quFirewall - Number of denied events sehr hoch

    Hallo!


    Bin gerade dabei, ein TVS-472XT NAS im LAN aufzusetzen

    Anm.: kein direkter Zugriff auf Internet, aber NAS hat Internetzugang.


    Auffallend ist, dass der Wert von Number of denied events sehr hoch ist und sekündlich ansteigt.

    Einträge schauen so aus:

    Code
    <date> ... RULE=42 ACT=DROP IN=qvs0 OUT= MAC=<someMac> SRC=<IP von NAS>  DST=255.255.255.255 LEN=48 TOS=00 PREC=0x00 TTL=64 ID=32086 DF PROTO=UDP SPT=48311 DPT=65001 LEN=28 MARK=0

    --> was könnte dies sein? Source ist IP von NAS selbst? Wenns von QNAP ist, wie erstelle ich eine Regel, die dies durchlässt?


    Generelle Frage:

    ad - kein direkter Zugriff auf Internet - denke, firewall wäre auf NAS grundsätzlich nicht schlecht, da ja auch jeder Win-Rechner schon die FW eingeschaltet hat.

    Ich habe auf Virtualization Station eine Unix VM mit Internet Zugriff laufen, die ich schon gerne geschützt hätte (ufw ist dort auch aktiv)


    --> wie viele Resourcen benötigt die quFirewall? Ist das Produkt mittlerweile akzeptabel oder sollte man ein anderes Produkt nehmen?

    --> Kann es dennoch theoretisch sein, dass trotz blockiertem direkten Internetzugang mein NAS von außen zugänglich ist?

    Diverse DHCP Requests etc, am besten QuFirewall runter werfen und gut ist. (Dann sperrt man sich später auch nicht aus versehen aus , passiert zu genüge hier)

    Hallo!


    Danke für deine rasche Antwort!

    Zitat von dolbyman

    ...Dann sperrt man sich später auch nicht aus versehen aus ...

    Habe profile 'restricted security' enabled und gleich mal probiert, ob ich nach einem reboot eh noch reinkomme.


    Frage: aus versehen, was darf ich da zB auf keinen Fall machen, wie passiert sowas (außer deny von IP des NAS z.B.)

    Wie das passiert ist oft unklar... falsch geklickt, Fehlfunktion, ....

    Hast Du einen Grund weshalb Du die Firewall aktiviert / installiert haben willst? Mir fällt eigentlich nur einer ein und der ist so speziell, dass dieser Fall eher selten zum Tragen kommt ;)

    Zitat von HHHHH

    Frage: aus versehen, was darf ich da zB auf keinen Fall machen, wie passiert sowas (außer deny von IP des NAS z.B.)

    Wenn man z.B. das Passwort des NAS Users ändert und sich Windows im Credential Manager irgendwo noch das alte PW gemerkt hat, dann könnte es passieren, das durch zuviele ungültige Anmeldeversuche die IP geblockt wird.

    Welcher Dienst da im Hintergrund immer wieder Zugriff versucht, ist nicht ganz klar.

    U.U. reicht schon eine Verknüpfung auf dem Desktop dafür aus. Jedenfalls gab es solche Einträge im Access Log schon öfter, auch bei mir, obwohl ich keine Verknüpfung habe.


    Ich bin allerdings auch noch nie ausgesperrt worden. ^^

    Und auch noch ungeklärt: jeden Abend um 19:45 will ein lokaler Dienst (127.0.0.1) per HTTPS zugreifen und scheitert... :/

    Ich habe keine Ahnung, welcher NAS Dienst das ist. :rolleyes:


    Gruss

    Zitat von tiermutter

    Hast Du einen Grund weshalb Du die Firewall aktiviert / installiert haben willst?

    Quasi als 2. Sicherheitsnetz hinterm Router. Wenn jemand unerlaubt eindringen könnte, dann stehen nicht gleich alle Türen offen


    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von tiermutter

    Mir fällt eigentlich nur einer ein und der ist so speziell, dass dieser Fall eher selten zum Tragen kommt

    Welcher Fall wäre dies?

    Zitat von HHHHH

    Wenn jemand unerlaubt eindringen könnte, dann stehen nicht gleich alle Türen offen

    Wo/Wie soll denn jemand eindringen ? Wenn du ne Infektion auf dem Router oder nem PC hast, dann ist der PC ja schon von der Firewall ausgeschlossen (die im internen Netz) und der Angreifer hat freies Spiel.


    Also runter werfen das Teil (Firewall) und die Bude sauber halten (keine Portforwards)

    Zitat von HHHHH

    Welcher Fall wäre dies?

    zB wenn man mit ungeeigneten Mitteln wie Home-Routern den internen Zugriff aufs NAS restriktieren möchte, also zB nur bestimmte LAN IPs / Geräte zulassen, was man sonst über VLAN / Subnetze mit geeigneten Routern macht.

    Gibst du alles frei was das NAS an Sockets offen hat, kannst die auch gleich weglassen.

    Der betrieb einer Firewall ist schon sehr speziell.


    Und im Grunde brauchst du eine anti lockout Rule oder out of band Management um im Notfall wieder Zugriff zu erlangen.

    Z.B. über Serial Console, geht beim NAS nicht.

    Zudem bietet es selber Dienste an.


    Witzig ist, wenn es dann doch mal jemand knackt, bockt er dich über die Firewall einfach weg und du kommst selber nicht mehr dran.


    Die Windows Client Firewall arbeitet anders, hier sind Win Dienste generell erlaubt und der Anwender wird bei einer neue App gefragt was sie darf.

    Da baust du keine Regeln mit Quelle, Ziel, Zielport, Protokoll selber.


    Und ja es ist normal das eine Firewall Broadcast im Netz blockt, das ist was zwischen Clients und Server, aber nix für ne Firewall es sei denn sie ist DHCP, oder ist IP Helper, dann reagiert sie drauf. Ansonsten haut die das weg.

    Anti lockout hat die ja per Default... jedenfalls solange man nichts Gegenteiliges davor platziert.

    Ansonsten gibt es ja den 3s Reset... oder man spart sich das alles... :mcup: