Synology -Firewallregeln

[c0smo]

Poste mal einen Screenshot von allen Regeln.

 

[MediaMan]

Bei VPN unten derzeit auf erlauben. Wenn ich verweigern einstelle funzt es nicht mehr.

 

[c0smo]

Regel 1 ist für dein lokales LAN denke ich mal. Die Adresse musst du nicht schwärzen, damit kann keiner etwas anfangen.

Ich habe jetzt noch keinen VPN Server bei mir in Betrieb gehabt, aber aus der Logik heraus, würde ich jetzt die Regeln für VPN aus "LAN 1" zu VPN übertragen (aus LAN 1 entfernen) und anschließend bei "VPN" Zugriff verweigern wählen.

 

[MediaMan]

funktioniert nicht! sobald unten verweigern eingestellt ist geht es nicht.
Im Übrigen ist es ja nur eine Regel....

 

[c0smo]

Welche Ports hast du im Router weitergeleitet?

 

[MediaMan]

bin jetzt nicht mehr am rechner.
da sind die 3 vpn ports freigeschaltet die der server brauch. vpn funktioniert ja auch.
dieser separate vpn-reiter im server ist das problem, die konfiguration.

 

[c0smo]

Ich bin raus hier, da ich kein VPN Server betreibe und deshalb auch nur raten kann.
Vielleicht hilft das..

https://youtu.be/OYXv9tNeE10

 

[NSFH]

Betrifft #42, die erste Regel!
Sieht das hier keiner? Diese Regel ist genau das was nicht passieren darf.
Es kommt eine Anfrage an einen beliebigen Port und beliebige IP und die Firewall lässt alles nach der ersten Regel durch. Da mit dieser Erlaubnis kein weiterer Bedarf einer Prüfung der folgenden Regeln besteht werden diese auch nicht mehr beachtet.
Wenn ihr das alle so macht könnt ihr die Firewall auch deaktivieren, siehe mein Posting #20

 

[MediaMan]

wenn man nicht sehen kann was unter dem schwarzen balken steht gebe ich dir recht.
da steht aber blos ein interner ip-bereich drin.

 

[NSFH]

Auch das macht man nicht!!!
Richtung Server wird nur erlaubt was er bzw. der Client braucht, alles andere gehört verboten, auch im eigenen LAN!
Die Schadsoftware/ ein Penetrator die sich in deinem LAN uU tummelt freut sich über die volle Auswahl an Ports.

 

[northcup]

Betrifft #42, die erste Regel!
Sieht das hier keiner? Diese Regel ist genau das was nicht passieren darf.
Es kommt eine Anfrage an einen beliebigen Port und beliebige IP und die Firewall lässt alles nach der ersten Regel durch. Da mit dieser Erlaubnis kein weiterer Bedarf einer Prüfung der folgenden Regeln besteht werden diese auch nicht mehr beachtet.
Wenn ihr das alle so macht könnt ihr die Firewall auch deaktivieren, siehe mein Posting #20

Hi, ich weiss - das ist schon laengst Geschichte - falls jemand trotzdem noch antworten moechte; ... der Einwand oben ist m.E. nicht berechtigt, weil die formulierte erste Regel als Quell-Ip nur den lokalen IP-Bereich zulaesst. Demzufolge kann eine von aussen kommende fremde IP nicht zugreifen - falsch __ richtig__ ? (ich lerne gerade Firewall - schoenes Thema )

 

[Synchrotron]

Für deine DS kommt der Zugriff vom Router oder einem PC, also aus dem Heimnetzwerk. Kommt jetzt darauf an, was in der Quell-IP steht. Aber wenn es der Router ist, geht alles durch, was von dort kommt.

Gute Einstellung heißt, in allen Regeln eng definiert bestimmte Zugriffe zu erlauben. Je weniger, um so besser. Die letzte heißt immer (!) alles andere verbieten - sonst kann man sich den ganze Aufwand vorher auch schenken. Was nützt es, wenn eine Anfrage 10x gefiltert und abgewiesen wird, wenn Regel 11 dann sagt: Alles, was hier ankommt, ist übrigens auch erlaubt (obwohl es vorher 10x nicht gepasst hat).

 

[whitbread]

Nur der Vollständigkeit halber: Wer kann sollte die oben besprochenen Firewall-Regeln natürlich auf dem Router umsetzen. Dann würde u.a. das Geoblocking bereits dort erfolgen. Leider braucht es dafür Router, die so etwas können und eben das nötige Know-How.
Insofern ist die hier beschriebene Nutzung der Firewall auf der Syno-NAS absolut richtig und sinnvoll.

 

[EGOiST]

Ich grabe das Thema mal kurz aus:


Wo ist die Option "Wenn keine Regel zutrifft hin?"

 

[DMHas]

Wo ist die Option "Wenn keine Regel zutrifft hin?"

-> Regel bearbeiten -> Regel auswählen -> Bearbeiten

 

[c0smo]

Auf Regel bearbeiten klicken und die Schnittstelle auswählen.

 

[EGOiST]

Danke fuer die schnellen Antworten.
Ist aber falsch.
Vorher konnte man sagen:
Ort -> Deutschland -> Zulassen

Dann gabs weiter unten einen haken - alles andere verweigern.

Den gibts jetzt nicht mehr.
Man kann aber auch nicht alle laender verweigern weil eine regel nur 15 eintraege haben darf....

 

[EGOiST]

Auf Regel bearbeiten klicken und die Schnittstelle auswählen.

Ah. Da. Danke!

 

[NSFH]

...Dann gabs weiter unten einen haken - alles andere verweigern.

Den gibts jetzt nicht mehr.
Man kann aber auch nicht alle laender verweigern weil eine regel nur 15 eintraege haben darf....

UNSINN! Natürlich gibt es dieses Kontrollfeld alles andere verweigern immer noch!

 

[EGOiST]

Ja. Ist nur in ein anderes Fenster gewandert. Haben wir ja schon festgestellt - beruhig dich