Synology -Firewallregeln

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Ist immer noch im gleichen Fenster wie früher! Scheisshausparolen!
 
  • Like
Reaktionen: stulpinger

sylvio2000

Benutzer
Mitglied seit
06. Nov 2015
Beiträge
79
Punkte für Reaktionen
6
Punkte
8
Dieser thread ist echt interessant und hat mir schon (gedanklich) sehr weitergeholfen.

Dennoch ist eine Frage offen:
@c0smo
In Beitrag #34 hast du in deiner 1. Firewall-Regel bestimmte Dienste innerhalb deines lokalen Netzwerkes freigegeben. ABER fällt da nicht auch dein Router drunter? Sollte man den nicht irgendwie noch extra davon ausschließen? Sonst würde ich doch auch den Zugriff von außen (über den Router) auf diese Dienste freigeben, oder?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.673
Punkte für Reaktionen
1.574
Punkte
314
Ich hoffe, ich habe deine Fragen richtig verstanden. Falls nein, dann bitte ich dies zu entschuldigen.

fällt da nicht auch dein Router drunter? Sollte man den nicht irgendwie noch extra davon ausschließen?
Wer zeigt den Daten denn dann den Weg zum Ziel, wenn du den Router - der ja das Routing übernimmt - durch eine Firewallregel ausschließt?

Sonst würde ich doch auch den Zugriff von außen (über den Router) auf diese Dienste freigeben, oder?
Nur wenn du die entsprechenden Ports im Router freigibst, damit diese an ein lokales Gerät im LAN weitergeleitet werden können. So lange du keine Portfreigaben im Router eingetragen hast, sind deine Geräte im LAN erstmal nicht von außen erreichbar.

Tommes
 

sylvio2000

Benutzer
Mitglied seit
06. Nov 2015
Beiträge
79
Punkte für Reaktionen
6
Punkte
8
zu 1. Stimmt, wobei ich noch einen Switch dazwischen habe ;)

zu 2.
Also ich habe auf der Synology eine DDNS Domain eingerichtet und kann über reverse proxy auf verschiedene Dienste der Synology zugreifen. Portfreigaben im Router sind: 80, 443 und 5001
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.673
Punkte für Reaktionen
1.574
Punkte
314
Ich kann dir grad nicht ganz folgen. Wenn du die Ports 80, 443 und 5001 im Router weiterleitest, dann möchtest du ja auch Zugriff von extern auf deine DS haben. Dann kannst du in der DS Firewall diese Ports ja nicht einfach sperren. Oder wie meinst du das jetzt?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
ABER fällt da nicht auch dein Router drunter?
Ich gebe nicht bestimmte IPs frei, sondern mein ganzes /24 Netz. Damit ist der Router eingeschlossen und auch meine Switche.
Wenn ich den Router explizit ausschließen würde, fängt die DS bestimmt auch zu jammern an, da das das Gateway ist. Zumindest eine Vermutung von mir.
Aber wie Tommes schon sagt, es macht ja gar keinen Sinn das Gateway zu verbieten, das zudem auch das Routing übernimmt. Das wäre ja so als wenn du deine Haustüre von innen verschließt und den Schlüssel durchs Fenszter zum Nachbarn wirfst. ^^
 

sylvio2000

Benutzer
Mitglied seit
06. Nov 2015
Beiträge
79
Punkte für Reaktionen
6
Punkte
8
Also im Prinzip möchte ich, dass bestimmte Dienste (alles in Docker) aus dem lokalen LAN und von außen, über den Router, erreichbar sind. Ich glaube, damit habe ich mir meine Frage schon selbst beantwortet 😅
Die Ports auf der Synology dürfen für diese Dienste dann natürlich nicht gesperrt werden, logisch.

ABER: Wenn ich (theoretisch) nur im lokalen LAN auf bestimmte Dienste zugreifen möchte, müsste ich dann nicht die Router-IP ausklammern? Oder würde es dann reichen einfach die Portfreigaben des Routers (80, 443, 5001) wieder zu löschen?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
Wieso willst du in deinem eigenen Netz dich selbst von Diensten und Entitäten ausschließen? Da komme ich nicht mit. Wenn du den Zugriff von draußen untersagen möchtest, dann richte keine Portfreigaben ein und erlaube in der Firewall nur dein 24er Netz. Der Rest wird dann gesperrt.
 

sylvio2000

Benutzer
Mitglied seit
06. Nov 2015
Beiträge
79
Punkte für Reaktionen
6
Punkte
8
Wenn ich den thread richtig verfolgt habe, hieß es doch, dass man auch für das eigene lokale Netz keine universelle Erlaubnis erteilen sollte?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Was soll denn passieren? Ich selbst begrenze mein heimisches Netz und Docker auch nicht.
1676369294609.png
Alle weiteren Ports kann man direkt im 3. Eintrag mit dem Geoblocking tätigen und dort gezielt die einzelnen Anwendungen auswählen. Somit bleibt die Liste immer übersichtlich. Die entsprechen bei mir ein 16er (1192) und ein 12er (172) Netzwerk.
 
  • Like
Reaktionen: c0smo

sylvio2000

Benutzer
Mitglied seit
06. Nov 2015
Beiträge
79
Punkte für Reaktionen
6
Punkte
8
Aber wenn ich einen böswilligen Nachbarn hätte, der in mein WLAN eindringt, hätte er doch direkt Zugriff auf alle Dienste? (wenn er die entsprechenden Ports herausgefunden hat).
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
Wenn ich den thread richtig verfolgt habe, hieß es doch, dass man auch für das eigene lokale Netz keine universelle Erlaubnis erteilen sollte?
Schließt du bei dir Zuhause auch Türen zu und wirfst den Schlüssel weg oder versteckst ihn?
Ich habe das im privaten noch nie kapiert, warum man sich selbst ausperrt.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
Aber wenn ich einen böswilligen Nachbarn hätte, der in mein WLAN eindringt, hätte er doch direkt Zugriff auf alle Dienste? (wenn er die entsprechenden Ports herausgefunden hat).
Dann liegt dein Problem aber am WLAN!
 
  • Like
Reaktionen: EDvonSchleck

sylvio2000

Benutzer
Mitglied seit
06. Nov 2015
Beiträge
79
Punkte für Reaktionen
6
Punkte
8
Na gut, das ist natürlich ein theoretisches Konstrukt, aber bei einem Laien in das WLAN einzudringen sollte ein geringeres Problem darstellen als die Synology Firewall zu umgehen. Gut, da scheiden sich wahrscheinlich die Geister :)

Abgesehen davon:
Wenn ich aber zusätzlich extern auf meine Synology-Dienste zugreifen möchte, macht es aber schon Sinn nur bestimmte Ports für das lokale Netz in der Syno-Firewall freizugeben, oder?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
7.503
Punkte für Reaktionen
1.660
Punkte
274
Selbst Laien sollte der Begriff "Verschlüsselung", "Starke Passwörter" und "WPA 2 und 3" mittlerweile ein Begriff sein. Zumal jede Fritzbox die Verschlüsselung als Standard aktiviert hat.
Und ich bin jetzt mal so frei zu behaupten, dass kein normaler Mensch in einer annehmbaren Zeit diese WPA Verschlüsselung knackt. Ja ich weiß, es gibt auch Sicherheitslücken.

Zitat:
  • Ein aktueller Computer mit einem vergleichsweise starken Intel® Core i7-7700k Prozessor mit 4 Cores und je Kern 4.20 GHz Taktrate kann ca. 16,8 Milliarden Versuche pro Sekunde unternehmen, den Schlüssel zu knacken (Dies als theoretisches Rechenbeispiel, effektiv wären es weniger, da die CPU noch viele andere Tasks zu bewältigen hat und nicht bei jedem Takt einen ganzen Schlüssel testen kann).
  • Bei 1.15792E+77 Schlüsselkombinationen, geteilt durch 16,8 Milliarden Versuche pro Sekunde, den Schlüssel zu knacken, werden im Durchschnitt 6.89239E+66 Sekunden dazu benötigt, die Daten zu entschlüsseln.
  • 6.89239E+66 Sekunden sind rund 2.18556E+59 Jahre, die zum Knacken des Schlüssels benötigt werden. Eine unvorstellbar grosse Zahl: Das sind insgesamt 218'556'000'000'000'000'000'000'000'000'000'000' 000'000'000'000'000'000'000'000 Jahre!
Ports werden nur diese aufgemacht, die auch wirklich verwendet werden! Sowohl in der DS als auch in der FritzBox.
 
  • Haha
Reaktionen: ctrlaltdelete


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat