DSM 6.x und darunter Verständnis Schwierigkeiten mit Synology Firewall

[KinCH]

Hallo liebe Community

Ich habe Schwierigkeiten die Logik beim erstellen der benutzerdefinierten Firewall-regel zu verstehen

Was bedeutet Quellport?

Was bedeutet Port des Zielordners?


Kann Jemand bitte zu jedem ein Beispiel nennen, ich bin zwar kein Vollblut Anfänger, stehe aber geradem auf dem Schlauch.

Besten Dank im voraus

 

[iDont_know]

ich versteh das so:

Quellport -- Port deines Routers, aus dem die Packete verschickt werden
Zielordners -- Port deines NAS , auf den zugegriffen wid
Schau dir die vordefinierte Port freigaben an


z.B.

von außrhalb mit SSH auf die NAS


Zielordners 22 TCP

 

[KinCH]

ich versteh das so:

Quellport -- Port deines Routers, aus dem die Packete verschickt werden
Zielordners -- Port deines NAS , auf den zugegriffen wid
Schau dir die vordefinierte Port freigaben an


z.B.

von außrhalb mit SSH auf die NAS


Zielordners 22 TCP

Danke für deine Antwort

Die vordefinierten Regeln sind mir klar.
Dank dir nun auch "Port des Zielordners"

Ich verstehe jedoch noch nicht, in welchem Szenario ich "Quellport" benötige, da es mir doch egal sein kann auf welchen Ports das Nas (zurück)sendet.

Beispiel:

SSH Client mit Port 787878 möchte auf den dienst SSH mit Port 22 auf der Nas zugreifen -> Firewall erlaubt 22 -> Zugriff gewährt -> Daten werden vom Nas auf Port XY(eventuell 22) zurück zum "anfragsstellenden Port" 787878 zurück gesendet.

Könnte mir Jemand den Quellport anhand eines Beispieles oder Szenarios erklären, so wäre ich Rundum glücklich.

 

[derlaie]

Hier interessiert auch nicht auf welchem Port "die NAS zurück schickt..."

Quell und Zielport ist genau wie Idontknow schon erklärt. Das ganze mal anders ausgedrückt:

Quellport ist die Sprache mit der dein Rechner die NAS anspricht und Zielport ist die Sprache, in der deine NAS den Quatsch auch versteht!
Beispielsweise kannst du so die NAS von außen über Port 450 ansprechen, der dann von deiner Firewall in Port 443 übersetzt wird. Somit "maskierst" Du den Port 443. Heißt er ist bei einem Portscan von außen gar nicht sichtbar, obwohl er erreichbar ist. Nur halt über Port 450...
Hoffe ich konnte mich verständlich machen.

Gruß
Stefan

 

[iDont_know]

@derlaie cool daran habe ich nicht gedacht
dass man das so verwendet

also NAT für Ports

 

[KinCH]

Hier interessiert auch nicht auf welchem Port "die NAS zurück schickt..."

Quell und Zielport ist genau wie Idontknow schon erklärt. Das ganze mal anders ausgedrückt:

Quellport ist die Sprache mit der dein Rechner die NAS anspricht und Zielport ist die Sprache, in der deine NAS den Quatsch auch versteht!
Beispielsweise kannst du so die NAS von außen über Port 450 ansprechen, der dann von deiner Firewall in Port 443 übersetzt wird. Somit "maskierst" Du den Port 443. Heißt er ist bei einem Portscan von außen gar nicht sichtbar, obwohl er erreichbar ist. Nur halt über Port 450...
Hoffe ich konnte mich verständlich machen.

Gruß
Stefan

Hallo und danke für deine Antwort
Ich kenne diese Funktion von Routern.

Öffentlicher Port 450 geht auf privaten Port 443 zu IP Adresse 10.x.x.x /8

Bei der benutzerdefinierten Regel in der Syno Firewall, kann man aber nur den öffentliche Port angeben, aber wo geht der Hin?

