English
Wer seine Synology Diskstation über das Internet zugänglich machen möchte, sollte dafür sorgen, dass die Angriffsfläche so klein wie möglich bleibt. Unser Grundprinzip: Es sollen nur die unbedingt notwendigen Ports geöffnet werden. Daher lenken wir alle Zugriffe von außen gebündelt über einen zentralen Einstiegspunkt – nämlich über einen Reverse Proxy. So müssen wir nur einen einzigen Port (den HTTPS-Port 443) von außen zugänglich machen. Dies geschieht im Router per Port-Weiterleitung/NAT-Port-Forwarding (bei IPv4) bzw. Port-Freigabe/Router-Firewall-Freigabe (bei IPv6). Details zur Einrichtung von IPv6 Host Exposure bei einem Vodafone Station Router mit DS-Lite-Anschluss findest du unter diesem Link.
Um diesen Ansatz technisch abzusichern, ist eine korrekt konfigurierte Firewall auf der Diskstation essenziell. In dieser Anleitung zeige ich Schritt für Schritt, wie du die Firewall aktivieren und einstellen kannst.
Price: 19,99 €
12 used & new available from 16,62 €
Vorschau: Alle Firewall-Regeln im Überblick
Unser Ziel ist es, innerhalb des lokalen Netzwerks uneingeschränkten Zugriff auf die Diskstation zu ermöglichen – sowohl für Nutzer*innen mit ihren Geräten als auch für Docker-Container, die auf der Diskstation selbst laufen. Von außen (aus dem Internet) soll ausschließlich der Port 443 erreichbar sein. Alle anderen Zugriffsversuche werden blockiert.
Für den lokalen Zugriff aus dem Heimnetz (LAN) ist Folgendes zu beachten: Es existieren festgelegte, reservierte private IP-Adressen jeweils für IPv4 und IPv6. Diese Adressen werden nicht im öffentlichen Internet vergeben, und der Netzwerkverkehr von/zu privaten IP-Adressen kann auch nicht über das öffentliche Internet geroutet werden. Daher können diese Adressen bedenkenlos in der Firewall erlaubt werden, um lokal uneingeschränkten Zugriff auf die Diskstation und deren Dienste zu ermöglichen.
Diese privaten IP-Adressbereiche gibt es:
| IP‑Version | Adressbereich | Anmerkung |
|---|---|---|
| IPv4 | 192.168.0.0 bis 192.168.255.255 | Typischer privater Adressbereich, der von Heimnetz-Routern für lokale Geräte vergeben wird. |
| IPv4 | 172.16.0.0 bis 172.31.255.255 | Wird selten im Heimnetz selbst, aber oft von Docker für seine virtuellen Netzwerke verwendet. |
| IPv4 | 10.0.0.0 bis 10.255.255.255 | Wird kaum verwendet und daher in unseren Firewall-Regeln nicht berücksichtigt. |
| IPv6 | fd00:: bis fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff | Der sogenannte Unique Local Address (ULA)-Bereich – das IPv6-Pendant zu privaten IPv4-Adressen. |
Zusätzlich zu diesen privaten IP-Adressbereichen (für alle Ports) werden wir Zugriffe aus dem Internet nur über Port 443 (für alle IP-Adressen) erlauben. Alle sonstigen Verbindungen sollen durch die Firewall blockiert werden.
Wir werden also in der Schritt-für-Schritt-Anleitung folgende Regeln einrichten:
- ✅ zulassen – Lokaler Zugriff
- Private IPv4-Adressen
- Adressbereich 192.168.0.0 bis 192.168.255.255: Geräte im lokalen Heimnetzwerk
- Adressbereich 172.16.0.0 bis 172.31.255.255: Docker-Container
- Private IPv6-Adressen: Adressbereich fd00:: bis fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
- Private IPv4-Adressen
- ✅ zulassen – Externer Zugriff über Port 443: HTTPS-Verbindungen aus dem Internet zum Reverse Proxy sind möglich.
- ⛔ blockieren – Alle sonstigen Zugriffe: Alle sonstigen, nicht explizit erlaubten Anfragen werden unterbunden.
Wichtig: Achte beim Erstellen der Regeln unbedingt auf die korrekte Reihenfolge – insbesondere muss die allgemeine Blockierungs-Regel zwingend am Ende stehen.
Im Folgenden zeigen wir dir Schritt für Schritt, wie du jede dieser Regeln einrichtest.
Firewall-Regeln anlegen
Firewall aktivieren
In der DSM-Weboberfläche die Systemsteuerung öffnen. Dort in der linken Seitenleiste den Menüpunkt Sicherheit ❶ und dann rechts den Tab Firewall ❷ auswählen. Dann den Haken bei Firewall aktivieren ❸ setzen.
Im Folgenden legen wir ein paar Firewall-Regeln an. Daher geht es mit einem Klick auf Regeln bearbeiten ❹ weiter.
Firewall-Regel erstellen
Im neuen Fenster auf Erstellen ❶ klicken.
