Zugriff von Diensten (Download-Station, Photos, HyperBackup) auf einen NIC/LAN-port beschränken?

[randfee]

Hallo,

ich suche nach einer Möglichkeit die Download-Station oder Photos nur über einen dedizierten NIC (Netzwerk-Port) kommunizieren zu lassen.
Diesen NIC würde ich entweder in ein anderes Subnetz oder VLAN packen und in meinem Gateway/Firewall (nicht die firewall in der DS!) einstellen, dass aus diesem Netz/VLAN nur Interface WAN1 (schnelle Leitung) benutzt werden darf. Der Grund, ich möchte nicht, dass über die WAN2 Fallback Lösung (z.b. Handynetz) viele Daten geschoben werden und dazu zählen halt Download-Station, Photos und auch Backup-Jobs.

Leider finde ich keine Möglichkeit mit der recht mageren internen Firewall im DSM eine solche Regel zu setzen, auch sehe ich in Download-Station z.B. keine Möglichkeit zu sagen, welches Tool auf was, in dem Fall Netzwerk-Interface Zugreifen darf.

Hat dazu jemand eine Idee?

Danke!

 

[plang.pl]

In der Firewall des DSM kannst du doch den Port nur für eine Netzwerkschnittstelle freigeben

 

[randfee]

aber welchen Port soll ich da freigeben? Mir geht es nicht nur um die Anfragen von außen, sondern auch die von der betreffenden DS nach außen gehenden. Ich würde gerne einfach einer Applikation vorschreiben, dass sie nur über LAN2 agieren darf, dann wäre alles erledigt...

Ich sehe nicht, dass ich rausgehenden traffic irgendwie regeln könnte?! Wenn die Download-Station also angewiesen ist etwas runterzuladen, z.B. dann wird sie das doch einfach tun über jeden NIC der Zugang zum Internet bietet, egal was dort eingestellt ist - oder sehe ich das jetzt völlig falsch?

Gleiches bei Backup. Active Backup von außen kann ich per Firewall genau so unterbinden wie du sagst, indem es nur auf LAN2 z.B. erlaubt ist, bei Hyperbackup von dieser DS nach außen geht das so jedoch nicht.

 

[plang.pl]

Das stimmt in der Tat. Gilt nur für eingehende Anfragen.
Da bin ich überfragt bzw wüsste nicht, wie das gehen soll.

 

[kev.lin]

Wenn Du eine FritzBox (wahrscheinlich auch in anderen Routern möglich) verwendest, könntest Du für die MAC-Adresse vom nicht zu verwendenen NIC ein Sperre für den Internetzugang einrichten. Die Sperre würde dann alle Ports betreffen.
Oder mache ich einen Gedankenfehler?

 

[randfee]

Wenn Du eine FritzBox (wahrscheinlich auch in anderen Routern möglich) verwendest, könntest Du für die MAC-Adresse vom nicht zu verwendenen NIC ein Sperre für den Internetzugang einrichten. Die Sperre würde dann alle Ports betreffen.
Oder mache ich einen Gedankenfehler?

klar, das geht, aber, dann zieht z.B. die Download-Station einfach munter weiter über irgendeinen anderen NIC, der halt noch Internetzugang hat, oder wo ist der Trick? Genau das ist ja die Frage!

Ich habe derzeit zwei NAS ständig gleichzeitig laufen und kopiere Webstation Photos und Co von der einen auf die andere, damit ich diese Granularität habe.
Dabei will ich weniger Frickelei mit herumkopieren, mehr Performance und Strom und Platten sparen! Ergo mein Plan ein performantes Gerät mit wenig großen Platten bzw. SSDs laufen haben will und bis auf ein zweites (Backups) alle anderen abschaffen möchte stelle ich jetzt hier diese Frage:

Download Station soll nur über LAN3 aufs Internet zugreifen dürfen, Photostation auch, hyper Back-up auch. Webserver über LAN 2 und 3 und alles andere LAN 1 intern. (Reihenfolge aber klar geregelt, zumindest das geht ja im DSM).

... das muss doch irgendwie gehen?

 

[NSFH]

Das mache ich schon immer, den WAN Port vom LAN Port zu trennen. Geht ja auch absolut problemlos.
Aller ankommender Traffic für das NAS wird im Router von der Firewall abgefangen und auf die 2. IP des NAS geleitet. Die Verbindung Router>NAS ist direkt ohne Switch dazwischen und läuft über ein eigenes VLAN.
Ob das nun Portweiterleitungen sind oder man mit dem ReverseProxy arbeitet, es muss im Router eingestellt werden. Das NAS ist da vollkommen unproblematisch.
Damit kann man dann auch in der Firewall des NAS sauber zwischen LAN und WAN Freischaltungen unterscheiden.

 

[randfee]

Aller ankommender Traffic für das NAS wird im Router von der Firewall abgefangen …..

Und wie filterst du den ausgehenden Verkehr, der je nach Applikation erlaubt oder nicht erlaubt sein kann? Ich kann das weder sauber nach Port noch nach Target Host trennen.

Das mit dem eingehenden Verkehr ist natürlich wunderbar zu regeln, in fast jeder 08 15 Firewall, das ist bei mir auch nicht die Frage, das habe ich selber sehr granular strukturiert

 

[NSFH]

in dem man die Fritzbox rausschmeisst und durch einen konfigurierbaren Router ersetzt. Der ist dann in der Lage auch outbound zu steuern.
Man kann von einer Blackbox wie die Fritz nicht erwarten, dass sie derart konfigurierbar ist. Hast du also höhere Ansprüche musst du etwas mehr Geld in die Hand nehmen.

 

[Puppetmaster]

Man könnte es aber von der DS erwarten, dass sie das unterstützt. Sollte a nun kein Hexenwerk sein, an der Quelle per Software eine bestimmte NIC festzulegen.

 

[randfee]

in dem man die Fritzbox rausschmeisst und durch einen konfigurierbaren Router ersetzt. Der ist dann in der Lage auch outbound zu steuern.

Wo habe ich den Eindruck erweckt ich hätte „nur“ eine FRITZ!Box. Ich kann in meinem router/Firewall (sophos UTM) natürlich den ausgehenden traffic regeln, aber nochmal, das habe ich weder gefragt noch bezweifelt.

Ich kann außerhalb der DS aber nicht mehr sicher zwischen den verschiedenen services/tasks trennen.

Meine Frage war:
Wie kann ich aktiven apps Apps wie hyperbackup, downloadStation, photostation, webserver (uvm) SELEKTIV daran hindern auf zB. LAN1 zuzugreifen.

 

[ctrlaltdelete]

@randfee Hast du schon eine Lösung gefunden?