Firewall routet Anfragen auf mein NAS statt zu blocken

    Hallo zusammen!
    Ich habe vor kurzem meine Routerkonfiguration ausgetauscht und Apple Airport Extreme und einen Express installiert.
    Das funktionierte reibungslos.
    Das Netzwerk (Mac + Win-Clients, iPhones, iPads, 1 TS-219P+ von QNAP) )habe ich dabei von festvergebenen IP auf DHCP umgestellt.
    Ein Proxy ist nirgendwo installiert.
    Um die Sicherheit dann zu erhöhen, habe ich auf dem NAS die Zugriffe auf das LAN beschränkt, ein Zugriff über das Internet interessiert mich zZ nicht.
    Seit dem alarmiert mich das NAS aber täglich mehrfach über Zugriffsversuche aus dem Internet!
    Irgendwelche IP-Adressen aus China und West-Bengalen klopfen auf meiner öffentlichen IP an und Airport leitet die Anfragen an das NAS weiter!
    Alles auf Port 80 bzw. 8080.
    Mit einem Freund konnte ich das Verhalten auch verifizieren, es gelang ihm problemlos, ebenfalls bis zur Abweisung durch das NAS zu kommen.
    Ich habe in Airport keine zusätzlichen Anschlusseinstellungen vorgenommen.
    Mein Verständnis war, dass die Firewall des Airport eigentlich alle Anfragen direkt blocken müsste.
    Eine Nachfrage beim Apple Support brachte die zunächst in Aufregung, nach einem Tag schoben sie es dann aber auf das NAS von QNAP, was ich aber nicht verstehe.
    Dort läuft kein Webserverdienst o.ä. lediglich der Web Filemanager ist aktiviert.


    Hat jemand eine Idee, warum die Firewall von Airport nicht direkt blockt?


    Vielen Dank für Euer Engagement im voraus,


    Flipper

    Einmal editiert, zuletzt von Flipper.Ron ()

    Hallo,
    hast du dort vielleicht eine Portweiterleitung eingerichtet? Wenn ja, dann solltest du diese löschen/deaktivieren.

    Hallo Tobias,


    vielen Dank für Deine schnelle Antwort - aber nein - ich habe keine Portweiterleitung auf dem Router eingerichtet.


    Gruß Flipper

    Vielleicht findet sich ja die Lösung, wenn du genau schilderst, wie es deinem Freund gelungen ist, auf das NAS zu kommen.

    Hallo Tobias,


    da habe ich mich wohl verkehrt ausgedrückt:
    Er ist nicht auf das NAS gekommen, sondern wurde vom NAS abgewiesen.
    Ich habe ein Kabelmodem mit einer öffentlichen IP.
    Hinter dem Modem hängt mein Apple Airport und dahinter das WLAN bzw. ein Switch an dem das NAS und Desktop-PC's hängen.
    Die öffentliche IP hat mein Freund im Browser als URL eingetragen und versucht zu öffnen.
    Erwartung von mir ist: Apple Airport blockt den Aufrufversuch.
    Fakt ist: Der Aufruf geht bis zum NAS durch und wird erst dort aufgrund der Zugriffseinstellung (nur IP aus LAN zugelassen) geblockt.
    Das ist mir aber viel zu gefährlich - weil schon in meinem Netz!


    Gruß Flipper

    Zitat von "Flipper.Ron"

    da habe ich mich wohl verkehrt ausgedrückt:
    Er ist nicht auf das NAS gekommen, sondern wurde vom NAS abgewiesen.


    Das habe ich auch so verstanden. Aber er ist ja bis zum NAS gekommen, wenn er von diesem abgewiesen wurde. ;)
    Ich denke mal, dass es nicht normal ist, dass der Router alles gleich aufs NAS weiterleitet. Gibt es vielleicht dort irgendwo eine Einstellung, die verhindert, dass er alles aus dem Internet gleich ins Netzwerk schickt? Ist zum Beispiel die Firewall am Router an? Oder gibt es vergleichbare Einstellmöglichkeiten?
    Leider kenne ich mich mit dem Apple Airport nicht aus. Wir haben nämlich einen Cisco und hatten früher mal einen dlink; mit allen anderen kenne ich mich nicht aus.

    Hallo Tobias,


    also ich habe im Airport noch ein "NAT-Port-Mapping-Protokoll" gefunden, das bisher aktiviert war.
    Die Auswirkungen kann ich zwar nicht überblicken - ich habe es jetzt aber mal ausgeschaltet...
    Der Apple-Airport-Support war aber der Ansicht, dass das keine Ursache sein dürfte und schob - wie beschrieben - die Schuld auf das NAS.


    Gruß Flipper

    Hallo,

    Zitat von "Flipper.Ron"

    Der Apple-Airport-Support war aber der Ansicht, dass das keine Ursache sein dürfte und schob - wie beschrieben - die Schuld auf das NAS.


    Das ist mal wieder typisch Support. Immer ist alles andere Schuld. Ich habe auch schon gelesen, dass der Support von QNAP die Schuld oftmals auf die Platten schiebt...
    Als ich mal den Support von QNAP gefragt habe, ob ich bei meiner TS859Pro+ den RAM erweitern könne, meinten diese, dass ich mir dafür ein Modell kaufen solle, bei dem die RAM Erweiterung möglich sein. :-/
    In deinem Fall denke ich, dass der Support einfach nur versucht hat, dich wieder "loszuwerden", indem er dir sagt, dass das NAS das Problem sein.
    Der Begriff "NAT-Port-Mapping-Protokoll" sagt mir leider nichts. Aber kannst du nun immernoch von draußen bis zum NAS kommen?

    So:
    Nachdem ich das "NAT-Port-Mapping-Protokoll" im Airport ausgeschaltet habe, ist Ruhe im Karton.
    Seit 14:46 Uhr habe ich keine Zugriffsversuche mehr protokolliert.
    Auch ein eben explizit von einem Freund gestarteter Versuch wurde jetzt sofort geblockt und lief nicht auf ein timeout.


    Offensichtlich ist Airport so "intelligent", zu erkennen, dass im LAN ein Webserver werkelt und routet entsprechende Anfragen auf Port 80 und 8080 aus dem Internet ungefragt dorthin durch! :shock:
    Mit anderen Worten: Jeder, der die Zugriffssicherungen des NAS nachlässig betreibt, steht ziemlich im Hemd, sobald er Apple Airport (zumindest in der Standardkonfig.) einsetzt.


    Vielen Dank für Eure Unterstützung, für mich ist das Problem hier erst einmal gelöst.
    Jetzt werde ich Apple mal die Frage stellen "Feature oder Bug..."


    Gruß aus Hamburg


    Flipper

    Mir würde da eventuell noch die Möglichkeit einfallen, daß am NAS möglicherweise UPnP aktiviert ist.


    Dies findest Du unter Netzwerkdienst -> Netzwerkdiensterkennung. Dort bitte mal nachschauen, ob der Haken bei "UPnP-Dienst aktivieren" DEaktiviert ist...


    Das wäre zumindest eine denkbare Möglichkeit für die plötzliche "Intelligenzsteigerung" Deines AirPort...


    LG

    Hallo GreyAngel,


    vielen Dank für Deinen Tipp.
    UPnP war aktiviert...ich habe es jetzt ausgeschaltet.
    Mir war nicht klar, dass damit auch die Firewall eines Routers unwirksam gemacht werden kann.
    Aber genau das steht bei wikipedia auch im upnp-Artikel :cry:
    Ich denke, damit hast Du den Schuldigen gefunden!


    Vielen Dank dafür!


    Gruss Flipper

    Naja - die Firewall wird dadurch nicht grundsätzlich unwirksam gemacht...
    Lediglich die vom NAS verwendeten Ports werden dadurch weitestgehend automatisch im Router weitergeleitet. :)


    Ich habe bei mir im Netzwerk das UPnP aller Geräte (soweit möglich) deaktiviert und öffne händisch nur die Ports, die ich wirklich benötige bzw. übersetze aus höheren/unüblichen Portnummern.


    LG