Mit Firewall selber ausgesperrt! wie weiter?

    Hallo zusammen,


    habe die Firewall in meiner TS251 (aktuellste Fw) aktiviert und ein wenig herum probiert . Dabei auch wie im Text angeraten eine Regel "Alles und Jeden verweigern" eingefügt um dann davon Ausnahmen zusätzlich zu setzten. Leider sind meine Ausnahmen nicht korrekt gewesen und Ich habe mich anscheinend komplett ausgesperrt. Über Browser/win10 im selben Netzwerk komme ich an die NAS nicht mehr ran. Über Qmanager/Android komm ich noch drauf aber dort finde ich nichts um die Firewall zu deaktivieren. Mittlerweile QfinderPro installiert mit der Hoffnung das hier was geht, leider sieht dieser das NAS überhaupt nicht.
    Habe hier im Forum etwas von einen 3sek Reset gelesen aber bin mir nicht schlüssig ob der hier hilft.
    Bevor ich mein Loch noch tiefer grabe mit irgendwelchem Probieren hoffe ich von Euch eine Lösung aufgezeigt zu bekommen.


    Schonmal Danke für jegliche Hilfe die da kommt!


    Patrick

    Moin,

    Zitat von Patrig

    Über Qmanager/Android komm ich noch drauf aber dort finde ich nichts um die Firewall zu deaktivieren.

    Im Qmanager sollte es die Möglichkeit geben, Apps zu deaktivieren. Dort müsste auch die QuFirewall zu finden sein.

    Zitat von Patrig

    Habe hier im Forum etwas von einen 3sek Reset gelesen aber bin mir nicht schlüssig ob der hier hilft.

    Das bezweifle ich, da dieser nicht die Appeinstellungen zurücksetzt. Möglicherweise wurde es aber für die QuFirewall so eingebaut, dass diese auch rückgesetzt wird, da sich scheinbar schon mehrere ausgesperrt haben.


    Mein Rat: deinstallier das Ding wenn Du wieder normal zugreifen kannst.

    tiermutter

    danke für die schnelle Reaktion. Im Qmanager unter Reiter "App Center" /"Meine Apps" wird mir nu angezeigt das keine Anwendungen installiert sind.


    @ Alle
    Gibt es noch etwas sanfteres als vollständig platt machen. Ich kann doch hier nicht der einzige Unglücksrabe sein dem dies passiert ist?

    Du kannst auch mit dem Android Gerät über den Browser zugreifen. Einfach die IP im Browser eingeben und einloggen, da hast Du mehr Möglichkeiten.

    Nochmal zur Klärung: was genau hast Du gemacht? Hast Du die "QuFirewall" aktiviert oder Einstellungen unter Systemsteuerung/ Sicherheit getroffen?

    Qfirewall aktiviert und mit den Regeln gespielt. In den anderen Einstellung auf der NAS war ich heute nicht zugange. Über den Handy Browser geht mit der IP so wenig wie vom PC aus. Vermute im Qmanager läuft irgendein "Umweg" über die Qnap ID Heimat.

    Zitat von Patrig

    Vermute im Qmanager läuft irgendein "Umweg" über die Qnap ID Heimat.

    Schwer vorstellbar, aber was meinst Du mit Umweg? MyQnapCloudLink oder ähnliches? Dann sollte über diesen Wege auch eine Verbindung mittels Browser funktionieren.


    Edit Patrig :

    Der 3s Reset wurde tatsächlich so erweitert, dass auch die QuFirewall rückgesetzt wird:

    https://www.qnap.com/de-de/how…ot-able-to-access-the-nas

    Einmal editiert, zuletzt von tiermutter ()

    Ich sehe HDMI und USB am NAS, da geht nix mit Tastatur/Maus und Bildschirm?

    Dann sehe ich noch zwei Netzanschlüsse und in der QFirewall die Einstellung, die Firewalldienste an einzelne Adapter zu binden.

    tiermutter:

    Danke für den Link/Info, dass mit dem 3sek reset der Spuk definitiv ein Ende hat. Kam mir beim Googlen nicht unter.
    Werde noch kurz ausprobieren was an Qmanager so speziell ist (zweites Tablet, QnapCloud Seite) und dann die Reißleine ziehen. Sollte ich noch irgendwelche Erkenntnisse hierzu gewinnen werde ich sie natürlich hier deponieren.
    Jedenfalls ein fettes Danke.


    Matselm: Für die Geschichte kenne ich mich zu wenig aus und habe auch nichts dahin gehendes in der NAS (Virtualization?) enabled was jetzt laufen könnte um mich zu retten.


    Allen einen schönen Tag

    Patrick


    So bin wieder operabel ohne 3sec Reset!

    Habe mich erinnert ganz zu Anfang mal myQnapcloud eingerichtet zu haben. Bin auf die Web Seite gegangen, habe mich angemeldet und siehe da mein NAS kannte man noch. Mit einem Dateimanager hat man Zugriff auf alle eingerichteten Partitionen und man findet auch einen Link mit dem man den QTS Desktop aufrufen kann. Diese Umleitung PC zu Qnap zu NAS hat zwar ein wenig Delay, aber nach Eingabe von user und passwort war ich wieder Herr über meine NAS und konnte das Firewall Profil deaktivieren. Danach ging auch sofort wieder der "normale" Zugriff vom PC.

    Irgendwie schon komisch welche Hintertürchen man sich da offen gelassen hat and der Firewall vorbei obwohl die Regel "Alles und Jeder" gesetzt war.

    Nochmals Danke an die Community.

    "Respekt QNAP - endlich mal eine App die funktioniert" :mcup:

    Zitat von HoDam

    "Respekt QNAP - endlich mal eine App die funktioniert"

    Na ja, halb und halb ;).

    Ich würde dann von dieser App auch eine Plausibilitätsprüfung erwarten und den freundlichen Warnhinweis:

    "Achtung, wenn Sie das jetzt so aktivieren, dann sperren Sie sich selbst aus!" :P (oder so ähnlich).

    Das das nicht ganz einfach ist ist klar.

    Alternativ (gibt es glaube ich z.B. bei der Fritzbox) eine "versteckte" IP, über die man lokal immer zugreifen kann um genau so etwas zu reparieren, das wäre für mich das mindeste, was man seitens QNAP vorsehen sollte.


    Gruss

    So Sorry als Newbie noch nicht so ganz vertraut mit der Bearbeitung hier im Forum.
    Bitte Nachsicht.

    So, bin wieder operabel ohne 3sec Reset! Habe mich erinnert ganz zu Anfang mal myQnapcloud eingerichtet zu haben. Bin auf die Web Seite gegangen, habe mich angemeldet und siehe da mein NAS kannte man noch. Mit einem Dateimanager hat man Zugriff auf alle eingerichteten Partitionen und man findet auch einen Link mit dem man den QTS Desktop aufrufen kann. Diese Umleitung PC zu Qnap zu NAS hat zwar ein wenig Delay, aber nach Eingabe von user und passwort war ich wieder Herr über meine NAS und konnte das Firewall Profil deaktivieren. Danach ging auch sofort wieder der "normale" Zugriff vom PC. Irgendwie schon komisch welche Hintertürchen man sich da offen gelassen hat and der Firewall vorbei obwohl die Regel "Alles und Jeder" gesetzt war. Nochmals Danke an die Community.

    Zitat von FSC830

    das wäre für mich das mindeste, was man seitens QNAP vorsehen sollte.

    Ich finde mit der Möglichkeit eines 3s Reset ist ausreichend geschaffen worden um etwaige Fehlkonfigs zu beheben.

    Einen Warnhinweis hätte ich aber auch für angebracht gehalten.


    Übrigens:

    Zitat von tiermutter

    Außerdem weiß ich nicht ob man sich nicht ganz schnell aussperren kann, man kann "deny any any" ganz nach oben schieben, was sämtlichen Zugriff verweigern würde... Habe mich aber nicht getraut es anzuwenden, evtl. gibt es ja ein "anti lockout" oder eine Warnung wenn man sowas zusammenbastelt und es anwenden möchte...

    Zitat von HoDam

    "Respekt QNAP - endlich mal eine App die funktioniert"

    Ich finde das mindestens so erschreckend wie Spaß mit HBS3.

    Zitat von Patrig

    Irgendwie schon komisch welche Hintertürchen man sich da offen gelassen hat and der Firewall vorbei obwohl die Regel "Alles und Jeder" gesetzt war.

    Das besagt nur, daß diese Software schon vom Hersteller kompromittiert und damit ein heftiges Sicherheitsrisiko darstellt. Mal abwarten, wann und mit welchen Auswirkungen die "geschätzten Kunden" wieder beglückt werden. Unglaublich ist das!

    Zitat von Matselm

    Das besagt nur, daß diese Software schon vom Hersteller kompromittiert und damit ein heftiges Sicherheitsrisiko darstellt.

    Der Teilnehmer hat so aber wieder Zugriff auf sein System erlangt welches das erklärte Ziel war.

    Aber bei einer Firewall sollte man auch beim Regelwerk die nötige Vorsicht walten lassen.

    So eine "Anti Lockout Regel" sollte aber schon per Default vorhanden sein.

    Internes Subnetz -> Any -> NAS -> Allow

    Und das Subnetz kann die Firewall anhand der statischen oder dynamischen IP ableiten.

    Zitat von Patrig

    Dabei auch wie im Text angeraten eine Regel "Alles und Jeden verweigern" eingefügt um dann davon Ausnahmen zusätzlich zu setzten.

    Kenne die QNAP_FW nicht im Detail, aber ich denke die arbeitet wie andere Firewalls wo die Regeln von oben nach unten abgearbeitet werden. "First Match-Prinzip". Wenn Du oben alles verbietest werden die Regeln unterhalb nicht mehr weiter verarbeitet.

    Zitat von rednag

    Der Teilnehmer hat so aber wieder Zugriff auf sein System erlangt welches das erklärte Ziel war.

    Der Teilnehmer hat über das Internet Zugang zu seinem NAS erhalten, dessen Firewall sämtlichen Zugriff unterbinden sollte und bis dato auch hatte. Dann ging er über die Qloud und schwupps war er DRIN. Das ist schön für den Teilnehmer - und das ist wohl auch schön für alle anderen Teilnehmer. Hätte aber so nicht passieren dürfen, denn deny any heißt deny any, ganz ohne Pardon.

    Es geht nicht um die verbockten Regeln des Teilnehmers, es geht auch nicht um rtfm. Es geht um eine Firewall, die nicht verlässlich arbeitet und damit die nächste Qlücke parat hat.


    Mir stellt sich langsam die berechtigte Frage, welche Anwendung von QNAP keine (absichtliche) Hintertüre hat.

    Wer sagt eigentlich, dass deny any ganz oben in den Rules steht?

    Ich glaube nicht daran und kann daher die Aufregung verstehen, weil wir es einfach gewohnt sind... Aber vielleicht steht der Zugriff über myqnapirgendwas als allow über allem, weil es sich seitens User versehentlich so ergeben hat?!

    Um zur Klärung bei zutragen: Ich habe ein neues Profil erstellt. dies hat per default schon zwei Regeln drin welche von Qnap definiert sind (speziell geblockte IPs und spezielle Anwendungen). Habe aber dann die "Jeder und Alles" erstellt und ganz nach oben gezogen und so hat das ganze Elend seinen Lauf genommen. dumb is, as dumb does

    einen schönen Abend zusammen

    MyQNAPCloud initiiert die Verbindung meines Wissens von innen nach außen.

    Und Default darf eine Antwort welche nachgefragt wurde auch wieder eingehend das Netz passieren.