Welche Ports muss ich freigeben bzw. wie die Firewall konfigurieren?

[Kurt-oe1kyw]

c0smo meint damit du sollst die Zeile markieren und dann in der gewünschten Zeile auf das ganz linke Icon (die 3 Balken) klicken und mit gedrückter Maustaste die Zeile an die gewünschte Position in vertikaler Richtung hinauf- bzw. hinunter schieben.

 

[goetz]

Hallo,
bei nur Zulassen Regeln ist die Reihenfolge egal.

Gruß Götz

 

[NSFH]

Leider nicht ganz, denn es kann inhaltliche Fehler geben. Trifft eine Regel zu entfalllen alle weiteren Einträge, auch bei Erlaubnissen.
Steht oben eine Freigabe für zB bestimmte Quellen und Ports und weiter unten eine Einschränkung dazu zu einem zB dual genutzten Port greift diese nicht mehr, AUSSER man hat eine wieder mal "vernünftige" Firewall, wo man innerhalb der Regeln Abhängigkeiten/Sprünge zur nächsten Regel definieren kann. Ist komplexer aber sicherer.
Von daher muss es schon durchdacht sein in welcher Reihenfolge die Erlaubnisse erfolgen.

 

[So_La_La]

SSH-Dienst:
DSM > Hauptmenü > Systemsteuerung > links ganz hinunterscrollen ans Ende der Liste zu "Terminal & SNMP" > Register Terminal > SSH-Dienst aktivieren und dort den gewünschten Port eintragen und diesen dann in der FW freigeben.

Danke, das habe ich gleich wieder hingekriegt. Kein Problem!

An den 3 horizontalen Linien links verschieben.

Danke!

Die Regeln werden von oben nach unten abgearbeitet. Wenn die erste Regel greift, ist der Rest irrelevant. Dein Heimnetz muss an erste Stelle.

Gibt es denn auch Hierarchien zwischen "LAN" und "Alle Schnittstellen"? Also überschreibt "Alle Schnittstellen" "LAN"?


EDIT hm, es ist immer noch so, dass mein RPI mit picoreplayer (LAN) auf den Logitech Media Server zugreifen kann, der Squeezebox Radio (WLAN) aber nicht. Wenn ich aber die FW abschalte können beide zugreifen. Das will nicht in meinem Kopf.

 

[c0smo]

Sind die Ports 3483 und 9000 offen?

 

[NSFH]

Es gibt keine Hierarchien, aber mit ein wenig logischem Denken verstehst du den Unterschied zwischen LAN und "alle Schnittstellen", oder?
Alles ist alles und LAN ist eine Teilmenge davon.......

 

[Frogman]

Es gibt keine Hierarchien, aber mit ein wenig logischem Denken verstehst du den Unterschied zwischen LAN und "alle Schnittstellen", oder?

Da liegst Du daneben. Wirf mal einen Blick in den Abschnitt der Onlinehilfe...

Gibt es denn auch Hierarchien zwischen "LAN" und "Alle Schnittstellen"? Also überschreibt "Alle Schnittstellen" "LAN"?

Bei der Reihenfolge gilt:

Priorität der Firewall-Regeln:

1. Regeln, die unter „Alle Schnittstellen“ definiert sind.
2. Regeln, die in den entsprechenden Schnittstellen definiert sind, zu denen die Verbindung gehört.
3. Standardregeln in den entsprechenden Schnittstellen, zu denen die Verbindung gehört.

 

[NSFH]

Schon Wahnsinn was man aus der Frage ist LAN weniger als ALLE SCHNITTSTELLEN machen kann.
Ich gebe ja zu, dass manches in der Betitelung nur schwer verständlich sein kann, aber hier?
Wir können uns jetzt seitenlang darüber streiten ob das nun hierarchisch zu betrachten ist oder ob wir hier die Mengenlehre anwenden.
Fakt ist, das ein Eintrag unter Alle Schnittstellen nicht höherwertiger ist sondern nur auf alle Schnittstellen zutrifft. Das ist eine reine Vereinfachung bei der Erstellung für dann allgemein gültige Regeln, mehr nicht.
Daher ist für mich LAN zB nur eine Teilmenge von Alle.
Aber wenn du magst darfst du Recht haben, inhaltlich ändert das nichts an meiner obigen Aussage.

 

[Frogman]

Schon Wahnsinn was man aus der Frage ist LAN weniger als ALLE SCHNITTSTELLEN machen kann.

Hast Du die Frage vielleicht mißverstanden? Es ging eben nicht um "Mengenlehre", sondern explizit um den Punkt, ob ein Eintrag in "Alle Schnittstellen" die Einstellungen aus "LAN" überschreiben kann.

Wir können uns jetzt seitenlang darüber streiten ob das nun hierarchisch zu betrachten ist oder ob wir hier die Mengenlehre anwenden..

Die Ausführungen der Hilfe sind soweit klar formuliert - "Prioritäten" sind jedenfalls nicht mit Aussagen der Mengenlehre deckungsgleich, denn letztere deckt nicht den Fall von kontradiktorischen Aussagen ab. Du kannst es ja einmal selbst testen, indem Du eine Regel für einen Port unter "Alle Schnittstellen" mit einer Erlaubnis einträgst und unter "LAN" eine Regel mit einer Blockierung, um dann zu schauen, welche der beiden Regeln ausgeführt wird. Da die Regeln für "Alle Schnittstellen" höher priorisiert sind und dementsprechend zuerst abgearbeitet werden, wird die dortige Regel 'Erlauben' ausgeführt (alle weiteren Regeln, also auch die unter "LAN", werden nicht weiter bearbeitet). Insofern lautet also die Aussage: Ja, ein zutreffender Eintrag in "Alle Schnittstellen" kann eine Einstellung unter "LAN" überschreiben.

 

[NSFH]

Sorry, aber es gibt bei Firewallregeln kein überschreiben, nur unlogische Definitionen/Reihenfolgen.
Nach wie vor werden alle Einträge top2bottom sequentiell abgearbeitet. Wird für die aktuelle Zugriffsanfrage eine Berechtigung gefunden greifen bei den simplen Firewalls wie sie zB AVM oder auch die Synology hat alle folgenden Regeln nicht mehr.
Gebe ich als erste Regel alle Ports und alle Schnittstellen frei interessieren die 100 folgenden Regeln und auch das Blockall am Ende nicht mehr, die Firewall ist nach #1 ausgestiegen.
Boolsche Funktionen kennen diese simplen Systeme leider nicht.

Logischer Weise werden Definitionen unter Alle Schnittstellen zuerst abgearbeitet, schliesslich sind sie die grösste gemeinsame Menge aller Definitionen (schon wieder Mengenlehre).
Erst danach werden schnittstellenspezifische Regeln abgearbeitet, sofern diie Firewall da noch hin kommt.
Ob wir uns nun weiter darüber streiten wie das ganze zu betiteln ist kannst du gerne machen, an den von mir geschilderten Abläufen ändert sich dadurch nichts.

 

[So_La_La]

Sind die Ports 3483 und 9000 offen?

Also 3483 und 9002 sind für LMS geöffnet. Das sind die Standard-Ports dafür, oder?

 

[Frogman]

Sorry, aber es gibt bei Firewallregeln kein überschreiben, nur unlogische Definitionen/Reihenfolgen.
...
Logischer Weise werden Definitionen unter Alle Schnittstellen zuerst abgearbeitet, schliesslich sind sie die grösste gemeinsame Menge aller Definitionen (schon wieder Mengenlehre).
Erst danach werden schnittstellenspezifische Regeln abgearbeitet, sofern diie Firewall da noch hin kommt.
.

Selbstverständlich ist das "überschreiben" nicht in dem Sinne gemeint, dass eine Regel geändert wird, sondern eben in dem Sinne, wie ich es oben beschrieben hatte. Diese Transferleistung habe ich als nicht erwähnenswert erachtet. Und wie die Abarbeitung läuft, hatte ich ja schon geschrieben, brauchst Du mir also nicht zu wiederholen.

Fakt ist, das ein Eintrag unter Alle Schnittstellen nicht höherwertiger ist sondern nur auf alle Schnittstellen zutrifft. ....