Beispiel:
Typ: Quellport
Protokoll: TCP
Ports: 450

1. Wie weis den jetzt die Syno dass dieser Port 450 auf Port 443 geleitet werden muss?
2. Kann es sein dass diese benutzerdefinierte Einstellung (Quellport)nur Sinn ergibt, wenn die Syno 2 Lan-Schnittstellen hat und eine direkt im Wan ist?!

Gruss kinch

 

[jahlives]

Der Quellport kann auch dann gebraucht werden, wenm ein Zugriff nur von einem bestimmten Port kommen darf.

 

[goetz]

Hallo,
die Firewall der DS leitet nichts um. Man definiert nur was erlaubt oder verboten ist.
Port des Zielordners (blöde Übersetzung, Zielport wäre richtig): alle Pakete mit dem Zielport xyz erlauben oder verweigern, Quellport egal
Quellport : alle Pakete mit dem Quellport xyz erlauben oder verweigern, Zielport egal
Portumsetzungen werden am Router gemacht.
Beispiel: https
die Anfrage geht mit dem Zielport 443 und einem zufälligen Quellport an die DS, also wäht mal Zielport zu zu erlauben oder zu verweigern.

Gruß Götz

 

[KinCH]

Hallo,
die Firewall der DS leitet nichts um. Man definiert nur was erlaubt oder verboten ist.
Port des Zielordners (blöde Übersetzung, Zielport wäre richtig): alle Pakete mit dem Zielport xyz erlauben oder verweigern, Quellport egal
Quellport : alle Pakete mit dem Quellport xyz erlauben oder verweigern, Zielport egal
Portumsetzungen werden am Router gemacht.
Beispiel: https
die Anfrage geht mit dem Zielport 443 und einem zufälligen Quellport an die DS, also wäht mal Zielport zu zu erlauben oder zu verweigern.

Gruß Götz

Hallo zusammen
hallo götze

Danke für die Antwort.
Ich denke ich habe es verstanden.

Beispiel:
In einem Netzwerk habe ich den Internet Explorer so modifiziert dass der IE nur http über Port 8888 kommuniziert (Quellport)(nur als Beispiel, weis nicht ob das überhaupt möglich ist)
Andere Browser benutzen andere Ports

Syno FW Regel:
1. Regel
Quell Port
TCP
8888

2. Regel
Zielport
tcp
80 (natürlich ist auch im DSM 80 für http hinterlegt)

Somit kann jeder im Netzwerk via IE auf die Syno zugreifen jedoch nicht von einem anderen Browser.
So zwinge ich den Benutzer den IE zu verwenden wenn er auf die Syno verbinden will.

Zu beachten ist, dass die Regel Quellport vor Regel Zielport ist (oben nach unten)

Liege ich hiermit richtig?

gruss aus der schweiz

 

[jahlives]

Somit kann jeder im Netzwerk via IE auf die Syno zugreifen jedoch nicht von einem anderen Browser.
So zwinge ich den Benutzer den IE zu verwenden wenn er auf die Syno verbinden will.

jein, es geht schon auch von Firefox aus wenn Firefox denselben Source Port nimmt ;-) Btw Quell- und Zielport gehören in dieselbe Regel, nicht in zwei getrennte Regeln

 

[KinCH]

jein, es geht schon auch von Firefox aus wenn Firefox denselben Source Port nimmt ;-) Btw Quell- und Zielport gehören in dieselbe Regel, nicht in zwei getrennte Regeln

Hallo
Danke fürs Antworten

Dass der Firefox auch funktioniert wenn er 8888 (Beispiel) verwendet ist mir klar. Darum im Beispiel die Aussage, die anderen Browser verwenden andere Ports.

Ich kann im Syno DSM doch keine Quellport-Regel mit Zielport-Regel kombinieren. Es geht doch nur entweder-oder?!
Kannst du mir das bitte erklären?

