Firewall ohne Dokumentation nicht nutzbar

  • Einer der wichtigsten Gründe, warum ich von einem kommerziellen NAS mit proprietärer Software auf OMV umgestiegen bin, ist die Hoffnung, mehr Sicherheit für das NAS und für die Daten zu erlangen.


    An dem Forums Beitrag "Example of OMV's firewall" (2013-2017) ist zu erkennen, dass an dem in OMV integrierten Netzwerk Firewall kein großes Interesse zu bestehen scheint. Das finde ich schade. Denn der Schutz des NAS und der darauf befindlichen Daten war noch nie so wichtig wie heute.


    Leider ist der integrierte OMV Netzwerk Firewall ohne die Informationen auf den Bildschirmfotos nicht nutzbar.


    Warum werden die Bildschirmfotos nicht auf dem Server des Forums gespeichert? Warum bedient man sich wiederholt einem Hoster der nachgewiesenermaßen ungeeignet ist?


    Gibt es jemanden, der das Thema ein für alle mal und für alle dauerhaft zugänglich und kompakter in diesem Forum dokumentieren kann?

    OMV 4.1.3 - ASRock J5005-ITX - 2 x Crucial 4GB DDR4 - SSD Samsung 840 Pro 128GB - 2 x WD Red 4TB

  • Warum werden die Bildschirmfotos nicht auf dem Server des Forums gespeichert?

    Das mußt Du schon den fragen, der vor mehr als einem halben Jahrzehnt irgendwas bzgl. Firewall gepostet hat (ich nehme an, Dir geht's um das hier?)


    Gibt es jemanden, der das Thema ein für alle mal und für alle dauerhaft zugänglich und kompakter in diesem Forum dokumentieren kann?

    Gerne: Firewall ist nutzlos für normale OMV-Nutzer (ist eh nur ein Paketfilter). Einfach nur die Dienste aktivieren, die man braucht, dann sind auch nur die Ports offen, die dieser Dienst braucht, und ansonsten übliche Security-Praxis walten lassen.


    Beispiel: FTP quer durchs Internet anno 2019 nutzen zu wollen, ist krank weil Logon Credentials offen übertragen werden (könnten), also bspw. Nextcloud nutzen und dabei drauf achten, dass alles mit TLS abgesichert ist. Dito im LAN alle Maschinen immer schön updaten, damit Security-Fixes zum Tragen kommen und Netzwerkprotokolle die größtmögliche Sicherheit beim Übertragen von Anmeldeinformationen und Daten nutzen.


    Niemals auf den "Never change a running system"-Schwachsinn reinfallen, immer schön patchen und Versionsupgrades zeitnah mitmachen. Fertig.


    Fast fertig. Niemals für die Administration von OMV (oder irgendeinem anderen Kram mit Webinterface) den selben Browser nehmen, mit dem man im Internet surft.

  • After all, you have iptables available and you can add basic rules, what's the problem?
    Most of these guides are sometimes out of date.


    If you absolutely want to use the Firewall, you probably understand the basics. In that case, I do not see the problem and the need for additional guides. Treat OMV like any other linux server running fw spi.


    Personally, I prefer FW on all machines, but this is my approach to the subject and I do not urge anyone to do the same.
    I am using a medieval, clumsy traffic policy because it suits me. I personally block everything in / out and then allow only a specific type of network traffic which I am aware of and want to have. That's my fetish when it comes to network traffic policy. :)


    Very simplified and rather far from perfect. But if you need a starting point for further modification to your needs....
    (I advise against copy / paste without understanding and editing to suit your needs.) :!:

  • Würdest du das netterweise erörtern?

    https://en.wikipedia.org/wiki/Cross-site_scripting


    Man fängt sich im Internet irgendwas Böses ein, das dann in anderen Browser-Tabs Logon Credentials abfischen kann und am Ende Geräte, die eigentlich nur von intern erreichbar sein sollen, von außen übernehmbar macht.


    Browser sind hochkomplexe Gebilde, in denen Sicherheitslücken naturgemäß ideal gedeihen können. Und etwas solch Anfälliges, das mit einem Bein im Internet steht (Firewalls schützen hier anders als Security-Laien vermuten genau gar nicht), dann zur Administration von oder nur zum Zugriff auf wichtige Daten zu nutzen, ist fast schon fahrlässig.

  • Das, worum's dem Anfrager geht, ist keine "Firewall" sondern ein primitiver Paketfilter. Sowas packt man zwischen das Internet und sein Heimnetz aber wozu dann auch noch aufs NAS? Auf dem macht man nur die Ports auf, die es wirklich braucht und dann ist auch jedwede Firewall, die auf dem NAS selbst läuft, zu mehr als 99% nutzlos.


    Immer fleißig Updates einspielen und Admin-Interfaces von Internet-Zugriff trennen. Das Herumfummeln mit Paketfiltern als Security-Laie ist regelmäßig kontraproduktiv, weil einen ein Paketfilter ohne tieferes Verständnis von IT-Sicherheit nur in falscher Sicherheit wiegt.

  • Hallo. Ich habe auch einig Fragen zum OMV Firewall. Ich moechte den OMV server direct and eine externe IP Adresse setzen. Der WAN Router macht keine Paketinspektion und laesste einfach ellen Verkehr durch zu meinem Endpumkt (=OMV).

    Auf them OMV laufen die folgenden server:

    - OpenVPN

    - Nextcloud fileshare inside a Docker container

    - SMB (only interner access via OpenVPN connection)

    - SSH (only interner access via OpenVPN connection)


    Meine Fragen:

    - wie sicher ist der OMV Firewall?

    - funktioniert der firewall auch mit Docker/Nexcloud?

    - gibt es bessere Loesungen?


    Vielen Dank!

    Marc

    OMV6 i5-based PC

    OMV6 on Raspberry Pi4

    OMV5 on ProLiant N54L (AMD CPU)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!