Hallo zusammen,
aktuell beschäftige ich mich damit, meine Firewall auf der Syno zu aktivieren und mit entsprechenden Regeln zu versehen. Habe auf VMM mit VDSM schon etwas probiert (auch mit IPv6). Bevor ich das aber produktiv einsetzen möchte, wären da noch ein paar Fragen an die Experten.
Was nutze ich auf der Syno:
Aktuell 3 Dockercontainer
DNS-Server der Syno (soll evtl. abgelöst werden durch AdGuard Home [auch über Docker]) in folgender Konstellation: Clients --> DNS-Server Syno --> Fritzbox
Zugriff der PCs / Laptops / Pis (alle mit statischer IP) über SMB
Pakete: HyperBackup, Cloud-Sync, Snapshots ...
Mehr fällt mir im Moment nicht ein
Was möchte ich?
Eine saubere Struktur der Regel um eine bessere Übersicht und eine komfortable Administration zu haben.
Die unterschiedlichen PCs, Laptops ... sollten nur auf die Anwendungen Zugriff bekommen, welche auch benötigt werden (sofern dies sinnvoll ist).
Erste Ideen (in dieser Reihenfolge würde ich auch die Regeln setzen):
Der "Haupt-PC" (Mint) erhält Zugriff auf alles, damit notfalls immer ein Zugriff auf das NAS möglich ist
Die PCs / Laptops der restlichen Familienmitglieder bekommen nur Zugriff auf das Webinterface des DSM und den Zugriff per SMB
Die Pis erhalten nur Zugriff über SMB
Das komplette Heimnetz erhält Zugriff auf den DNS-Server damit alle Geräte ins Internet kommen (Fritzbox verteilt per DHCP die DNS für IPv4 und IPv6)
Der Rest wird alles verboten (Handys und Co haben auf dem NAS nichts zu suchen!?)
Und hier wären auch schon die ersten (und mit Sicherheit nicht die letzten) Fragen:
1) Ist es strukturell besser, für die einzelnen Geräte auch den DNS-Dienst mit aufzunehmen (statt nur SMB und DMS) oder sollte dies über eine separate Regel für alle abgedeckt werden.
2) Wenn 1) = separate Regel, müsste dies dann die 1. Regel sein?
3) Bei der Anwendung DNS gibt es z. B. 2 Einträge einen mit Port 53 und einen mit Port 53535. Was ist an dieser Stelle zu verwenden?
4) Ich meine irgendwo gelesen zu haben, dass bei Nutzung von Docker die IPs 172.... auch über Regeln mit freizugeben sind. Warum, und welche Ports müssen da freigegeben werden?
Weiterhin möchte ich das ganze auch mal (zumindest testweise für IPv6) durchspielen. Ich habe ja das Problem, dass ich keine statiche IPv6 habe und somit (bei Nutzung von Privacy Extension) mit der ULA nicht viel in der Firewall anfangen kann.
Frage noch dazu:
Ist es möglich und sinnvoll statt der ULA die LLA in der Firewall zu verwenden?
In etwa so: Das NAS (ohne PE) hat eine feste ULA und somit kann diese bei den Regeln verwendet werden, während ein Smartphone auf Grund PE einen wechselnden ULA-Identifier hat und somit wird in der Regel die unveränderliche LLA verwendet.
Danke für Ausführungen und ein schönes Restwochenende.
Gruß
Frank
aktuell beschäftige ich mich damit, meine Firewall auf der Syno zu aktivieren und mit entsprechenden Regeln zu versehen. Habe auf VMM mit VDSM schon etwas probiert (auch mit IPv6). Bevor ich das aber produktiv einsetzen möchte, wären da noch ein paar Fragen an die Experten.
Was nutze ich auf der Syno:
Aktuell 3 Dockercontainer
DNS-Server der Syno (soll evtl. abgelöst werden durch AdGuard Home [auch über Docker]) in folgender Konstellation: Clients --> DNS-Server Syno --> Fritzbox
Zugriff der PCs / Laptops / Pis (alle mit statischer IP) über SMB
Pakete: HyperBackup, Cloud-Sync, Snapshots ...
Mehr fällt mir im Moment nicht ein
Was möchte ich?
Eine saubere Struktur der Regel um eine bessere Übersicht und eine komfortable Administration zu haben.
Die unterschiedlichen PCs, Laptops ... sollten nur auf die Anwendungen Zugriff bekommen, welche auch benötigt werden (sofern dies sinnvoll ist).
Erste Ideen (in dieser Reihenfolge würde ich auch die Regeln setzen):
Der "Haupt-PC" (Mint) erhält Zugriff auf alles, damit notfalls immer ein Zugriff auf das NAS möglich ist
Die PCs / Laptops der restlichen Familienmitglieder bekommen nur Zugriff auf das Webinterface des DSM und den Zugriff per SMB
Die Pis erhalten nur Zugriff über SMB
Das komplette Heimnetz erhält Zugriff auf den DNS-Server damit alle Geräte ins Internet kommen (Fritzbox verteilt per DHCP die DNS für IPv4 und IPv6)
Der Rest wird alles verboten (Handys und Co haben auf dem NAS nichts zu suchen!?)
Und hier wären auch schon die ersten (und mit Sicherheit nicht die letzten) Fragen:
1) Ist es strukturell besser, für die einzelnen Geräte auch den DNS-Dienst mit aufzunehmen (statt nur SMB und DMS) oder sollte dies über eine separate Regel für alle abgedeckt werden.
2) Wenn 1) = separate Regel, müsste dies dann die 1. Regel sein?
3) Bei der Anwendung DNS gibt es z. B. 2 Einträge einen mit Port 53 und einen mit Port 53535. Was ist an dieser Stelle zu verwenden?
4) Ich meine irgendwo gelesen zu haben, dass bei Nutzung von Docker die IPs 172.... auch über Regeln mit freizugeben sind. Warum, und welche Ports müssen da freigegeben werden?
Weiterhin möchte ich das ganze auch mal (zumindest testweise für IPv6) durchspielen. Ich habe ja das Problem, dass ich keine statiche IPv6 habe und somit (bei Nutzung von Privacy Extension) mit der ULA nicht viel in der Firewall anfangen kann.
Frage noch dazu:
Ist es möglich und sinnvoll statt der ULA die LLA in der Firewall zu verwenden?
In etwa so: Das NAS (ohne PE) hat eine feste ULA und somit kann diese bei den Regeln verwendet werden, während ein Smartphone auf Grund PE einen wechselnden ULA-Identifier hat und somit wird in der Regel die unveränderliche LLA verwendet.
Danke für Ausführungen und ein schönes Restwochenende.
Gruß
Frank