Gruss k

 

[jahlives]

Ich kann im Syno DSM doch keine Quellport-Regel mit Zielport-Regel kombinieren. Es geht doch nur entweder-oder?!
Kannst du mir das bitte erklären?

wieso sollte das nicht gehen? Die Syno Firewall setzt auf iptables auf und iptables kann sehr wohl Quelle und Ziel in der gleichen Regel haben

iptables -I INPUT -p tcp -s 10.66.77.1 -m tcp --dport 21 --sport 11 -d 10.0.16.40 -j ACCEPT

ergibt folgende IPTables Regel

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       10.66.77.1           10.0.16.40           tcp spt:11 dpt:21

hier darf also die Source-IP vom SourcePort 11 auf die DestinationIP und den DestinationPort 21 zugreifen
Wenn du es mit zwei Regeln machst, dann erlaubst du effektiv dass jeder Hinz-und-Kunz auf jeden Port des Servers zugreifen darf, solange nur der SourcePort 8888 verwendet wird. Sprich diese Maschine dürften auch auf SSH (Port 22) zugreifen, wenn der SRC Port 8888 ist. Und das dürfte kaum in deinem Sinne sein

 

[Puppetmaster]

wieso sollte das nicht gehen?

Ich weiß auch nicht wieso, aber es geht definitiv nicht!
Es geht doch hier darum, was der DSM in der Firewall zulässt und was nicht. Nicht davon, was man auf der Konsole alles machen könnte...

 

[jahlives]

wenn es nicht in derselben Regeln geht, dann hat Syno was am GUI verbockt. Dann macht die Source überhaupt nicht wirklich Sinn, wenn man es nicht in derselben Regel wie die DST haben kann. Denn bei zwei Regeln passiert was ich oben beschrieben habe -> vollen Zugriff auf alle Ports solang nur die SRC korrekt ist

 

[KinCH]

Besten Dank an alle Beteiligten

wieso sollte das nicht gehen? Die Syno Firewall setzt auf iptables auf und iptables kann sehr wohl Quelle und Ziel in der gleichen Regel haben

iptables -I INPUT -p tcp -s 10.66.77.1 -m tcp --dport 21 --sport 11 -d 10.0.16.40 -j ACCEPT

ergibt folgende IPTables Regel

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       10.66.77.1           10.0.16.40           tcp spt:11 dpt:21

hier darf also die Source-IP vom SourcePort 11 auf die DestinationIP und den DestinationPort 21 zugreifen
Wenn du es mit zwei Regeln machst, dann erlaubst du effektiv dass jeder Hinz-und-Kunz auf jeden Port des Servers zugreifen darf, solange nur der SourcePort 8888 verwendet wird. Sprich diese Maschine dürften auch auf SSH (Port 22) zugreifen, wenn der SRC Port 8888 ist. Und das dürfte kaum in deinem Sinne sein

Vielen Dank. Perfekt
Genau solch eine Antwort wollte ich provozieren. Sehr aufschlussreich.
Dank deinen Beispielen der FW-Einträge per Konsole, habe ich es nun verstanden.

Ich weiß auch nicht wieso, aber es geht definitiv nicht!
Es geht doch hier darum, was der DSM in der Firewall zulässt und was nicht. Nicht davon, was man auf der Konsole alles machen könnte...

Darum war ich erst ein bisschen verwirrt, mit der Aussage Quell und Zielport in eine Regel zu packen.

wenn es nicht in derselben Regeln geht, dann hat Syno was am GUI verbockt. Dann macht die Source überhaupt nicht wirklich Sinn, wenn man es nicht in derselben Regel wie die DST haben kann. Denn bei zwei Regeln passiert was ich oben beschrieben habe -> vollen Zugriff auf alle Ports solang nur die SRC korrekt ist

Wie du auch festgestellt hast, ergibt die Auswahl Quellport bei der benutzerdefinierten Regel im DSM keinen wirklichen Sinn solange ich den Zielport nicht definieren kann. Genau dass war es, was mich ins grübeln brachte.
Somit erstellt die Syno, bei Benutzung der Quellport Regel im DSM, in der "ipdtable" einen Eintrag; Quellport to any. Richtig?
Stimmt bei einer Anfrage der Quellport 8888 überein mit der Syno DSM Regel, so ist der User durch die Syno Firewall durch und hat zb. Zugriff auf SSH 22 egal ob ich eine SSH Port 22 Block-Regel oben oder unten erstellt habe??

Kann mir das einer bestätigen so bin ich "durch".

Vielen Dank euch beiden, puppetmaster und jahlives.

 

[jahlives]

Somit erstellt die Syno, bei Benutzung der Quellport Regel im DSM, in der "ipdtable" einen Eintrag; Quellport to any. Richtig?
sie erstellen eher eine Regel ohne explizite Destination. Durch das Weglassen der DST wird any automatisch impliziert ;-)
Stimmt bei einer Anfrage der Quellport 8888 überein mit der Syno DSM Regel, so ist der User durch die Syno Firewall durch und hat zb. Zugriff auf SSH 22 egal ob ich eine SSH Port 22 Block-Regel oben oder unten erstellt habe??

solange du nur den SRC Port definieren kannst und nicht auch den DST Port in derselben Regel, hast du dieses Problem. Sobald der SRC Port und ggf noch das Protokoll (z.B. TCP oder UDP) mit der Regel übereinstimmen hat der Client vollen Zugriff auf alle Ports. Das liesse sich also im DSM nur dann umgehen wenn man die Firewallregeln ganz anders aufbaut: zuerst Admin Zugriffe explizit erlauben z.B. SRC IP deiner vertrauenswürdigen Admin PCs und DST Ports 22,5000,5001 erlauben. Danach eine Regel die alle sonstigen Zugriffe auf die Admin Ports verwirft. Und erst dann deine 8888 Regel. Dann wäre es mit SRC Port 8888 nicht mehr möglich die Ports 22,5000,5001 zu erreichen

 

[goetz]

Hallo,

Somit erstellt die Syno, bei Benutzung der Quellport Regel im DSM, in der "ipdtable" einen Eintrag; Quellport to any. Richtig?

richtig.

Stimmt bei einer Anfrage der Quellport 8888 überein mit der Syno DSM Regel, so ist der User durch die Syno Firewall durch und hat zb. Zugriff auf SSH 22 egal ob ich eine SSH Port 22 Block-Regel oben oder unten erstellt habe??

jein, nun kommt es auf die Reihenfolge der Regeln an. Lautet die erste Regel Zielport 22 sperren (drop) so wird das Paket verworfen, lautet die erste Regel Quellport 8888 erlauben ist man durch. In der DS Firewall kann man die Regeln per auf und ab in die gewünschte Reihenfolge bringen.

Gruß Götz

 

[jahlives]

jein, nun kommt es auf die Reihenfolge der Regeln an. Lautet die erste Regel Zielport 22 sperren (drop) so wird das Paket verworfen, lautet die erste Regel Quellport 8888 erlauben ist man durch. In der DS Firewall kann man die Regeln per auf und ab in die gewünschte Reihenfolge bringen.

braucht aber mit Sicherheit mehr Regeln als wenn man den DST Port auch angeben könnte in einer Regel mit SRC Port. zudem um ganz dicht zu machen müsste man ja noch mehr Ports verbieten. Noch mehr Regeln Sonst ist zwar Port 22 dicht, aber alle anderen 65000-und-etwas Ports können immer noch erreicht werden

Gruss

tobi

 

[goetz]

braucht aber mit Sicherheit mehr Regeln als wenn man den DST Port auch angeben könnte in einer Regel mit SRC Port.

ja sicherlich, nur mit den vorhandenen Mitteln des DSM geht es nur so. Den Irrsinn zeigt ja leider immer noch die vorhandene Regel Quellport 137 UDP erlauben (NetBIOS Namensauflösung).

Gruß Götz

 

[jahlives]

Den Irrsinn zeigt ja leider immer noch die vorhandene Regel Quellport 137 UDP erlauben (NetBIOS Namensauflösung).

ist das immer noch drin in aktuellen Firmwaren?? Das war (ist) doch die Sache mit den vordefinierten Regeln Samba oder? Das habe ich damals sicher einmal an Syno gemeldet...

Gruss

tobi