Was ist denn hier los?
Mein Beitrag mit den Likes ist weg, und der User auch gelöscht worden?
Wieso in beide Richtungen?
Das Konstrukt sieht ja üblicherweise so aus: Quelle -Dienst - Ziel.
Die Firewall läuft auf der QNAP.
Ist also in diesem Beispiel das Ziel.
Um bei dem Beispiel zu bleiben: Rechner -> SMB/CIFS -> QNAP = Deny.
Anders rum: NAS -> Dienst -> Rechner = Allow.
Edit:
Bei einer richtigen Firewall wird zum Schluß noch "Alles was nicht erlaubt ist, ist verboten" Regel angelegt.
Eine Firewall reglementiert ja den Verbindungsaufbau. Eine Verbindung kann von der QNAP auf ein anderes Gerät aufgebaut werden, aber auch vom anderen Gerät auf die QNAP. Normalerweise kann man reglementieren, ob der eingehende Aufbau oder der ausgehende oder gar beides erlaubt oder gesperrt ist. Sprich ich könnte definieren, dass ein Gerät sich zwar mit der QNAP verbinden darf, aber die QNAP nicht mit diesem Gerät. Sinn dahinter: So könnte man unterbinden, dass gewisse Dienste oder Apps der QNAP ins Internet oder auf andere Geräte zugreifen dürfen. Sind es eigene Geräte mit ebenfalls einer Firewall - so wie bei QNAP sein Jahren 
- kann man dies teilweise auch dort steuern. 
Für mich sieht es so aus, dass man nur den eingehenden Verkehr blockieren kann, aber nach Außen keine Möglichkeit hat irgend etwas zu machen. Es stellt sich jetzt die Frage, ob dies aus Einfachheit für den Benutzer so gemacht wurde, oder dass Benutzer so keine QNAP-Dienst die nachhause telefonieren wollen blockieren können. Ich sag mal beides.
Na wie dem auch sei, für mich ist dies im Moment noch keine richtige Firewall sondern eine Eierwall: So sicher wie eine Eierschale. 
Aber das Projekt ist ja noch jung. Kann alles noch werden. Allerdings gibt es unter Linux schon seit Jahren einfache und gut funktionieren Firewallprojekte. Wieso QNAP nicht da angesetzt hat? Hmm, vielleicht funktionieren die nicht mit ARM-CPUs. 
Wichtig ist auf jeden Fall das QNAP nun diesbezüglich etwas macht. Und einen gewissen Schutz mag diese App sicher auch bieten, aber ein Freibrief das NAS nun einfach so offen ins Internet zu stellen ist dies definitiv nicht. Aber das hatten wir hier schon.
Allerdings gibt es unter Linux schon seit Jahren einfache und gut funktionieren Firewallprojekte. Wieso QNAP nicht da angesetzt hat? Hmm, vielleicht funktionieren die nicht mit ARM-CPUs.
Für alle Modelle mit Virtualization Station und/ oder Container Station gibt es ja ohnehin die Möglichkeit das darüber zu realisieren. Gerade pfsense als VM ist der QuFirewall ja um längen voraus.
Wirklich interessant ist die QuFirewall daher eh wohl nur für die NAS-Modelle, die keine Virtualisierung bieten, oder User denen das zu komplex erscheint.
VM kann meine TS-328 jetzt nicht, aber Container schon. pfsense als Container wäre mal ein paar Stunden wert zum Ausprobieren. Wobei pfsense als Firewall rein für die QNAP wohl wieder etwas mächtig ist. Als Netzwerkfirewall würde ich sie jedoch nicht einsetzen, denn eigentlich ist diese physisch gesehen an der falschen Stelle des Netzwerks. Aber das ist eine Diskussion, wo sich die Fachleute schon nicht wirklich einig sind.
Steh vermutlich grad auf dem Schlauch. Das Prinzip einer Firewall ist mir in meinem Laienhaften Verständnis schon klar.
Laut Deinem Screenshot kannst Du doch als Quelle eine IP samt Protokoll definieren.
Wenn Du jetzt ein internes Gerät angibst, tcp/445 und Deny auswählst kommt eben dieses Gerät nicht mehr per SMB/CIFS auf die QNAP.
Wenn keine andere Regel angelegt ist, kommt aber die QNAP auf dieses Gerät.
ja, mir fehlt der Speicherort. In einem Video om Netz wird, wie gesagt, gesagt dass es eine txt Datei sein soll, die gespeichert wird, kein log.
Leider finde ich das nicht wieder.
Wenn Du keinen Ordner angegeben hast oder kannst, dann ist der Browser normalerweise so eingestellt, dass er Dateien im Download-Ordner des Benutzers ablegt.
Wenn Du jetzt ein internes Gerät angibst, tcp/445 und Deny auswählst kommt eben dieses Gerät nicht mehr per SMB/CIFS auf die QNAP.
Richtig. Ich will aber, dass das Gerät auf auf die QNAP kommt, aber die QNAP nicht auf das Gerät. Kleiner aber sehr wichtiger Unterschied. So kannst Du nicht nur die QNAP vor anderen Geräten schützen, sondern Du kannst auch verhindern, dass im Falle einer Infektion oder eines anderen Problems der QNAP diese auf andere Geräte übergreifen kann. So könnte z.B. auch ein versehentliches Verändern auf dem anderen Gerät vermieden werden. Wenn das andere Gerät eine Firewall hat, kann man dies natürlich auch dort einrichten oder noch besser auf beiden.
Im Normalfall ist die Idee einer Firewall, dass alles grundsätzlich blockiert ist - in alle Richtungen - außer was benötigt wird. Das ist zwar eine Arbeitsmethode die aus dem geschäftlichen Umfeld kommt und weniger im privaten Bereich - leider - eingesetzt wird. Da aber sehr viele NAS - auch kleinere - im geschäftlichen Umfeld eingesetzt wird, wäre es wünschenswert, dass die QuFirewall dies auch könnte.
Durch das Blockieren nach Außen kannst Du auch gewisse Programme oder Dienste in ihre Schranken verweisen. Nicht jedes Programm macht immer das was es soll. So könnte man unterbinden, dass diese überhaupt nach Außen können. Wenn ein Blockieren nach Außen nicht möglich sein sollte, nutzt es auch wenig den betreffenden Server auf die Liste zu nehmen.
Mag sein, dass dies zum Schutz der QNAP selbst nicht zwingend notwendig ist, aber man will ja alle Geräte schützen. Auch die Windows 10 - Firewall kennt Regeln für ein- und ausgehende Verbinden. Ebenso die ufw Firewall für Linux. Müsste mal bei MacOS nachsehen, aber meinte auch die Standard System-Firewall dort kann dies.
Müsste mal bei MacOS nachsehen, aber meinte auch die Standard System-Firewall dort kann dies.
Das neue MacOS (Big Sur) soll es nicht so eng mit den eigenen Progs nehmen und denen praktisch unbeeinflußbar einen Persilschein ausstellen.
Ich will aber, dass das Gerät auf auf die QNAP kommt, aber die QNAP nicht auf das Gerät
Jetzt verstehe ich was Du meinst.
Scheint als liese sich das aber mit der QuFirewall so nicht umsetzen.
Alternativ die QNAP halt in ein extra vLAN und dann mit einer "richtigen" Firewall arbeiten.
Bei einer richtigen Firewall wird zum Schluß noch "Alles was nicht erlaubt ist, ist verboten" Regel angelegt.
Die ist einfach per dafault vorhanden und muss auch nicht angezeigt werden.
Bei einer Cisco ASA ist die vorhanden aber nicht zu bearbeiten, bei meiner Sense wird die gar nicht erst angezeigt, warum auch. Alles was nicht erlaubt ist, ist bei einer Firewall automatisch verboten.
Daher sehe ich die QuFirewall auch kritisch.
Denn wenn die genauso funktionieren würde, ist man ganz fix vom NAS ausgespert.
