Aufbau und Struktur von Firewallregeln

Habe mir heute Abend die ganzen auf der Synology angebotenen Firewallregeln angesehen und mir Infos zu den entsprechenden Diensten durchgelesen. Allerdings bin ich mir bei folgenden Regeln/Anwendungen nicht ganz klar ob diese zu aktivieren (erlauben) sind.

  1. "Share Snapshot Replication": Ich nutze zwar Snapshots, repliziere diese jedoch nicht auf ein anderes NAS. Aus diesem Grund würde ich diese Regel nicht aktivieren.
  2. "Virtual MachineManager": Ich nutze den VMM mit einem VDSM drauf. Keine Ahnung ob hier eine Regel aktiviert werden muss.
  3. "USV-Server": Bei mir ist die USV direkt an das NAS angeschlossen und nutze keinen USV-Server. Aus diesem Grund würde ich diese Regel nicht aktivieren.
  4. "Web Station und Webmail" (Port 80):
  5. "HTTPS Reverse Proxy" (Port 443):
Bei den Regeln 4. und 5. bin ich mir nicht sicher. Ich nutze keine Webstation, jedoch einen Reverse-Proxy. Daher würde ich für "HTTPS Reverse-Proxy" eine Regeln aktivieren, bei "Web Station und Webmail" kann ich es nicht einschätzen.
 
Moinsen,
1. wenn du es nicht replizieren willst auf ein anderes NAS, dann klar, auslassen.
2. meines Wissens dann, wenn du vom zB PC auf die IP eines virtuellen OS im VMM zugreifen willst...das aber eher geraten. Kannst du ja auch einfach mal versuchen. :)
3. bei mir ebenso
4 & 5 nutze ich hier nicht, das überlasse ich denen mit Ahnung und Praxiswissen ;)
 
Frank73 schrieb:
"Virtual MachineManager": Ich nutze den VMM mit einem VDSM drauf. Keine Ahnung ob hier eine Regel aktiviert werden muss.
Zum Vergrößern anklicken....
Nö, die VMs kriegen ja eigenständige IPs (inkl. virtueller MAC) und haben mit der Syno dann soweit erstmal nix zu tun (geht zwar über das gleiche (physikalische) Interface, das verhält sich dann aber eher wie der Uplink zu einem Switch (virtuell), wo dann von allen Beteiligten die virtuellen NICs angebunden sind. Vermutlich hast Du diesbezüglich auch OVS (openvswitch) auf der Syno installiert. Alles andere sollte passen.
 
blurrrr schrieb:
Vermutlich hast Du diesbezüglich auch OVS (openvswitch) auf der Syno installiert
Zum Vergrößern anklicken....
So professionell bin ich nicht unterwegs. Ich habe das VDSM nur um Pakete zu testen, bevor ich diese auf dem produktiven NAS einsetze.

the other schrieb:
VMM zugreifen willst...das aber eher geraten. Kannst du ja auch einfach mal versuchen.
Zum Vergrößern anklicken....
Ausprobieren tu ich schon gerne um die Zusammenhänge auch verstehen zu können. Leide weiß ich dann mit meinem "gefährlichen Halbwissen" nicht, warum denn jetzt was genau mit dieser Einstellung geht, was vorher nicht gegangen ist. Darum frage ich lieber in solchen Foren nach.

Zur Firewall hätte ich noch eine Frage (irgendwann sieht man den Wald vor lauter Bäumen nicht mehr)
Eine Firewall blockt alles eingehende, was nicht explizit erlaubt ist.
Bsp.: Bei Nutzung von HyperBackup zu einem externen Hoster (Strato) über das Protokoll "rsync" wird diese Aktion von HyperBackup initiiert (ausgehender Traffic). Jedoch werden Returncodes oder ähnliches an HyperBackup zurückgegeben (eingehender Traffic). Sind dafür dann auch Regeln zu erstellen?
 
Safety first! Besser ist's... 😄

Frank73 schrieb:
Eine Firewall blockt alles eingehende, was nicht explizit erlaubt ist.
Zum Vergrößern anklicken....
Nö, bei einer Firewall kannst Du "deutlich" mehr konfigurieren. Die Syno-Firewall ist was das angeht, halt stark beschnitten, ist aber halb so wild, gilt ja eh nur für die Syno selbst :)

Frank73 schrieb:
Bsp.: Bei Nutzung von HyperBackup zu einem externen Hoster (Strato) über das Protokoll "rsync" wird diese Aktion von HyperBackup initiiert (ausgehender Traffic). Jedoch werden Returncodes oder ähnliches an HyperBackup zurückgegeben (eingehender Traffic). Sind dafür dann auch Regeln zu erstellen?
Zum Vergrößern anklicken....
Nein, in der Regel geht es dabei um die "Zustände" der Verbindungen (deswegen auch "stateful"), schau mal hier: https://de.wikipedia.org/wiki/Stateful_Packet_Inspection.

