Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Synology Diskstation Firewall läßt unberechtigte Pakete durch

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

14.10.2013 um 11:35 Uhr, 4262 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Synology Diskskation zu Hause. Auf der Diskskation läuft eine kleine grafische Oberfläche von Synology. In dieser Oberfläche kann ich die Firewallregeln der 4 Adapter definieren. Alle stehen auf "Zugriff verweigern" und haben entsprechende Regeln definiert, was sie wiederum erlauben dürfen. Auf einen Adapter sind die Windowsdateidienste freigebenen. Auf den anderen sind andere Regeln definiert.

Jetzt zum Problem, ich kann die Windowsdateidienste trotzdem auf den Adaptern ansprechen, auf denen dafür keine Firewallregel definiert ist. Wie kann das sein??

Gruß,
mexx
Mitglied: aqui
14.10.2013 um 13:38 Uhr
Wäre schön noch etwas mehr zu deiner Netzwerk Infrastruktur zu erfahren...! Ohne das können wir hier ja nur im freien Fall raten.
Klar ist, das die 4 Interfaces ja nicht zusammen in einem gemeinsamen IP Netzwerk liegen können, denn dann wären diese Regeln ja Blödsinn ?! Also nehmen wir mal an in 4 unterschiedlichen IP Netzen...
Wie sind die verknüpft ? Router, Firewall ??

Wichtig ist auch die Regelreihenfolge !! Du kannst also nicht oben in der Regel was erlauben was du unten wieder verbietest. Für die Regelreihenfolge gilt immer "First match wins !"

Leider auch dazu von dir keinerlei Auskunft und Hilfe.
Da sollte auch dir klar sein das man in einem Forum dann erhebliche Schwierigkeiten hat eine für dich zielführende Antwort zu geben ohne in die berühmte Kristallkugel sehen zu müssen oder wild rumzuraten. Hellsehen wird in anderen Foren gemacht...
Bitte warten ..
Mitglied: mexx
14.10.2013, aktualisiert um 14:51 Uhr
Alle 4 Adapter befinden sich im gleichen Netz. 192.168.178.24/24 - 192.168.178.27/24 Eine andere Konfiguration ist seitens des Routers nicht möglich. Dabei handelt es sich um eine Fritzbox.

Ich breche mal die Problematik auf einfachste Elemente runter.

eth0 betrachte ich als Management Interface. Die Firewall in der Konfigurationsoberfläche steht auf "Zugriff verweigern". Hier sind Regeln definiert, dass die http Konfigurationsoberfläche erlaubt sind und SSH.

eth1 betrachte ich als Worker Interface. Die Firewall steht ebenfalls auf "Zugriff verweigern". Hier sind Regeln für Winwowsdateifreigabe definiert.

Die Konfigurationsoberfläche erzeugt aus den Regelwerk iptables, dessen CHAINS alle auf ACCEPT stehen, aber am Ende eine DROP Regel haben. Die Regel sehen wie folgt aus.


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
98450 15M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 104 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth0 * 192.168.178.25 0.0.0.0/0 tcp dpt:5000
1129 197K DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139,445
648 166K DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth2 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth3 * 0.0.0.0/0 0.0.0.0/0

Ich gebe zu, für die Regel der erlaubten Windowsdateidienste Ports ist keine Source definiert, aber für mich müsste das Regelwerk sich so verhalten, dass es auf Anfrage dieser Ports auf die IP des Adapters eth0 nicht antwortet. Tut es aber.

Hinweis: Wenn ich einen tcpdump auf allen Adaptern laufen lasse, erhalte ich folgende Anfragen auch auf den anderen Adaptern. Ich greife per Windows Explorer und \\xxx.xxx.xxx.xxx (<- eth0) zu und berkomme tcpdump Einträge von auf eth3. Also ob die Netzwerkadapter sich untereinander die Pakete aufteilen, aber ich verwende kein Failover oder so.

Nachtrag: Soeben den Vorgang mit Aufrud aus Windows Explorer wiederholt und tcpdump reagierte auf eth0. So langsam beschleicht mich das Gefühl, dass egal welchen Adapter ich anspreche, das NAS teilt das irgendwo auf. Also ob die nicht autark laufen.

Hilft Dir das weiter?
Bitte warten ..
Mitglied: aqui
14.10.2013 um 15:13 Uhr
Oha, da machst du aber einen schweren Kardinalsfehler !
Alle 4 Ports im gleichen IP Netz ?? Wie hast du dir denn vorgestellt soll das bitte funktionieren ??
SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen, d.h. du kannst gar nicht dediziert eins ansprechen und somit hebelt das deine Firewall Regeln auch komplett aus.
Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist. Erst erlaubst du alles und dann schränkst du ein.
Bei einem "First Match wins.." Pronzip kann das dann logischerweise nicht funktionieren, denn die erste Regel greift und lässt alles zu...."first match".
Danach werden die folgenden regeln gar nicht mehr abgearbeitet. Wenn, dann also erst verbieten, dann erlauben.
Generell ist deine gesamte Konfig falsch und aus IP Sicht laienhafter Murks und so zum scheitern verurteilt.
Wenn dann kannst du die 4 Links als Trunks zusammenfassen also eine sog. "Link Aggregation" machen um die Performance des NAS zu erhöhen. Alles andere macht kein Sinn oder ist auch IP seitig gar nicht supportet.
Vermutlich ist das deine nettechnische Unwissenheit die dich hat in diese Sackgasse laufen lassen.
Abgesehen von diesen grundlegenden Fehlern hat eine Firewall auf einem NAS rein gar nichts zu suchen. Die gehört auf einen externen Router oder eben eine dedizierte Firewall.
Sicherheit schafft man auf dem NAS mit Userrechten und Dateirechten aber niemals so wie du es da zurechtgefrickelt hat, sorry !
Bitte warten ..
Mitglied: mexx
14.10.2013 um 15:35 Uhr
Kein Problem, ich nehme die Kritik an. Die Regeln stammen aber nicht von mir, sondern von der Synology Diskstation. Darin wird beschrieben, dass man den Adapter auf "Zugriff verweigen" setzten soll und dann lediglich die Ports zuläßt, die man zulassen will. Meine geringen Kenntnisse über Linux führten mich dann zu den iptables. Die erstellt die Diskstation, sobald man auf Speichern drückt. In keiner Konfiguration erzeugt die Diskskation eine Chain die Default auf DROP steht.

"SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen" - Verstanden! Das gilt aber nur für SMB/CIFS?

"Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist" Regel stammt von der Diskstation. Ich hilt sie aber für korrekt, weil Sie doch besagt, dass bestehende Verbindung akzeptiert werden. Neue durchlaufen das Regelwerk.

"Wenn, dann also erst verbieten, dann erlauben" Also mit einer DROP Regel beginnen? Das bedeutet doch aber, dass alles verweigert wird und kein Paket die nächste Prüfung durchläuft?
Bitte warten ..
Mitglied: aqui
15.10.2013 um 09:32 Uhr
Generell ist das auch richtig. Nur..."Zugriff verweigern" muss als allererstes in der Regelliste stehen ! Die "Öffnungsregeln" müssen immer danach kommen.
Allerdings konterkarierst du das alles dadurch das du alle 4 Ports wieder ins gleiche IP Netz legst, damit wird das dann alles wieder ausgehebelt, denn alle 4 Adapter senden UDP Name Service Broadcasts aus um SMB/CIFS Dateisharing zu anouncen im Netz und damit sind deine Filter dann vollkommen sinnlos.
Wie gesagt, eine Firewall hat auf einem NAS wahrlich nichts zu suchen !
Bitte warten ..
Mitglied: mexx
16.10.2013 um 13:56 Uhr
Ich habe von den 4 Adaptern nun 3 zu einen Link zusammen und meine Regeln inkl. Source und Destination hinzugefügt. Die FORWARD und OUTPUT Regeln habe ich ebenfalls entsprechend angepasst. Die INPIT Regel, die vom NAS erstellt wird, steht nach wie vor auf ACCEPT, dann folgen die ACCEPTs anhand Port und SRC und am ende DROP ALL. So bastelt der das zusammen.

Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?
Bitte warten ..
Mitglied: Deepsys
21.10.2013 um 09:22 Uhr
Zitat von mexx:
Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?

Was willst du damit eigentlich bezwecken?

Die Fritzbox schirmt dich schon mal gegen das Internet ab, warum intern beschränken?
Wenn du damit mal spielen willst, versuche es mal mit IPcop (auf PC) oder OpenWRT (auf Router).
Oder einen Lancom, Teldat, Mikrotik, .. Router (nicht Switch).

VG
Deepsys
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Absicherung Synology Diskstation per VLAN

Frage von zaph0dNetzwerkmanagement4 Kommentare

Hallo, ich möchte über eine Synology DiskStation meine Kalender und Kontakte verwalten und diese auch mit mehreren Endgeräten synchronisieren ...

SAN, NAS, DAS

Administrator eMailacounts auf Synology Diskstation per SSH ändern?

Frage von CornitusSAN, NAS, DAS1 Kommentar

Hallo, kann ich die hinterlegten eMailsadressen für die "Systeminformationen" (Disk voll usw.) in einer Synology Diskstation per SSH ändern? ...

Netzwerkgrundlagen

Netzlaufwerk verbinden Synology Diskstation mit Drucker (Sharp)

gelöst Frage von ZappBrannigenNetzwerkgrundlagen5 Kommentare

Hi, ich verzweifle seit langem daran, ein auf der Diskstation freigegebenes Netzlaufwerk an einen Drucker anzubinden, hat jemand eine ...

SAN, NAS, DAS

One-Click-Backup einer Synology DiskStation DS215j

gelöst Frage von SarekHLSAN, NAS, DAS17 Kommentare

Hallo zusammen, gibt es eine Möglichkeit (gerne auch mit einer externen Software, die notfalls auch was kosten darf), mit ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 1 TagiOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 2 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 4 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 4 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Windows Netzwerk
Kerio. Kann keine Mails empfangen aber senden. Wer ist schuld. Kerio oder Windows domäne?
gelöst Frage von frosch2Windows Netzwerk33 Kommentare

Hallo, es existiert ein Problem bei uns mit dem mailen. Alle bestehenden Nutzer können mailen. Raus wie rein. Neuen ...

LAN, WAN, Wireless
WLAN und Ausmessung - Eine Glaubensfrage?
Frage von ptr2brainLAN, WAN, Wireless23 Kommentare

Liebe Experten, als Sys-Admin habe ich mir schon öfter die Frage gestellt, ob es sich beim Thema WLAN und ...

Hosting & Housing
VMware VM mit über 1TB RAM für S4HANA
Frage von Leo-leHosting & Housing22 Kommentare

Hallo zusammen, wer hat Erfahrng und kann mir einen Tipp zum sizing von S4HANA Systemen geben? Wir möchten, zunächst ...

Virtualisierung
Gebrauchte Server Hardware als Virtualisierungs-"Spielwiese"?
Frage von NixVerstehenVirtualisierung19 Kommentare

Einen wunderschönen guten Morgen zusammen, ich möchte mich gerne etwas tiefer mit dem Thema Virtualisierung beschäftigen und dazu ein ...