Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Synology Diskstation Firewall läßt unberechtigte Pakete durch

Mitglied: mexx

mexx (Level 2) - Jetzt verbinden

14.10.2013 um 11:35 Uhr, 4291 Aufrufe, 7 Kommentare

Hallo,

ich habe eine Synology Diskskation zu Hause. Auf der Diskskation läuft eine kleine grafische Oberfläche von Synology. In dieser Oberfläche kann ich die Firewallregeln der 4 Adapter definieren. Alle stehen auf "Zugriff verweigern" und haben entsprechende Regeln definiert, was sie wiederum erlauben dürfen. Auf einen Adapter sind die Windowsdateidienste freigebenen. Auf den anderen sind andere Regeln definiert.

Jetzt zum Problem, ich kann die Windowsdateidienste trotzdem auf den Adaptern ansprechen, auf denen dafür keine Firewallregel definiert ist. Wie kann das sein??

Gruß,
mexx
Mitglied: aqui
14.10.2013 um 13:38 Uhr
Wäre schön noch etwas mehr zu deiner Netzwerk Infrastruktur zu erfahren...! Ohne das können wir hier ja nur im freien Fall raten.
Klar ist, das die 4 Interfaces ja nicht zusammen in einem gemeinsamen IP Netzwerk liegen können, denn dann wären diese Regeln ja Blödsinn ?! Also nehmen wir mal an in 4 unterschiedlichen IP Netzen...
Wie sind die verknüpft ? Router, Firewall ??

Wichtig ist auch die Regelreihenfolge !! Du kannst also nicht oben in der Regel was erlauben was du unten wieder verbietest. Für die Regelreihenfolge gilt immer "First match wins !"

Leider auch dazu von dir keinerlei Auskunft und Hilfe.
Da sollte auch dir klar sein das man in einem Forum dann erhebliche Schwierigkeiten hat eine für dich zielführende Antwort zu geben ohne in die berühmte Kristallkugel sehen zu müssen oder wild rumzuraten. Hellsehen wird in anderen Foren gemacht...
Bitte warten ..
Mitglied: mexx
14.10.2013, aktualisiert um 14:51 Uhr
Alle 4 Adapter befinden sich im gleichen Netz. 192.168.178.24/24 - 192.168.178.27/24 Eine andere Konfiguration ist seitens des Routers nicht möglich. Dabei handelt es sich um eine Fritzbox.

Ich breche mal die Problematik auf einfachste Elemente runter.

eth0 betrachte ich als Management Interface. Die Firewall in der Konfigurationsoberfläche steht auf "Zugriff verweigern". Hier sind Regeln definiert, dass die http Konfigurationsoberfläche erlaubt sind und SSH.

eth1 betrachte ich als Worker Interface. Die Firewall steht ebenfalls auf "Zugriff verweigern". Hier sind Regeln für Winwowsdateifreigabe definiert.

Die Konfigurationsoberfläche erzeugt aus den Regelwerk iptables, dessen CHAINS alle auf ACCEPT stehen, aber am Ende eine DROP Regel haben. Die Regel sehen wie folgt aus.


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
98450 15M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 104 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth0 * 192.168.178.25 0.0.0.0/0 tcp dpt:5000
1129 197K DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139,445
648 166K DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth2 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth3 * 0.0.0.0/0 0.0.0.0/0

Ich gebe zu, für die Regel der erlaubten Windowsdateidienste Ports ist keine Source definiert, aber für mich müsste das Regelwerk sich so verhalten, dass es auf Anfrage dieser Ports auf die IP des Adapters eth0 nicht antwortet. Tut es aber.

Hinweis: Wenn ich einen tcpdump auf allen Adaptern laufen lasse, erhalte ich folgende Anfragen auch auf den anderen Adaptern. Ich greife per Windows Explorer und \\xxx.xxx.xxx.xxx (<- eth0) zu und berkomme tcpdump Einträge von auf eth3. Also ob die Netzwerkadapter sich untereinander die Pakete aufteilen, aber ich verwende kein Failover oder so.

Nachtrag: Soeben den Vorgang mit Aufrud aus Windows Explorer wiederholt und tcpdump reagierte auf eth0. So langsam beschleicht mich das Gefühl, dass egal welchen Adapter ich anspreche, das NAS teilt das irgendwo auf. Also ob die nicht autark laufen.

Hilft Dir das weiter?
Bitte warten ..
Mitglied: aqui
14.10.2013 um 15:13 Uhr
Oha, da machst du aber einen schweren Kardinalsfehler !
Alle 4 Ports im gleichen IP Netz ?? Wie hast du dir denn vorgestellt soll das bitte funktionieren ??
SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen, d.h. du kannst gar nicht dediziert eins ansprechen und somit hebelt das deine Firewall Regeln auch komplett aus.
Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist. Erst erlaubst du alles und dann schränkst du ein.
Bei einem "First Match wins.." Pronzip kann das dann logischerweise nicht funktionieren, denn die erste Regel greift und lässt alles zu...."first match".
Danach werden die folgenden regeln gar nicht mehr abgearbeitet. Wenn, dann also erst verbieten, dann erlauben.
Generell ist deine gesamte Konfig falsch und aus IP Sicht laienhafter Murks und so zum scheitern verurteilt.
Wenn dann kannst du die 4 Links als Trunks zusammenfassen also eine sog. "Link Aggregation" machen um die Performance des NAS zu erhöhen. Alles andere macht kein Sinn oder ist auch IP seitig gar nicht supportet.
Vermutlich ist das deine nettechnische Unwissenheit die dich hat in diese Sackgasse laufen lassen.
Abgesehen von diesen grundlegenden Fehlern hat eine Firewall auf einem NAS rein gar nichts zu suchen. Die gehört auf einen externen Router oder eben eine dedizierte Firewall.
Sicherheit schafft man auf dem NAS mit Userrechten und Dateirechten aber niemals so wie du es da zurechtgefrickelt hat, sorry !
Bitte warten ..
Mitglied: mexx
14.10.2013 um 15:35 Uhr
Kein Problem, ich nehme die Kritik an. Die Regeln stammen aber nicht von mir, sondern von der Synology Diskstation. Darin wird beschrieben, dass man den Adapter auf "Zugriff verweigen" setzten soll und dann lediglich die Ports zuläßt, die man zulassen will. Meine geringen Kenntnisse über Linux führten mich dann zu den iptables. Die erstellt die Diskstation, sobald man auf Speichern drückt. In keiner Konfiguration erzeugt die Diskskation eine Chain die Default auf DROP steht.

"SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen" - Verstanden! Das gilt aber nur für SMB/CIFS?

"Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist" Regel stammt von der Diskstation. Ich hilt sie aber für korrekt, weil Sie doch besagt, dass bestehende Verbindung akzeptiert werden. Neue durchlaufen das Regelwerk.

"Wenn, dann also erst verbieten, dann erlauben" Also mit einer DROP Regel beginnen? Das bedeutet doch aber, dass alles verweigert wird und kein Paket die nächste Prüfung durchläuft?
Bitte warten ..
Mitglied: aqui
15.10.2013 um 09:32 Uhr
Generell ist das auch richtig. Nur..."Zugriff verweigern" muss als allererstes in der Regelliste stehen ! Die "Öffnungsregeln" müssen immer danach kommen.
Allerdings konterkarierst du das alles dadurch das du alle 4 Ports wieder ins gleiche IP Netz legst, damit wird das dann alles wieder ausgehebelt, denn alle 4 Adapter senden UDP Name Service Broadcasts aus um SMB/CIFS Dateisharing zu anouncen im Netz und damit sind deine Filter dann vollkommen sinnlos.
Wie gesagt, eine Firewall hat auf einem NAS wahrlich nichts zu suchen !
Bitte warten ..
Mitglied: mexx
16.10.2013 um 13:56 Uhr
Ich habe von den 4 Adaptern nun 3 zu einen Link zusammen und meine Regeln inkl. Source und Destination hinzugefügt. Die FORWARD und OUTPUT Regeln habe ich ebenfalls entsprechend angepasst. Die INPIT Regel, die vom NAS erstellt wird, steht nach wie vor auf ACCEPT, dann folgen die ACCEPTs anhand Port und SRC und am ende DROP ALL. So bastelt der das zusammen.

Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?
Bitte warten ..
Mitglied: Deepsys
21.10.2013 um 09:22 Uhr
Zitat von mexx:
Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?

Was willst du damit eigentlich bezwecken?

Die Fritzbox schirmt dich schon mal gegen das Internet ab, warum intern beschränken?
Wenn du damit mal spielen willst, versuche es mal mit IPcop (auf PC) oder OpenWRT (auf Router).
Oder einen Lancom, Teldat, Mikrotik, .. Router (nicht Switch).

VG
Deepsys
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Absicherung Synology Diskstation per VLAN

Frage von zaph0dNetzwerkmanagement4 Kommentare

Hallo, ich möchte über eine Synology DiskStation meine Kalender und Kontakte verwalten und diese auch mit mehreren Endgeräten synchronisieren ...

SAN, NAS, DAS

Administrator eMailacounts auf Synology Diskstation per SSH ändern?

Frage von CornitusSAN, NAS, DAS1 Kommentar

Hallo, kann ich die hinterlegten eMailsadressen für die "Systeminformationen" (Disk voll usw.) in einer Synology Diskstation per SSH ändern? ...

Netzwerkgrundlagen

Netzlaufwerk verbinden Synology Diskstation mit Drucker (Sharp)

gelöst Frage von ZappBrannigenNetzwerkgrundlagen5 Kommentare

Hi, ich verzweifle seit langem daran, ein auf der Diskstation freigegebenes Netzlaufwerk an einen Drucker anzubinden, hat jemand eine ...

SAN, NAS, DAS

One-Click-Backup einer Synology DiskStation DS215j

gelöst Frage von SarekHLSAN, NAS, DAS17 Kommentare

Hallo zusammen, gibt es eine Möglichkeit (gerne auch mit einer externen Software, die notfalls auch was kosten darf), mit ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 2 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 2 TagenSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 3 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 4 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
Hyper-V
Hyper-V Manager startet, jedoch keine VM
Frage von NaleorHyper-V14 Kommentare

Hallo zusammen, auf meinem Windows 10 (Build 1703) Notebook von der Arbeit scheint Hyper-V plötzliche nicht mehr zu funktionieren. ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS13 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows 10
Windows 10 PC kein Ping möglich von anderen PCs
Frage von babylon05Windows 108 Kommentare

Hallo, ich habe 2 neue PC's in einer Windows 2008 Domän. Diese haben Windows 10. Die anderen PC's sind ...