Lokaler Zugriff
Grundeinstellung für alle Regeln für lokalen Zugriff
Im Fenster Firewall-Regeln erstellen:
- Sicherstellen, dass bei Ports die Option
Alle❶ ausgewählt ist. - Unter Quell-IP die Auswahl
Spezifische IP❷ aktivieren. - Als Aktion den Punkt
Zulassen❸ auswählen und beiAktiviert❹ den Haken setzen. - Dann auf Auswählen ❺ klicken, um den erlaubten IP-Adressbereich für diese Regel zu definieren.
Regel für privaten IPv4-Adressbereich 192.168.0.0/16
Im Fenster Quell-IP die Option IP-Bereich ❶ auswählen. Dann folgendes eintragen:
- bei Von den Wert
192.168.0.0❷ - bei Bis den Wert
192.168.255.255❸
Mit OK ❹ und das darunter liegende Fenster ebenfalls mit OK bestätigen.
Regel für privaten IPv4-Adressbereich 172.16.0.0/12
Um den Docker-Containern auf der Diskstation Zugriff zu gewähren – untereinander und auf Dienste der Diskstation – ist diese separate Freigabe sinnvoll.
Wiederhole die Schritte 2 und 3.
Im Fenster Quell-IP die Option IP-Bereich ❶ auswählen. Dann folgendes eintragen:
- bei Von den Wert
172.16.0.0❷ - bei Bis den Wert
172.31.255.255❸
Mit OK ❹ und das darunter liegende Fenster ebenfalls mit OK bestätigen.
Regel für privaten IPv6-Adressbereich fd00::/8
Wiederhole die Schritte 2 und 3.
Im Fenster Quell-IP die Option IP-Bereich ❶ auswählen. Dann folgendes eintragen:
- bei Von den Wert
fd00::❷ (das ist die Kurzschreibweise vonfd00:0000:0000:0000:0000:0000:0000:0000) - bei Bis den Wert
fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff❸
Mit OK ❹ und das darunter liegende Fenster ebenfalls mit OK bestätigen.
Externer Zugriff über Port 443
Zugriff von extern erlauben – Grundeinstellungen
Was bedeutet „externer Zugriff“?
Damit sind Netzwerkverbindungen zu deiner Diskstation gemeint, die nicht aus dem lokalen Netzwerk, sondern aus dem Internet stammen – also beispielsweise von Smartphones unterwegs oder Computern außerhalb des Heimnetzes.
Wiederhole Schritt 2.
Im Fenster Firewall-Regeln erstellen:
- Im Bereich Ports die Option
Aus einer Liste integrierter Anwendungen auswählen❶ aktivieren. - Unter Quell-IP die Auswahl
Alle❷ aktivieren. Damit ist Zugriff von beliebigen externen IP-Adressen möglich – das kannst du optional auch weiter einschränken. - Als Aktion den Punkt
Zulassen❸ auswählen und beiAktiviert❹ den Haken setzen. - Dann auf Auswählen ❺ klicken, um den erlaubten Port für diese Regel zu definieren.
Zugriff von extern erlauben – HTTPS-Port 443 auswählen
Im Auswahlfenster der „eingebauten Anwendungen“ beim Eintrag HTTPS, Reverse Proxy - 443 - HTTPS ❶ den Haken setzen und anschließend unten rechts mit OK ❷ und das darunter liegende Fenster ebenfalls mit OK bestätigen.
Alle sonstigen Zugriffe
Alles Weitere blockieren – Standard-Blockregel einrichten
Diese abschließende Regel wirkt wie ein Fangnetz: Alles, was nicht explizit erlaubt wurde, wird konsequent blockiert. Sie ist essenziell, um ungewollte Zugriffe zu unterbinden. Dieses Prinzip nennt man in der IT-Sicherheit auch „Default Deny“.
Wiederhole Schritt 2.
Im Fenster Firewall-Regeln erstellen:
- Sicherstellen, dass bei Ports die Option
Alle❶ ausgewählt ist. - Unter Quell-IP die Auswahl
Alle❷ aktivieren. - Als Aktion den Punkt
Verweigern❸ auswählen und beiAktiviert❹ den Haken setzen. - Zum Abschluss auf OK ❺ klicken, um die Regel zu erstellen.
Firewall-Konfiguration überprüfen per Portscanner
Nach dem Einrichten aller Regeln kannst du mit einem Online-Portscan (für IPv4 oder IPv6) testen, ob deine Diskstation korrekt abgesichert und dein Router richtig konfiguriert ist. In der gezeigten Beispielausgabe wurde der Hostname name.synology.me ❶ im Port-Bereich von 1 bis 1000 ❷ gescannt.
Mit Setzen des Hakens ❸ und Klick auf Start Portscan ❹ sieht man folgendes Ergebnis:
- TCP6 Port 443 (https) ist offen – das ist gewünscht, da dieser Port für den Zugriff über den Reverse Proxy freigegeben wurde.
- 999 von 1000 Ports sind gefiltert – das bedeutet, dass alle anderen Ports durch die Firewall blockiert werden und keine Antwort liefern.
Zugriff auf DSM per Domainnamen ermöglichen
..
Schreibe einen Kommentar