Synology -Firewallregeln

[bernd_]

Hallo zusammen,

Macht es eigentlich Sinn unter Systemsteuerung-Sicherheit-Firewall Regeln zu erstellen?
Falls ja, welche sind hier sinnvoll?
Kann ich denn zum Bsp auch sagen.. Zugriff nur aus Deutschland?

Thx for Tips.

 

[Tommes]

Die DS-Firewall macht auf jeden Fall dann Sinn, sobald du deine DS ins Internet freigibst. In der Routerfirewall werden zwar nur die Ports freigeschaltet die man braucht aber GeoIP sowie weitere Beschränkungen lassen sich damit eher Selten umsetzen. Ich hab hier zu GeoIP und LAN Absicherung mal eine Anleitung geschrieben *klick*

Tommes

 

[winka]

Wenn ich wie unter der Anleitung gezeigt, nur Deutschland zulasse, dann funktioniert das auch wirklich so?

Habe mal gelesen, dass man andere Länder explizit ausschließen müsse, damit sie auch wirklich draußen bleiben.
Daher habe ich mir die Mühe machen müssen, mehrere Regeln zum Ausschließen machen müssen, da mehr als 25 Länder nicht in einer Regel ausgewählt werden müssen

Das wäre mal eine gute Nachricht.


Eine Frage noch, ist die Reihenfolge der Regeln relevant?
Edit: Ja ist es. Habe es gerade getestet, erstellt man widersprüchliche Regeln greift die zuerst, die ggü. der andern zuoberst steht.

 

[Tommes]

Nach meinen Erfahrungen und Erkenntnissen soll eine Firewall erstmal alles verweigern und alles was man zulassen möchte muß man dann halt freigeben. Und wenn ich z.B. nur Deutschland freigebe und somit alles andere verweigert wird, wie soll dann eine andersartige TLD Zugriff erhalten. Wenn das so einfach ginge, wäre eine Firewall ja für die Katz.

Anderseits ist eine GeoIP-Sperre nicht in Stein gemeißelt, man kann seine wahre Identität durch irgendeinen Porxy oder VPN ja auch sehr gut verschleiern und dem System vorgaukeln, das man eine .de Adresse hat!

Tommes

 

[winka]

Wenn ich einen Port freigebe, aber unter "Quell-IP" "alle" auswähle und diese Regel auch oberhalb der ausschließenden Regel stehen habe, dann greift die zweite Regel meines Erachtens nicht.

Beispiel:

Wenn Du die Regel erstellst:
Ports: alle / Protokoll: alle / Quell-IP: Deutschland

und danach einer darunterstehende Regel erstellst:
Ports: Video Station / /Protokoll: alle / Quell-IP: alle

dann haben alle IPs aus Deutschland auch Zugriff auch nicht explizit freigegebene Ports, da die obere Regel zuerst greift, die ja alle Ports freigegeben hat.


Insofern ist die DS-Firewall durchaus unklar in ihrer Bedienung.
Wenn du dann auch vergisst die verschiedenen Schnittstellen zu beachten ist das Problem umso größer.

Siehe dem Satz: Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst

Aus diesem Grund habe ich die anderen Schnittstellen wie LAN1, LAN2, PPPoE vom Regelwerk als verweigernd eingestellt.

 

[Tommes]

Hier mal ein Auszug aus der DSM-Hilfe...

Verhalten gemäß den Firewall-Regeln:

Die DSM-Firewall überprüft die Übereinstimmung mit den Regeln nach ihrer Priorität. Sobald eine Regel zutrifft, wird sie durchgesetzt und die DSM-Firewall beachtet die verbleibenden Regeln nicht weiter. Falls keine Regel zutrifft, führt DSM Firewall die Standardaktion durch, die in jeder Schnittstelle angegeben ist.

Priorität der Firewall-Regeln:

1. Regeln, die unter „Alle Schnittstellen“ definiert sind.
2. Regeln, die in den entsprechenden Schnittstellen definiert sind, zu welchen die Verbindung gehört.
3. Standardregeln in den entsprechenden Schnittstellen, zu welchen die Verbindung gehört.

Wenn du also "Alle Schnittstellen" auswählst, werden halt für alle Schnittstellen (LAN, PPPoE, etc.) die gleichen Regeln angewendet soweit konfiguriert. Ist für "Alle Schnittstellen" keine, oder keine passende Regel gesetzt, greift die Regel der "jeweiligen Schnittstelle" sofern konfiguriert. Weiterhin brauchst du auch nur für die Schnittstellen Regeln definieren, die du auch verwendest, soll heißen... nutzt du PPPoE nicht, dann brauchst du hierfür auch keine Regeln erstellen und somit auch keine Regeln unter "Alle Schnittstellen" definieren, sonder nur unter z.B. LAN. Alle Klarheiten beseitigt?

Und wenn du dann unter LAN die Regel ganz unten setzt "Wenn keine Regel zutrifft: Zugriff verweigern" und du dann eine Regel für dein Lokales LAN, GeoIP und die benötigten Ports bzw. Dienste definierst, so wie in meiner Anleitung im zweiten Post beschrieben, dann haben z.B. IP-Adressen deines LAN's, sowie TLD's aus Deutschland Zugriff "nur" über den Port 80/443! Punkt.

