- Registriert
- 09. Nov. 2016
- Beiträge
- 4.240
- Reaktionspunkte
- 659
- Punkte
- 194
Synology -Firewallregeln
- Ersteller bernd_
- Erstellt am
- Status
Dieser thread ist echt interessant und hat mir schon (gedanklich) sehr weitergeholfen.
Dennoch ist eine Frage offen:
@c0smo
In Beitrag #34 hast du in deiner 1. Firewall-Regel bestimmte Dienste innerhalb deines lokalen Netzwerkes freigegeben. ABER fällt da nicht auch dein Router drunter? Sollte man den nicht irgendwie noch extra davon ausschließen? Sonst würde ich doch auch den Zugriff von außen (über den Router) auf diese Dienste freigeben, oder?
Dennoch ist eine Frage offen:
@c0smo
In Beitrag #34 hast du in deiner 1. Firewall-Regel bestimmte Dienste innerhalb deines lokalen Netzwerkes freigegeben. ABER fällt da nicht auch dein Router drunter? Sollte man den nicht irgendwie noch extra davon ausschließen? Sonst würde ich doch auch den Zugriff von außen (über den Router) auf diese Dienste freigeben, oder?
- Registriert
- 26. Okt. 2009
- Beiträge
- 9.984
- Reaktionspunkte
- 2.032
- Punkte
- 339
Ich hoffe, ich habe deine Fragen richtig verstanden. Falls nein, dann bitte ich dies zu entschuldigen.
Tommes
Wer zeigt den Daten denn dann den Weg zum Ziel, wenn du den Router - der ja das Routing übernimmt - durch eine Firewallregel ausschließt?
Nur wenn du die entsprechenden Ports im Router freigibst, damit diese an ein lokales Gerät im LAN weitergeleitet werden können. So lange du keine Portfreigaben im Router eingetragen hast, sind deine Geräte im LAN erstmal nicht von außen erreichbar.
Tommes
zu 1. Stimmt, wobei ich noch einen Switch dazwischen habe 
zu 2.
Also ich habe auf der Synology eine DDNS Domain eingerichtet und kann über reverse proxy auf verschiedene Dienste der Synology zugreifen. Portfreigaben im Router sind: 80, 443 und 5001
zu 2.
Also ich habe auf der Synology eine DDNS Domain eingerichtet und kann über reverse proxy auf verschiedene Dienste der Synology zugreifen. Portfreigaben im Router sind: 80, 443 und 5001
- Registriert
- 26. Okt. 2009
- Beiträge
- 9.984
- Reaktionspunkte
- 2.032
- Punkte
- 339
Ich kann dir grad nicht ganz folgen. Wenn du die Ports 80, 443 und 5001 im Router weiterleitest, dann möchtest du ja auch Zugriff von extern auf deine DS haben. Dann kannst du in der DS Firewall diese Ports ja nicht einfach sperren. Oder wie meinst du das jetzt?
- Registriert
- 08. Mai 2015
- Beiträge
- 7.699
- Reaktionspunkte
- 1.764
- Punkte
- 274
Ich gebe nicht bestimmte IPs frei, sondern mein ganzes /24 Netz. Damit ist der Router eingeschlossen und auch meine Switche.
Wenn ich den Router explizit ausschließen würde, fängt die DS bestimmt auch zu jammern an, da das das Gateway ist. Zumindest eine Vermutung von mir.
Aber wie Tommes schon sagt, es macht ja gar keinen Sinn das Gateway zu verbieten, das zudem auch das Routing übernimmt. Das wäre ja so als wenn du deine Haustüre von innen verschließt und den Schlüssel durchs Fenszter zum Nachbarn wirfst. ^^
Für das Routing braucht der Router aber doch keinen Zugriff aufs NAS.
Also im Prinzip möchte ich, dass bestimmte Dienste (alles in Docker) aus dem lokalen LAN und von außen, über den Router, erreichbar sind. Ich glaube, damit habe ich mir meine Frage schon selbst beantwortet 
Die Ports auf der Synology dürfen für diese Dienste dann natürlich nicht gesperrt werden, logisch.
ABER: Wenn ich (theoretisch) nur im lokalen LAN auf bestimmte Dienste zugreifen möchte, müsste ich dann nicht die Router-IP ausklammern? Oder würde es dann reichen einfach die Portfreigaben des Routers (80, 443, 5001) wieder zu löschen?
Die Ports auf der Synology dürfen für diese Dienste dann natürlich nicht gesperrt werden, logisch.
ABER: Wenn ich (theoretisch) nur im lokalen LAN auf bestimmte Dienste zugreifen möchte, müsste ich dann nicht die Router-IP ausklammern? Oder würde es dann reichen einfach die Portfreigaben des Routers (80, 443, 5001) wieder zu löschen?
- Registriert
- 08. Mai 2015
- Beiträge
- 7.699
- Reaktionspunkte
- 1.764
- Punkte
- 274
Wieso willst du in deinem eigenen Netz dich selbst von Diensten und Entitäten ausschließen? Da komme ich nicht mit. Wenn du den Zugriff von draußen untersagen möchtest, dann richte keine Portfreigaben ein und erlaube in der Firewall nur dein 24er Netz. Der Rest wird dann gesperrt.
Wenn ich den thread richtig verfolgt habe, hieß es doch, dass man auch für das eigene lokale Netz keine universelle Erlaubnis erteilen sollte?
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.121
- Punkte
- 214
Was soll denn passieren? Ich selbst begrenze mein heimisches Netz und Docker auch nicht.
Alle weiteren Ports kann man direkt im 3. Eintrag mit dem Geoblocking tätigen und dort gezielt die einzelnen Anwendungen auswählen. Somit bleibt die Liste immer übersichtlich. Die entsprechen bei mir ein 16er (1192) und ein 12er (172) Netzwerk.
Alle weiteren Ports kann man direkt im 3. Eintrag mit dem Geoblocking tätigen und dort gezielt die einzelnen Anwendungen auswählen. Somit bleibt die Liste immer übersichtlich. Die entsprechen bei mir ein 16er (1192) und ein 12er (172) Netzwerk.
Aber wenn ich einen böswilligen Nachbarn hätte, der in mein WLAN eindringt, hätte er doch direkt Zugriff auf alle Dienste? (wenn er die entsprechenden Ports herausgefunden hat).
- Registriert
- 08. Mai 2015
- Beiträge
- 7.699
- Reaktionspunkte
- 1.764
- Punkte
- 274
Schließt du bei dir Zuhause auch Türen zu und wirfst den Schlüssel weg oder versteckst ihn?
Ich habe das im privaten noch nie kapiert, warum man sich selbst ausperrt.
- Registriert
- 08. Mai 2015
- Beiträge
- 7.699
- Reaktionspunkte
- 1.764
- Punkte
- 274
Na gut, das ist natürlich ein theoretisches Konstrukt, aber bei einem Laien in das WLAN einzudringen sollte ein geringeres Problem darstellen als die Synology Firewall zu umgehen. Gut, da scheiden sich wahrscheinlich die Geister 
Abgesehen davon:
Wenn ich aber zusätzlich extern auf meine Synology-Dienste zugreifen möchte, macht es aber schon Sinn nur bestimmte Ports für das lokale Netz in der Syno-Firewall freizugeben, oder?
Abgesehen davon:
Wenn ich aber zusätzlich extern auf meine Synology-Dienste zugreifen möchte, macht es aber schon Sinn nur bestimmte Ports für das lokale Netz in der Syno-Firewall freizugeben, oder?
- Registriert
- 08. Mai 2015
- Beiträge
- 7.699
- Reaktionspunkte
- 1.764
- Punkte
- 274
Selbst Laien sollte der Begriff "Verschlüsselung", "Starke Passwörter" und "WPA 2 und 3" mittlerweile ein Begriff sein. Zumal jede Fritzbox die Verschlüsselung als Standard aktiviert hat.
Und ich bin jetzt mal so frei zu behaupten, dass kein normaler Mensch in einer annehmbaren Zeit diese WPA Verschlüsselung knackt. Ja ich weiß, es gibt auch Sicherheitslücken.
Zitat:
Und ich bin jetzt mal so frei zu behaupten, dass kein normaler Mensch in einer annehmbaren Zeit diese WPA Verschlüsselung knackt. Ja ich weiß, es gibt auch Sicherheitslücken.
Zitat:
- Ein aktueller Computer mit einem vergleichsweise starken Intel® Core i7-7700k Prozessor mit 4 Cores und je Kern 4.20 GHz Taktrate kann ca. 16,8 Milliarden Versuche pro Sekunde unternehmen, den Schlüssel zu knacken (Dies als theoretisches Rechenbeispiel, effektiv wären es weniger, da die CPU noch viele andere Tasks zu bewältigen hat und nicht bei jedem Takt einen ganzen Schlüssel testen kann).
- Bei 1.15792E+77 Schlüsselkombinationen, geteilt durch 16,8 Milliarden Versuche pro Sekunde, den Schlüssel zu knacken, werden im Durchschnitt 6.89239E+66 Sekunden dazu benötigt, die Daten zu entschlüsseln.
- 6.89239E+66 Sekunden sind rund 2.18556E+59 Jahre, die zum Knacken des Schlüssels benötigt werden. Eine unvorstellbar grosse Zahl: Das sind insgesamt 218'556'000'000'000'000'000'000'000'000'000'000' 000'000'000'000'000'000'000'000 Jahre!
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
