Firewall für IP-Bereiche

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

frido34

Neuer User
Mitglied seit
4 Aug 2015
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe hier schon etwas rumgelesen, aber leider nicht so wirklich eine passende und auch aktuelle Antwort erhalten.

Aktuell habe ich eine Fritzbox 7490 mit einer VPN und SFTP Freigabe auf meine Synology, die dahinter läuft. Nun sehe ich Tag für Tag, dass die Synology Anfragen ablehnt:

"IP address [45.114.11.24] of DiskStation has been blocked by SSH 2015-08-04 14:38:24"

Heute waren es alleine 13 Interessenten, an denen ich kein Interesse habe und deren Anzahl ich gerne verringern würde. Normalerweise brauche ich keine Anfragen aus China oder Russland durchzulassen, da ich dort nicht so schnell hinkommen werden.

Also wäre meine Frage, ob ich nicht auf eine komfortable Art eine Sperre für 45.*.*.* einrichten könnte und dann würde die Anfrage überhaupt nicht bis zur Synology durchkommen.

Danke im Voraus.

Grüße,
Frido
 
In der FB kannst es nicht, aber in der Firewall im DSM kannst sogar nach Region sperren.

Einfach kein Port 22 oder nur über VPN würde schon helfen. ;)
 
Kann die Synology kein Fail2ban?
 
- komfortabel in der FRITZ!Box einstellbar -> nein
- möglich in der FRITZ!Box einzustellen -> kommt ganz drauf an, ar7.cfg -> pppoefw
- sinnvoll in der FRITZ!Box umsetzbar -> eher nicht

Besser in der DiskStation eine eingehende Filterung aktivieren, die hat bestimmt auch "richtige iptables-Unterstützung", was bei der FRITZ!Box nicht der Fall ist. Wenn da volle Unterstützung vorhanden ist, kann man das auch auf n Anmeldeversuche innerhalb eines Intervalls i beschränken ... Beispiele für derartige iptables-Einträge findet man im Netz wie Sand am Meer.

Wenn man das etwas dynamischer will (und mit automatischen "expire" für "black list"-Einträge), liest man sich mal die Dokumentationen zu "ipset" durch - bequemer geht es fast nicht mehr.
 
Fail2ban ist nicht auf der DS und bringt auch den supporteten Zustand auf die Kippe.

Die DS blockt IP eh für Anmeldung nach X Versuchen. Muss man aber einstellen, wenn man aber schon in Firewall blockt, werden Dienste nicht erst noch belästigt und füllen Logs.
 
Danke für die vielen Antworten!

Ich habe in der Synology die Firewall so eingestellt, dass sie beispielsweise 43.0.0.0 bis 43.255.255.255 oder auch China, Weißrussland, ... sperrt.
Fail2Ban? Die Konfiguration ist so, dass eine IP, die 3fach erfolglos versucht, dauerhaft gesperrt wird. Meinst du das? Da habe ich in relativ kurzer Zeit nun 188 Einträge drin.

Nur dachte ich halt, dass es eigentlich schon zu spät ist, wenn die Synology die Anfrage ablehnen muss und das nicht schon in der Firewall des Routers passiert.
 
Automatische Blockierung blockt nur in den Systemdienste die Anmeldung, die Dienste reagieren aber erstmal weiter hin auf Anfragen, wenn auch ablehnend.

Besser ist wie gesagt in Firewall der DS, es langt wenn die dann ablehnt.
 
HabNeFritzbox schrieb:
Automatische Blockierung blockt nur in den Systemdienste die Anmeldung, die Dienste reagieren aber erstmal weiter hin auf Anfragen, wenn auch ablehnend.

Besser ist wie gesagt in Firewall der DS, es langt wenn die dann ablehnt.
Zum Vergrößern anklicken....

Sorry, habe ich noch nicht verstanden. Habe ich es nun korrekt gemacht, oder geht es noch besser?
 
Wenn Firewall von DS blockt ist es ok. In FB wäre es Fummelkram.

Im gemanagtem Switch würde es auch gehen.
 
Zuletzt bearbeitet von einem Moderator:
Ok, schönen Dank.

Dann muss ich noch schauen, wie ich die Bereiche komfortabler abgedeckt bekommen. China ist was anderes als HongKong und somit scheine ich noch etwas Arbeit zu haben, bis ich die nervigsten Regionen dicht habe.
 
Ich habe es so, dass ich in der DS die IP für alle Schnittstellen sperre, und dann beim LAN Port die Ausnahmen was rein darf.

Kannst auch Regionen wählen statt ne IP oder IP Bereiche.

dsm-firewall.JPG
 
Zuletzt bearbeitet von einem Moderator:
Interessant ... werde ich mir mal anschauen, danke.
 
Und passt es für dich soweit?

Ich trau dem da nicht so ganz, durch ganzen IP getausche weil ja knapp sind, ob Subnets dann noch zur Region passen. Daher weiß ich nicht wie aktuell die Datenbank ist und gepflegt wird.

Im Log siehst dann ja nichts wenn falsche Bereich gesperrt ist.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 834 (Mitglieder: 46, Gäste: 788)

Neueste Beiträge

Statistik des Forums

Themen
246,167
Beiträge
2,247,342
Mitglieder
373,710
Neuestes Mitglied
marcushamburg
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück