Opnsense Firewall Regel - NAS

Ich will auch einen NAS Server betreiben, allerdings brauche ich den nur lokal für Backups.
Wenn es nicht unbedingt sein muss, dann soll der auch nicht ins internet dürfen.
Updates würden dann keine eingespielt, aber wozu auch. Auf Viren etc. würde ich das NAS
mit dem PC aus scannen.

Was haltet ihr davon, und wie macht Ihr das.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 397406

Url: https://administrator.de/contentid/397406

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

8 Kommentare

Neuester Kommentar

Wozu Updates?
Stimmt, sind total überflüssig :o

Nein Spaß beiseite....
... warum sollte dein NAS nicht ins Internet dürfen?
Hast du ein "eigenes" NAS "gebaut" oder ein fertiges wie z. B. QNAP gekauft?

Ich würde erst den Gedanken verstehen wollen, weshalb dein Gerät nicht ins Internet sollte.
Es wird ja nicht einfach wild ins WWW laufen und dort irgendwas machen.

Viel Problematischer sehe ich es eigentlich, dass wenn dein NAS keine Sicherheitsupdates erhält und du ein infiziertes Gerät im Netzwerk hast, dieses ggf. mit angegriffen werden kann. Man lese hier noch einmal wie sich der Krypto-Trojaner WannaCry im Netzwerk verbreitet hat.

Selbst wenn du dein NAS den Zugriff ins Internet nicht gewähren möchtest, so erlaube zumindest die Update-Server. Das ist meiner Meinung nach wirklich das Minimum.

Zum Ansatz.
Das Einfachste wäre wohl ihm einfach das Gateway zu entziehen. So kann dein NAS zwar im lokalen Netz agieren, jedoch nicht nach extern (Damit sind aber auch keine Updates mehr möglich). Ansonsten lokale Firewall verbiegen oder eine zentrale Firewall (im Router, oder du hast vllt. so noch eine Firewall aufgesetzt)

Zitat von @Jannis92:

Ich würde erst den Gedanken verstehen wollen, weshalb dein Gerät nicht ins Internet sollte.
Es wird ja nicht einfach wild ins WWW laufen und dort irgendwas machen.

Aus dem Internet wäre er ja mehr Risiken ausgestzt als wenn ich als einzelner im lokalen Netz mit Ihm zusammen bin

Selbst wenn du dein NAS den Zugriff ins Internet nicht gewähren möchtest, so erlaube zumindest die Update-Server. Das ist meiner Meinung nach wirklich das Minimum.

Das wäre noch denkbar... oder vielleicht ein mal im Jahr updaten...

Zum Ansatz.
Das Einfachste wäre wohl ihm einfach das Gateway zu entziehen. So kann dein NAS zwar im lokalen Netz agieren, jedoch nicht nach extern (Damit sind aber auch keine Updates mehr möglich). Ansonsten lokale Firewall verbiegen oder eine zentrale Firewall (im Router, oder du hast vllt. so noch eine Firewall aufgesetzt)

Auch möglich ja.

Zum Gerät ich habe mir ein Zyxel NAS gekauft. (Kritik möglich

)

dann soll der auch nicht ins internet dürfen.

Dann lässt du einfach die Gateway IP Adresse wech in seiner statischen IP Adress Konfig ! Kein Gateway = kein Internet !!
Einfacher gehts ja nun nicht !
QNAP und Synology sind wie immer deine besten Freunde beim NAS !
Oder....selber stricken:
https://freenas.org

Hallo Balivorinsky,

wenn es dir nur um die Regel in der OpnSense geht sollte folgendes zum Ziel führen:

Action: Block
Protocol: Any
Source: DEINE NAS (IP / Alias)

Aber Updates würde ich dir ebenfalls ans Herz legen.
Eventuell kannst du die bei Zyxel auch manuell herunterladen und auf der NAS installieren.

Beste Grüße
Somebody

Bei den Marktführern QNAP und Synology kann man das und somit offline updaten !

Und das Weglassen des Gateways ist die sicherste Regel.

Danke. Offline Update ist wohl das beste finde ich.
Kurz zum Gateway. Die Einstellung bezieht sich auf das NAS selbst, also in den Netzwerkeinstellungen. Das verhindert aber nicht das ich im selben Netz vom PC aus zugreifen kann?

Denk mal bitte auch selber etwas nach !!
Das Gateway brauchst du logischerweise doch nur wenn du in fremde IP Netze willst. Im selben Netzwerk braucht man kein Gateway, da reicht Adresse und Maske.