Eigentlich folgt die DS-Firewall (wie jede andere Firewall auch) diesen Regeln und hat meines Erachtens auch eine logische Stuktur, auch wenn diese nicht immer sofort erkennbar ist. Aber es hat ja auch keiner behauptet, das es einfach ist, die Firewall nach seinen Wünschen und Vorstellungen einzurichten, deshalb hab ich ja diese Anleitung geschrieben, da es halt immer wieder zu Missverständnissen kommt.

Und BTW, auf meinem Raspberry Pi arbeitet die Firewall nach dem gleichen Prinzip... LAN-Freigabe, GeoIP für DE, NL und US sowie den Ports 80/443. Gescannt, geprüft, getestet... läuft!

Tommes

 

[winka]

Dann war es gut mich nochmal damit zu beschäftigen.

 

[bernd_]

..wo findet sich ich denn das Firwall - Log?

 

[Tommes]

Ich bin mir da grad nicht sicher, da ich die DS-Firewall nicht aktiv nutze sondern nur damit rumspiele. Ich meine aber das die Protokolle über den Webserver-Log laufen, also unter...

/var/log/httpd/user-error_log

ansonsten kannst du nach dieser Anleitung mal versuchen, das Loggen mitzuschneiden hab es selber aber nicht getestet.

Tommes

 

[bernd_]

@Tommes, habe gerade versucht deine Anleitung bzgl GEOIP umzusetzen,
leider werden die Einträge bei mir aber nicht gespeichert, woran könnte dies liegen?

-->> "speichern" hilft entscheidend weiter..:>))

 

[bernd_]

@Tommes, umgesetzt, ok, Danke für deine Anleitung..:>))

 

[MediaMan]

Hallo Tommes,
der "klick" funktioniert leider nicht.
MediaMan

 

[c0smo]

Woran scheiterst du? Hast du schon Regeln erstellt?

Schau mal hier
https://www.synology-forum.de/showthread.html?97258-Firewall-Geoblocking-verlässlich

 

[MediaMan]

Dass nach der hier letzten Reglel noch weitere Programme der Diskstation funktionieren. Eigentlich sollte doch nach der Regel alle IP's sperren danach schluss sein?

 

[Tommes]

Erstmal... der Klick funktioniert deshalb nicht, weil das Unterforum von den Machern hier geschlossen und mein Thread in der Versenkung verschwunden ist.

Firewallregeln sollten immer so aufgebaut werden, dass nur die Dinge erlaubt werden die man benötigt und alles andere verweigert. Sprich, als Regel das eigene LAN (ggf. IP-Range), GeoIP sowie die gewünschten Ports bzw. Anwendungen freigeben. In der Firewall selber kann man dann noch einen Haken bei "wenn keine Regel zutrifft, Zugriff verweigern" oder so ähnlich (hab grad keine Lust mich auf die DS zu schalten um nachzuschauen, wie es richtig heißt), setzen. Das sollte es dann gewesen sein.

Tommes

 

[MediaMan]

Dann warst Du mal der "Tommes"?
Hast Du mir das Regelwerk noch irgendwo zum nachgucken?
Ich guck heute Abend mal nach den Haken der sonst alles andere Blockieren soll. Somit kann ich mir dann die dritte Regel auf dem Foto oben dann sparen?

 

[c0smo]

Hast du dir meinen link angesehen? Da schildere ich und blurrr wie vorzugehen ist.

 

[Tommes]

Dann warst Du mal der "Tommes"?

Jetzt steh ich ein wenig auf dem Schlauch. Wie genau meinst denn das?

Ich kann grad keine Screenshots hochladen, aber so viele Einstellungen bietet die Firewall ja nun auch nicht. Einfach mal alles in Ruhe anschauen, dann findest du den Haken schon. Vielleicht poste ich später auch nochmal etwas dazu

 

[MediaMan]

Ich nutze nur LAN1. Alle anderen Schnittstellen und Anwendungen möchte ich blockieren.
Deinen Link habe ich mir angesehen, danke!

 

[NSFH]

Die dritte Regel ist unnötig. Schau mal in dem Firewall Fenster an den unteren Rand. Wenn keine Regel zutrifft: Zugriff verweigern auswählen.

Der Ablauf bei der Einstellung einer Firewall ist eigentlich immer gleich. Alle Regeln werden von oben nach unten abgearbeitet. Trifft die Firewall auf eine Erlaubnis werden die folgenden Regeln nicht mehr beachtet.
Kommt die Firewall bei der untersten Regel an und die trifft auch nicht zu wird alles verweigert.
Dem zu Folge gibt man immer nur Einzelregeln an, nämlich genau das, was man explizit erlauben möchte. DSM erlaubt unter einem Begriff viele Ports freizugeben. Ich finde das nicht optimal, da man die Übersicht verliert.
Ich empfehle für jede Funktion oder Programm, dass Erlaubnis bekommen soll eine einzelne Regel anzulegen.
Damit erhält auch die Funktion Sinn die Regeln in ihrer Reihenfolge ändern zu können.
Eine Regel gehört jedenfalls nicht rein: Die, welche viele/alle Ports freigibt und dann noch an erster Stelle. Damit wäre die Firewall mit den folgenden Regeln ausgehebelt!.