8
Opnsense Firewall Regel - NAS
Ich will auch einen NAS Server betreiben, allerdings brauche ich den nur lokal für Backups.
Wenn es nicht unbedingt sein muss, dann soll der auch nicht ins internet dürfen.
Updates würden dann keine eingespielt, aber wozu auch. Auf Viren etc. würde ich das NAS
mit dem PC aus scannen.
Was haltet ihr davon, und wie macht Ihr das.
Wenn es nicht unbedingt sein muss, dann soll der auch nicht ins internet dürfen.
Updates würden dann keine eingespielt, aber wozu auch. Auf Viren etc. würde ich das NAS
mit dem PC aus scannen.
Was haltet ihr davon, und wie macht Ihr das.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 397406
Url: https://administrator.de/contentid/397406
Printed on: April 23, 2024 at 17:04 o'clock
8 Comments
Latest comment
Wozu Updates?
Stimmt, sind total überflüssig :o
Nein Spaß beiseite....
... warum sollte dein NAS nicht ins Internet dürfen?
Hast du ein "eigenes" NAS "gebaut" oder ein fertiges wie z. B. QNAP gekauft?
Ich würde erst den Gedanken verstehen wollen, weshalb dein Gerät nicht ins Internet sollte.
Es wird ja nicht einfach wild ins WWW laufen und dort irgendwas machen.
Viel Problematischer sehe ich es eigentlich, dass wenn dein NAS keine Sicherheitsupdates erhält und du ein infiziertes Gerät im Netzwerk hast, dieses ggf. mit angegriffen werden kann. Man lese hier noch einmal wie sich der Krypto-Trojaner WannaCry im Netzwerk verbreitet hat.
Selbst wenn du dein NAS den Zugriff ins Internet nicht gewähren möchtest, so erlaube zumindest die Update-Server. Das ist meiner Meinung nach wirklich das Minimum.
Zum Ansatz.
Das Einfachste wäre wohl ihm einfach das Gateway zu entziehen. So kann dein NAS zwar im lokalen Netz agieren, jedoch nicht nach extern (Damit sind aber auch keine Updates mehr möglich). Ansonsten lokale Firewall verbiegen oder eine zentrale Firewall (im Router, oder du hast vllt. so noch eine Firewall aufgesetzt)
Stimmt, sind total überflüssig :o
Nein Spaß beiseite....
... warum sollte dein NAS nicht ins Internet dürfen?
Hast du ein "eigenes" NAS "gebaut" oder ein fertiges wie z. B. QNAP gekauft?
Ich würde erst den Gedanken verstehen wollen, weshalb dein Gerät nicht ins Internet sollte.
Es wird ja nicht einfach wild ins WWW laufen und dort irgendwas machen.
Viel Problematischer sehe ich es eigentlich, dass wenn dein NAS keine Sicherheitsupdates erhält und du ein infiziertes Gerät im Netzwerk hast, dieses ggf. mit angegriffen werden kann. Man lese hier noch einmal wie sich der Krypto-Trojaner WannaCry im Netzwerk verbreitet hat.
Selbst wenn du dein NAS den Zugriff ins Internet nicht gewähren möchtest, so erlaube zumindest die Update-Server. Das ist meiner Meinung nach wirklich das Minimum.
Zum Ansatz.
Das Einfachste wäre wohl ihm einfach das Gateway zu entziehen. So kann dein NAS zwar im lokalen Netz agieren, jedoch nicht nach extern (Damit sind aber auch keine Updates mehr möglich). Ansonsten lokale Firewall verbiegen oder eine zentrale Firewall (im Router, oder du hast vllt. so noch eine Firewall aufgesetzt)
Ich würde erst den Gedanken verstehen wollen, weshalb dein Gerät nicht ins Internet sollte.
Es wird ja nicht einfach wild ins WWW laufen und dort irgendwas machen.
Aus dem Internet wäre er ja mehr Risiken ausgestzt als wenn ich als einzelner im lokalen Netz mit Ihm zusammen bin Es wird ja nicht einfach wild ins WWW laufen und dort irgendwas machen.
Selbst wenn du dein NAS den Zugriff ins Internet nicht gewähren möchtest, so erlaube zumindest die Update-Server. Das ist meiner Meinung nach wirklich das Minimum.
Das wäre noch denkbar... oder vielleicht ein mal im Jahr updaten...
Zum Ansatz.
Das Einfachste wäre wohl ihm einfach das Gateway zu entziehen. So kann dein NAS zwar im lokalen Netz agieren, jedoch nicht nach extern (Damit sind aber auch keine Updates mehr möglich). Ansonsten lokale Firewall verbiegen oder eine zentrale Firewall (im Router, oder du hast vllt. so noch eine Firewall aufgesetzt)
Das Einfachste wäre wohl ihm einfach das Gateway zu entziehen. So kann dein NAS zwar im lokalen Netz agieren, jedoch nicht nach extern (Damit sind aber auch keine Updates mehr möglich). Ansonsten lokale Firewall verbiegen oder eine zentrale Firewall (im Router, oder du hast vllt. so noch eine Firewall aufgesetzt)
Auch möglich ja.
Zum Gerät ich habe mir ein Zyxel NAS gekauft. (Kritik möglich
)
dann soll der auch nicht ins internet dürfen.
Dann lässt du einfach die Gateway IP Adresse wech in seiner statischen IP Adress Konfig ! Kein Gateway = kein Internet !!Einfacher gehts ja nun nicht !
QNAP und Synology sind wie immer deine besten Freunde beim NAS !
Oder....selber stricken:
https://freenas.org
Hallo Balivorinsky,
wenn es dir nur um die Regel in der OpnSense geht sollte folgendes zum Ziel führen:
Aber Updates würde ich dir ebenfalls ans Herz legen.
Eventuell kannst du die bei Zyxel auch manuell herunterladen und auf der NAS installieren.
Beste Grüße
Somebody
wenn es dir nur um die Regel in der OpnSense geht sollte folgendes zum Ziel führen:
Action: Block
Protocol: Any
Source: DEINE NAS (IP / Alias)Aber Updates würde ich dir ebenfalls ans Herz legen.
Eventuell kannst du die bei Zyxel auch manuell herunterladen und auf der NAS installieren.
Beste Grüße
Somebody
Bei den Marktführern QNAP und Synology kann man das und somit offline updaten ! 
Und das Weglassen des Gateways ist die sicherste Regel.
Und das Weglassen des Gateways ist die sicherste Regel.
Danke. Offline Update ist wohl das beste finde ich.
Kurz zum Gateway. Die Einstellung bezieht sich auf das NAS selbst, also in den Netzwerkeinstellungen. Das verhindert aber nicht das ich im selben Netz vom PC aus zugreifen kann?
Kurz zum Gateway. Die Einstellung bezieht sich auf das NAS selbst, also in den Netzwerkeinstellungen. Das verhindert aber nicht das ich im selben Netz vom PC aus zugreifen kann?
Denk mal bitte auch selber etwas nach !!
Das Gateway brauchst du logischerweise doch nur wenn du in fremde IP Netze willst. Im selben Netzwerk braucht man kein Gateway, da reicht Adresse und Maske.
Das Gateway brauchst du logischerweise doch nur wenn du in fremde IP Netze willst. Im selben Netzwerk braucht man kein Gateway, da reicht Adresse und Maske.
klar da hast du Recht.
Du wolltest doch noch was testen
Du wolltest doch noch was testen
