laender verweigern weil eine regel nur 15 eintraege haben darf....
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
...Dann gabs weiter unten einen haken - alles andere verweigern.

Den gibts jetzt nicht mehr.
Man kann aber auch nicht alle laender verweigern weil eine regel nur 15 eintraege haben darf....
UNSINN! Natürlich gibt es dieses Kontrollfeld alles andere verweigern immer noch!
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: stulpinger

EGOiST

Benutzer
Mitglied seit
22. Jun 2015
Beiträge
93
Punkte für Reaktionen
4
Punkte
8
Ja. Ist nur in ein anderes Fenster gewandert. Haben wir ja schon festgestellt - beruhig dich
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat