7
Synology Diskstation Firewall läßt unberechtigte Pakete durch
Hallo,
ich habe eine Synology Diskskation zu Hause. Auf der Diskskation läuft eine kleine grafische Oberfläche von Synology. In dieser Oberfläche kann ich die Firewallregeln der 4 Adapter definieren. Alle stehen auf "Zugriff verweigern" und haben entsprechende Regeln definiert, was sie wiederum erlauben dürfen. Auf einen Adapter sind die Windowsdateidienste freigebenen. Auf den anderen sind andere Regeln definiert.
Jetzt zum Problem, ich kann die Windowsdateidienste trotzdem auf den Adaptern ansprechen, auf denen dafür keine Firewallregel definiert ist. Wie kann das sein??
Gruß,
mexx
ich habe eine Synology Diskskation zu Hause. Auf der Diskskation läuft eine kleine grafische Oberfläche von Synology. In dieser Oberfläche kann ich die Firewallregeln der 4 Adapter definieren. Alle stehen auf "Zugriff verweigern" und haben entsprechende Regeln definiert, was sie wiederum erlauben dürfen. Auf einen Adapter sind die Windowsdateidienste freigebenen. Auf den anderen sind andere Regeln definiert.
Jetzt zum Problem, ich kann die Windowsdateidienste trotzdem auf den Adaptern ansprechen, auf denen dafür keine Firewallregel definiert ist. Wie kann das sein??
Gruß,
mexx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 219297
Url: https://administrator.de/contentid/219297
Printed on: April 23, 2024 at 06:04 o'clock
7 Comments
Latest comment
Wäre schön noch etwas mehr zu deiner Netzwerk Infrastruktur zu erfahren...! Ohne das können wir hier ja nur im freien Fall raten.
Klar ist, das die 4 Interfaces ja nicht zusammen in einem gemeinsamen IP Netzwerk liegen können, denn dann wären diese Regeln ja Blödsinn ?! Also nehmen wir mal an in 4 unterschiedlichen IP Netzen...
Wie sind die verknüpft ? Router, Firewall ??
Wichtig ist auch die Regelreihenfolge !! Du kannst also nicht oben in der Regel was erlauben was du unten wieder verbietest. Für die Regelreihenfolge gilt immer "First match wins !"
Leider auch dazu von dir keinerlei Auskunft und Hilfe.
Da sollte auch dir klar sein das man in einem Forum dann erhebliche Schwierigkeiten hat eine für dich zielführende Antwort zu geben ohne in die berühmte Kristallkugel sehen zu müssen oder wild rumzuraten. Hellsehen wird in anderen Foren gemacht...
Klar ist, das die 4 Interfaces ja nicht zusammen in einem gemeinsamen IP Netzwerk liegen können, denn dann wären diese Regeln ja Blödsinn ?! Also nehmen wir mal an in 4 unterschiedlichen IP Netzen...
Wie sind die verknüpft ? Router, Firewall ??
Wichtig ist auch die Regelreihenfolge !! Du kannst also nicht oben in der Regel was erlauben was du unten wieder verbietest. Für die Regelreihenfolge gilt immer "First match wins !"
Leider auch dazu von dir keinerlei Auskunft und Hilfe.
Da sollte auch dir klar sein das man in einem Forum dann erhebliche Schwierigkeiten hat eine für dich zielführende Antwort zu geben ohne in die berühmte Kristallkugel sehen zu müssen oder wild rumzuraten. Hellsehen wird in anderen Foren gemacht...
Alle 4 Adapter befinden sich im gleichen Netz. 192.168.178.24/24 - 192.168.178.27/24 Eine andere Konfiguration ist seitens des Routers nicht möglich. Dabei handelt es sich um eine Fritzbox.
Ich breche mal die Problematik auf einfachste Elemente runter.
eth0 betrachte ich als Management Interface. Die Firewall in der Konfigurationsoberfläche steht auf "Zugriff verweigern". Hier sind Regeln definiert, dass die http Konfigurationsoberfläche erlaubt sind und SSH.
eth1 betrachte ich als Worker Interface. Die Firewall steht ebenfalls auf "Zugriff verweigern". Hier sind Regeln für Winwowsdateifreigabe definiert.
Die Konfigurationsoberfläche erzeugt aus den Regelwerk iptables, dessen CHAINS alle auf ACCEPT stehen, aber am Ende eine DROP Regel haben. Die Regel sehen wie folgt aus.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
98450 15M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 104 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth0 * 192.168.178.25 0.0.0.0/0 tcp dpt:5000
1129 197K DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139,445
648 166K DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth2 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth3 * 0.0.0.0/0 0.0.0.0/0
Ich gebe zu, für die Regel der erlaubten Windowsdateidienste Ports ist keine Source definiert, aber für mich müsste das Regelwerk sich so verhalten, dass es auf Anfrage dieser Ports auf die IP des Adapters eth0 nicht antwortet. Tut es aber.
Hinweis: Wenn ich einen tcpdump auf allen Adaptern laufen lasse, erhalte ich folgende Anfragen auch auf den anderen Adaptern. Ich greife per Windows Explorer und \\xxx.xxx.xxx.xxx (<- eth0) zu und berkomme tcpdump Einträge von auf eth3. Also ob die Netzwerkadapter sich untereinander die Pakete aufteilen, aber ich verwende kein Failover oder so.
Nachtrag: Soeben den Vorgang mit Aufrud aus Windows Explorer wiederholt und tcpdump reagierte auf eth0. So langsam beschleicht mich das Gefühl, dass egal welchen Adapter ich anspreche, das NAS teilt das irgendwo auf. Also ob die nicht autark laufen.
Hilft Dir das weiter?
Ich breche mal die Problematik auf einfachste Elemente runter.
eth0 betrachte ich als Management Interface. Die Firewall in der Konfigurationsoberfläche steht auf "Zugriff verweigern". Hier sind Regeln definiert, dass die http Konfigurationsoberfläche erlaubt sind und SSH.
eth1 betrachte ich als Worker Interface. Die Firewall steht ebenfalls auf "Zugriff verweigern". Hier sind Regeln für Winwowsdateifreigabe definiert.
Die Konfigurationsoberfläche erzeugt aus den Regelwerk iptables, dessen CHAINS alle auf ACCEPT stehen, aber am Ende eine DROP Regel haben. Die Regel sehen wie folgt aus.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
98450 15M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 104 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth0 * 192.168.178.25 0.0.0.0/0 tcp dpt:5000
1129 197K DROP all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138,139,445
648 166K DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth2 * 0.0.0.0/0 0.0.0.0/0
909 167K DROP all -- eth3 * 0.0.0.0/0 0.0.0.0/0
Ich gebe zu, für die Regel der erlaubten Windowsdateidienste Ports ist keine Source definiert, aber für mich müsste das Regelwerk sich so verhalten, dass es auf Anfrage dieser Ports auf die IP des Adapters eth0 nicht antwortet. Tut es aber.
Hinweis: Wenn ich einen tcpdump auf allen Adaptern laufen lasse, erhalte ich folgende Anfragen auch auf den anderen Adaptern. Ich greife per Windows Explorer und \\xxx.xxx.xxx.xxx (<- eth0) zu und berkomme tcpdump Einträge von auf eth3. Also ob die Netzwerkadapter sich untereinander die Pakete aufteilen, aber ich verwende kein Failover oder so.
Nachtrag: Soeben den Vorgang mit Aufrud aus Windows Explorer wiederholt und tcpdump reagierte auf eth0. So langsam beschleicht mich das Gefühl, dass egal welchen Adapter ich anspreche, das NAS teilt das irgendwo auf. Also ob die nicht autark laufen.
Hilft Dir das weiter?
Oha, da machst du aber einen schweren Kardinalsfehler !
Alle 4 Ports im gleichen IP Netz ?? Wie hast du dir denn vorgestellt soll das bitte funktionieren ??
SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen, d.h. du kannst gar nicht dediziert eins ansprechen und somit hebelt das deine Firewall Regeln auch komplett aus.
Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist. Erst erlaubst du alles und dann schränkst du ein.
Bei einem "First Match wins.." Pronzip kann das dann logischerweise nicht funktionieren, denn die erste Regel greift und lässt alles zu...."first match".
Danach werden die folgenden regeln gar nicht mehr abgearbeitet. Wenn, dann also erst verbieten, dann erlauben.
Generell ist deine gesamte Konfig falsch und aus IP Sicht laienhafter Murks und so zum scheitern verurteilt.
Wenn dann kannst du die 4 Links als Trunks zusammenfassen also eine sog. "Link Aggregation" machen um die Performance des NAS zu erhöhen. Alles andere macht kein Sinn oder ist auch IP seitig gar nicht supportet.
Vermutlich ist das deine nettechnische Unwissenheit die dich hat in diese Sackgasse laufen lassen.
Abgesehen von diesen grundlegenden Fehlern hat eine Firewall auf einem NAS rein gar nichts zu suchen. Die gehört auf einen externen Router oder eben eine dedizierte Firewall.
Sicherheit schafft man auf dem NAS mit Userrechten und Dateirechten aber niemals so wie du es da zurechtgefrickelt hat, sorry !
Alle 4 Ports im gleichen IP Netz ?? Wie hast du dir denn vorgestellt soll das bitte funktionieren ??
SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen, d.h. du kannst gar nicht dediziert eins ansprechen und somit hebelt das deine Firewall Regeln auch komplett aus.
Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist. Erst erlaubst du alles und dann schränkst du ein.
Bei einem "First Match wins.." Pronzip kann das dann logischerweise nicht funktionieren, denn die erste Regel greift und lässt alles zu...."first match".
Danach werden die folgenden regeln gar nicht mehr abgearbeitet. Wenn, dann also erst verbieten, dann erlauben.
Generell ist deine gesamte Konfig falsch und aus IP Sicht laienhafter Murks und so zum scheitern verurteilt.
Wenn dann kannst du die 4 Links als Trunks zusammenfassen also eine sog. "Link Aggregation" machen um die Performance des NAS zu erhöhen. Alles andere macht kein Sinn oder ist auch IP seitig gar nicht supportet.
Vermutlich ist das deine nettechnische Unwissenheit die dich hat in diese Sackgasse laufen lassen.
Abgesehen von diesen grundlegenden Fehlern hat eine Firewall auf einem NAS rein gar nichts zu suchen. Die gehört auf einen externen Router oder eben eine dedizierte Firewall.
Sicherheit schafft man auf dem NAS mit Userrechten und Dateirechten aber niemals so wie du es da zurechtgefrickelt hat, sorry !
Kein Problem, ich nehme die Kritik an. Die Regeln stammen aber nicht von mir, sondern von der Synology Diskstation. Darin wird beschrieben, dass man den Adapter auf "Zugriff verweigen" setzten soll und dann lediglich die Ports zuläßt, die man zulassen will. Meine geringen Kenntnisse über Linux führten mich dann zu den iptables. Die erstellt die Diskstation, sobald man auf Speichern drückt. In keiner Konfiguration erzeugt die Diskskation eine Chain die Default auf DROP steht.
"SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen" - Verstanden! Das gilt aber nur für SMB/CIFS?
"Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist" Regel stammt von der Diskstation. Ich hilt sie aber für korrekt, weil Sie doch besagt, dass bestehende Verbindung akzeptiert werden. Neue durchlaufen das Regelwerk.
"Wenn, dann also erst verbieten, dann erlauben" Also mit einer DROP Regel beginnen? Das bedeutet doch aber, dass alles verweigert wird und kein Paket die nächste Prüfung durchläuft?
"SMB/CIFS (Winblows) Filesysteme funtionieren mit Name Service Broadcasts und da kann dann jedes Interface als Zugriff dienen" - Verstanden! Das gilt aber nur für SMB/CIFS?
"Außerdem siehst du oben auch das du in die Falle mit der Reihenfolge gelaufen bist" Regel stammt von der Diskstation. Ich hilt sie aber für korrekt, weil Sie doch besagt, dass bestehende Verbindung akzeptiert werden. Neue durchlaufen das Regelwerk.
"Wenn, dann also erst verbieten, dann erlauben" Also mit einer DROP Regel beginnen? Das bedeutet doch aber, dass alles verweigert wird und kein Paket die nächste Prüfung durchläuft?
Generell ist das auch richtig. Nur..."Zugriff verweigern" muss als allererstes in der Regelliste stehen ! Die "Öffnungsregeln" müssen immer danach kommen.
Allerdings konterkarierst du das alles dadurch das du alle 4 Ports wieder ins gleiche IP Netz legst, damit wird das dann alles wieder ausgehebelt, denn alle 4 Adapter senden UDP Name Service Broadcasts aus um SMB/CIFS Dateisharing zu anouncen im Netz und damit sind deine Filter dann vollkommen sinnlos.
Wie gesagt, eine Firewall hat auf einem NAS wahrlich nichts zu suchen !
Allerdings konterkarierst du das alles dadurch das du alle 4 Ports wieder ins gleiche IP Netz legst, damit wird das dann alles wieder ausgehebelt, denn alle 4 Adapter senden UDP Name Service Broadcasts aus um SMB/CIFS Dateisharing zu anouncen im Netz und damit sind deine Filter dann vollkommen sinnlos.
Wie gesagt, eine Firewall hat auf einem NAS wahrlich nichts zu suchen !
Ich habe von den 4 Adaptern nun 3 zu einen Link zusammen und meine Regeln inkl. Source und Destination hinzugefügt. Die FORWARD und OUTPUT Regeln habe ich ebenfalls entsprechend angepasst. Die INPIT Regel, die vom NAS erstellt wird, steht nach wie vor auf ACCEPT, dann folgen die ACCEPTs anhand Port und SRC und am ende DROP ALL. So bastelt der das zusammen.
Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?
Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?
Zitat von @mexx:
Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?
Wenn ich mir zu Hause eine andere Firewalllösung hinstellen möchte, was würdest Du denn empfehlen. Ein Management Switch von CISCO?
Was willst du damit eigentlich bezwecken?
Die Fritzbox schirmt dich schon mal gegen das Internet ab, warum intern beschränken?
Wenn du damit mal spielen willst, versuche es mal mit IPcop (auf PC) oder OpenWRT (auf Router).
Oder einen Lancom, Teldat, Mikrotik, .. Router (nicht Switch).
VG
Deepsys