Nur das hier keine Serial Console mal eben angesteckt wird um die Regel zu editieren, da fängt man dann mit dem Netzwerk Reset an.
Wenn ich Zugriffschutz im LAN haben will, dann packe ich das NAS in eine DMZ, hänge eine Firewall als Appliance davor und baue granulares Regelwerk.
Denn wir die QNAP trotz Firewall kompromitiert und die läuft als App auf dem Host, dann ist die ausgehende Schutzfunktion wertlos.
Da ich als Angreifer als erste eine any Regel für mich rein haue und dann auf das Netzwerk los gehe.
Was er aber nicht so einfach schafft, das ist eine externe Appliance knacken, weil er da im besten Fall gar nicht auf Management kommt und dann kann er nur die Löcher suchen und versuche da was drüber zu erreichen.
Ist also ein nettes Gimick, aber eben keine echte Firewall in dem Sinne.
Aus den oben genannten Gründe ist eine Desktop Firewall als zusätzlicher Schutz ok, wenn die sauber vom Regelwerk her aufgebaut ist, mehr aber auch nicht.
Die ist einfach per dafault vorhanden und muss auch nicht angezeigt werden.
Jo, Du bist in der Materie etwas kompetenter wie ich.
Ich habs mir halt auf der UTM@home oder auf der Syno-Frewall einfach so angewöhnt.
Was nicht in den Regeln als "Erlaubt" definiert ist, wird "Verboten".
Vielleicht nicht unbedingt nötig, schadet aber auch nicht.
2x Minus ergibt Plus. Also 2x verboten ergibt wieder erlaubt.
Die "Alles Verboten" Regel gibt es bei QuFirewall ja auch. Aber die scheint nur von Außen nach Innen zu gelten. Ich habe allerdings noch die Hoffnung, dass es irgendwann dann vielleicht einen "erweiterten" oder "echten" Firewall-Modus geben wird.
Die ist einfach per dafault vorhanden und muss auch nicht angezeigt werden.
Bei Cisco ist das so, bei QNAP, hier zumindest auf dem QHora, muss die deny any Regel erstellt werden. Ist ja aber auch nicht komplett falsch, wenn man nur einzelne Dinge sperren will und alles andere erlauben möchte müsste man ja sonst eine allow any Regel erstellen, welche höher als die deny any Regel priorisiert ist (und diese damit ad aburdum führen würde). Von daher finde ich die Lösung eigentlich okay die Regel selbst erstellen zu müssen. QNAP hat also eine allow any als default, welche nicht angezeigt wird. Im Endeffekt ists aber eigentlich auch egal, man muss es nur wissen.
Hallo Mavalok2,
vieldn Dank für die Antwort, werde ich gleich mal nachschauen.
Moin liebe Forengemeinde,
erst einmal vorab frohe Weihnachten.
Ich habe die QuFirewall nun auch als App installiert und wollte diese testen. Leider bekomme ich, sobald ich irgendein Profil auswähle (auch selbst erstellte) und dann links den Regler auf "An" aktivieren will sofort eine Fehlermeldung im Benachrichtigungscenter:
[QuFirewall] Aktivierung des Firewall Profils "Basic protection" fehlgeschlagen.Leider finde ich keinen genauen Fehlercode, der mich auf das Problem hinweist.
Standardkonfig siehe Anhang. Das NAS hängt an zwei physikalisch getrennten Netzen.
Was nutze ich auf dem NAS TS-673 - Firmware 4.5.1.1495?
QSync, QVR und aktuell noch die myqnapcloud als DDNS mit einem Let's Encrypt Zertifikat (soll ersetzt werden)
Hat da jemand zufällig eine Idee? 
Viele Grüße
Lantianer
Steht im Systemprotokoll noch etwas mehr?
Leider nicht.
Ich schätze, deswegen lässt sich die Firewall nicht aktiveren bzw. ist deswegen nicht aktiviert.
Firewall App deinstallieren, Neustart, etwas warten und nochmal installieren.
Ein neues eigenes Profil funktioniert auch nicht?