Stark vereinfacht kann man sich das ungefähr so vorstellen: Wenn Du mich in Dein Haus einlädst, darf ich hinein (Du hast mich ja zuvor eingeladen). Hast Du das nicht getan, darf ich eben nicht hinein. Gleiches gilt z.B. für eine HTTP-Anfrage. Zu Deinem Rechner darf erstmal nix (Rechner-Firewall, Router-Firewall).

Stellst Du aber eine Anfrage (initiales Paket) ins Netz und würdest gern mit forum.heimnetz.de reden, merken sich die beteiligten Firewalls auf der Strecke das entsprechend. Wenn dann eine "Antwort" vom Server kommt, wird diese auch durchgelassen (ist ja die Antwort auf Deine vorherige Anfrage). Kommt allerdings noch "irgendwas" (zuvor nicht angefragtes!) hinterher, wird dieses Paket direkt verworfen. Dieses Verhalten kennst Du eigentlich auch von Deinem Router: Nix darf (unangefragt) rein, alles darf raus. Soll irgendwas initial hinein dürfen, bedarf es einer Portweiterleitung/-freigabe.
 
Hab die Firewall mal soweit eingerichtet und scheint auch zu funktionieren. Zumindes kommt jeder mal dahin wo er hin möchte (bis jetzt) :)

Meine Regeln habe ich wie folgt erstellt:
Haupt-PC: Alle Ports, alle Protokoll, (sowohle IPv4 und IPv6) --> Regeln 1 und 2
Laptop 1: Relevante Anwendungen, alle Protokolle, (sowohl IPv4 und IPv6) --> Regeln 3 und 4
Rechner Jugend: Relevante Anwendungen (etwas beschnittener), alle Protokolle, (sowohl IPv4 und IPv6) --> Regeln 5 und 6
Kodi's: CIFS, alle Protokolle, (sowohl IPv4 und IPv6) --> Regeln 7 und 8
Range 30 - 35: ICMP (bei Laptops prüfe ich über Ping ob über NAS über WLAN, anschließend erfolgt ein "net use"), IPv4 --> Regel 9
Laptop Zugriff über VPN (Router) : Relevante Anwendungen (noch etwas beschnittener), alle Protokoll, IPv4 --> Regel 10
ICMP (bei Laptops prüfe ich über Ping ob über NAS über WLAN, anschließend erfolgt ein "net use"), IPv6 --> Regel 11
Für alle Geräte im Heimnetz: Zugriff auf DSN-Server, IPv4 --> Regel 12
Rest: "Du kommst hier net rein"

Firewall.png

Ich würde jetzt gerne noch 2 Regeln ergänzen:
Zugriff DNS auch per IPv6 für mein Heimnetz (besteht nur aus einem Subnetz)
"fdab:1234:1234:1234:/48" --> passt das so oder gibt es einen "richtigeren" Vorschlag?

Zugriff ICMP per IPv6:
Da mein Host-Anteil "gewürfelt" ist kann ich keine Range angeben wie bei IPv4 und würde es auch für das ganze Subnetz erlauben.
"fdab:1234:1234:1234:/48" --> passt das so oder gibt es einen "richtigeren", Vorschlag?
 
Mein Firewall-Setup auf dem NAS läuft jetzt eine Woche ohne erkennbaren Probleme. Habe durch die Deaktivierung von PE auf den Windows-Rechner (Mint tickt da etwas anders) auch mit der Firewall keine Problemem bis....

Ja, bis Frau sich mit der Thematik "Privacy Extensions" beschäftigt hat :eek:.
Sie will jetzt doch auf ihrem Laptop, dass PE wieder aktiviert wird (jegliche Diskussion vergebens). Dass dann mein Firewall-Konzept nicht funktioniert; egal :cry:.

Daher jetzt die Idee:
Ich vergebe in der Firewall nicht die IPv6 auf Rechner-Ebene, sondern auf Präfix-Ebene (fdab:1234:1234:1234:/48). Damit hätte jeder Rechner, welcher im internen Netz hängt und vom Router die ULA erhält den Zugriff auf die entsprechend freigegebenen Anwendungen /Ports.
In meinem Heimnetz sind nur unsere Geräte eingebunden ohne jeglichen Zugriff von außen (der ist nur über VPN [auf dem Router] möglich, keine Portweiterleitungen bzw. Portfreigaben [außer VPN]). Jedes "fremde" Gerät von Freunden, Bekannten usw. (sei es über WLAN oder LAN) geht nur über ein separates Gastnetz ins Internet.

Würdet ihr da ein Sicherheitsproblem sehen, wenn ich in der Firewall für IPv6 die Freigabe auf der ULA-Präfix vornehme, statt auf Geräteebene?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 150 (Mitglieder: 7, Gäste: 143)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.879
Beiträge
57.434
Mitglieder
5.812
Neuestes Mitglied
Espresso

Teilen

Zurück
Oben