Fakt ist aber, dass diese Aussage nicht zutrifft ist und genauso falsch auch von So_La_La zu verstehen ist auf seine Frage nach einer Hierarchie... Deine ganzen Ausführungen zur "Mengenlehre" und Gleichwertigkeit klammert nämlich gänzlich den erwähnten Fall von sich widersprechenden Regeln aus - und eben dann kommt die Priorisierung/Hierarchie zum Tragen, auch wenn Du das anders titulierst. Darüber weiter mit Dir zu diskutieren ist allerdings müßig, zumal So_La_La ja seine Antwort bekommen hat.

 

[Frogman]

Also 3483 und 9002 sind für LMS geöffnet. Das sind die Standard-Ports dafür, oder?

Das stimmt so (Link).

 

[c0smo]

Hier ist von 9000 die Rede.

https://support.logitech.com/de_de/article/15315?product=a0qi00000069udfAAA

 

[Frogman]

Hier der Auszug der Datei lms_port aus dem Verzeichnis package/etc (kann man aus dem bei Synology heruntergeladenen LMS-Paketarchiv extrahieren):

[logitech_media_server_tcp]
title="TCP"
desc="Logitech Media Server"
port_forward="yes"
dst.ports="3483,9002/tcp"

 

[NSFH]

............. Deine ganzen Ausführungen zur "Mengenlehre" und Gleichwertigkeit klammert nämlich gänzlich den erwähnten Fall von sich widersprechenden Regeln aus - und eben dann kommt die Priorisierung/Hierarchie zum Tragen, auch wenn Du das anders titulierst.

Hättest du #30 gelesen und verstanden hättest du das nicht gewschrieben, denn die von mir geschilderten Abläufe sind genau so, losgelöst von irgendwelchen Benamungen, oder willst du etwa behaupten dass die Abläufe in einer Firewall anders sind?
Was du unter Priorisierung verstehst ist nichts anderes als die sequentielle Abarbeitung der Schnittstellen nach fester Vorgabe.
Sich widersprechende Regeln werden vom System doch gar nicht erkannt, daher kann es selbst keine Priorisierung vornehmen. Was schreibst du da für seltsame Sachen.
Das ganze System ist hardwired und bis auf die sequentielle Abfolge unveränderbar.
Abarbeiten alle Einträge unter Alle Schnittstellen
Abarbeiten aller Einträge unter einzelne Schnittstellen
Egal wo in dieser Abfolge der Ausstieg auf Grund zutreffender Regel kommt, alle folgenden Regeln werden nicht mehr beachtet.
Logische Fehler, wo hinterher etwas anderes gewünscht wird als in der Ausstiegsregel steht fallen also erst gar nicht auf. Das Sytem erkennt sie nicht, hier ist einzig der Grips des Admin gefragt.
Deshalb sollte man man nie Erlaubnisse und Verweigerungen in der Firewall mischen, da dies schnell zu Logikfehlern führt.

Und damit ist das Thema für mich durch.
Ich glaube letztendlich wollten/meinten wir Beide das Gleiche, nur der Syntax war etwas unterschiedlich

 

[So_La_La]

Hallo,
ich habe jetzt die Einstellungen wie oben ein #31. Trotzdem kann sich der PiCorePlayer nicht mit LMS verbinden. Dafür habe ich eine Nachricht bekommen, dass die Firewall wie in untenstehendem Screenshot geändert werden müssen.
Anhang anzeigen 46976
Wenn ich die Änderungen übernehme, geht zwar der PCP aber nicht das Squeezebox Radio per WLAN zum LMS. Das meldet Verbindungsprobleme, kann aber über das Webinterface ebenfalls per WLAN angesteuert werden. Außerdem kann es sich zu mysqueezebox.com verbinden. Das Ping zu mysqueezebox.com ist dabei nicht erfolgreich. Wenn ich die Firewall ausschalte, verbindet sich das Squeezebox Radio aber mit LMS.
Es kann eigentlich nicht am WLAN liegen.
Es kann eigentlich auch nicht am Squeezebox Radio liegen.
Es muss eigentlich an der Firewall liegen. Aber woran? Kann es etwas mit MAC-Adressen zu tun haben (was auch immer das genau ist?)?

 

[Frogman]

Wo ist Dein Anhang?

 

[So_La_La]

 

[So_La_La]

und hier ist daie Einstellung im LAN die eigentlich ausreichen sollte: