Firewall und DoS Einstellung

    Moin Moin,

    ich habe mich heute via Web von der Arbeit aus in meine DXP4800+ eingeloggt, mit der ug.link Adresse. Da kam keine 2 Faktor Abfrage, warum auch immer, obwohl das bei dem Nutzer eingestellt ist. Nun gut, jetzt habe ich mal unter Sicherheit geschaut, was da so los ist, und mir ist aufgefallen das die DoS Einstellung ausgeschaltet war und die Firewall ebefalls.

    Jetzt die Frage, habt ihr die Firewall eingeschaltet und die DoS Einstellung ebenfalls eingeschaltet? Ich nutze keine Portfreigaben oder Ähnliches, halt nur die UG.Link Freigabe. Ansonsten greife ich via Wireguard auf die NAS zu.

    Und wenn ich die Firewall jetzt einschalte, wie finde ich raus, welche Ports ich öffnen muss? Benutze eigentlich nur Docker (Paperless) Rsync als Script auf die Syno und jetzt neu die VM.

    Bei Synology wurden mir ja immer beim Einrichten der Pakete die Firewall-Einstellungen vorgeschlagen.

    Oder lasst ihr die Einstellungen aus, weil die im Standard auch aus sind?

    This image is exclusive to our members!
    Please log in or register for free to view graphics and attachments.

    Vielen Dank,

    deltapapa

    Mein System:

    DXP4800Plus, 2× 1TB Lexar NM790, 3x Toshiba 8TB MG10ADA800E, 2x 32GB Crucial DDR5 - 5600 S0DIMM CT32G56C46S5, UGOS 1.16.x
    DS918+, 12GB RAM, Volume1 -> 3x 4TB WD RED WD40EFRX / 1x 4TB WD RED WD40EFAX, Volume2 -> 1x 500GB NVMe M.2 Crucial CT500P1SSD8
    Fritzbox 7590 mit OS 8.x mit Wireguard, TNG Glasfaser, Linux Mint 22.04 / Kubuntu 26.04 / Ubuntu - Server 24.04

    Quote from deltapapa

    Ich nutze keine Portfreigaben oder Ähnliches, halt nur die UG.Link Freigabe.

    Das ist das gleiche Prinzip wie QuickConnect bei Synology. Hier werden die Portfreigaben von innen heraus über einen Relay-Server an der Firewall vorbei „freigebombt” – dieser Vorgang wird auch „Hole Punching” genannt. In diesem Fall bräuchtest du auch keine weiteren Ports in der Firewall angeben, soweit ich informiert bin. Von daher könntest du diese meines Erachtens auch aus lassen.

    Möchtest du dein NAS jedoch über diesen Weg erreichen, würde ich empfehlen, den DoS-Schutz, zumindest für TCP zu aktivieren. UDP kann man sicherlich auch machen, ICMP natürlich auch, wäre in meinen Augen aber schon ziemlich paranoid.

    Quote from deltapapa

    Ansonsten greife ich via Wireguard auf die NAS zu.

    Diese Verbindungsart würde ich priorisieren. Dann wäre der DoS-Schutz auch nicht zwingend notwendig außer du vertraust deinem eigenen LAN nicht.

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP4800 Pro - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Edited 2 times, last by Tommes (February 11, 2026 at 3:53 PM).

    Quote from deltapapa

    Jetzt die Frage, habt ihr die Firewall eingeschaltet und die DoS Einstellung ebenfalls eingeschaltet?

    Nein, die ist nur intern erreichbar bzw über VPN. Wozu also?

    Meine Hardware


    • DXP6800PRO | 2 x CT16G48C40S5.M8A1 16 GB 4800 MHz | 3 x Seagate ST12000VN0008-2YS101 12TB | 3 x Samsung SSD 870 EVO 1TB | 4 x Samsung SSD 990 PRO 2TB

    Habe ich dich deine Empfehlungen richtig verstanden:

    NAS nur Lokal im Netz, maximal über wireguard oder ug.link -> Firewall und DoS aus lassen

    Wenn ich mit Portfreigaben arbeiten würde: Firewall an und DoS auf TCP?

    Bleibt noch die Frage, warum über den ug.link keine 2FA Abfrage kam, da gehe mal an den Support ran.


    Dankeschön

    Mein System:

    DXP4800Plus, 2× 1TB Lexar NM790, 3x Toshiba 8TB MG10ADA800E, 2x 32GB Crucial DDR5 - 5600 S0DIMM CT32G56C46S5, UGOS 1.16.x
    DS918+, 12GB RAM, Volume1 -> 3x 4TB WD RED WD40EFRX / 1x 4TB WD RED WD40EFAX, Volume2 -> 1x 500GB NVMe M.2 Crucial CT500P1SSD8
    Fritzbox 7590 mit OS 8.x mit Wireguard, TNG Glasfaser, Linux Mint 22.04 / Kubuntu 26.04 / Ubuntu - Server 24.04

    Quote from schlamperl

    Bitte de­fi­nie­re. Ist nicht jeder ein Profi, Admin!

    Danke

    Das heißt, das NAS wird nur von intern angesprochen (im eigenen Netzwerk =netzintern)

    VPN, / Wireguard = Sichere Tunnelverbindung in der Regel vom Router zum NAS, Netzwerkverbindungen laufen ab dem Roter dadurch als wenn Du Netzintern unterwegs bist.

    Verbindung is. zb. über IP möglich.

    Meine Hardware

    iDX6011 Pro in Späh ^^

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Cruc. CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    Quote from Tommes

    Diese Verbindungsart würde ich priorisieren. Dann wäre der DoS-Schutz auch nicht zwingend notwendig außer du vertraust deinem eigenen LAN nicht.

    Das geht halt aus dem Firmennetzwerk -> nach Zuhause leider nicht, da ich dort kein Wireguard zur Verfügung habe. Daher ug.link, jedoch nur in Ausnahmefällen...

    Mein System:

    DXP4800Plus, 2× 1TB Lexar NM790, 3x Toshiba 8TB MG10ADA800E, 2x 32GB Crucial DDR5 - 5600 S0DIMM CT32G56C46S5, UGOS 1.16.x
    DS918+, 12GB RAM, Volume1 -> 3x 4TB WD RED WD40EFRX / 1x 4TB WD RED WD40EFAX, Volume2 -> 1x 500GB NVMe M.2 Crucial CT500P1SSD8
    Fritzbox 7590 mit OS 8.x mit Wireguard, TNG Glasfaser, Linux Mint 22.04 / Kubuntu 26.04 / Ubuntu - Server 24.04

    Wenn sich dein NAS ausschließlich im lokalen Netzwerk bewegt, kannst du die Firewall als auch DoS getrost deaktiviert lassen, außer du traust deinem eigenen LAN nicht. Gleiches gilt, wenn du dich ausschließlich über VPN mit deinem LAN verbindest.

    Sobald du "klassische" Portfreigaben an dein NAS weiterleitest, sollte man sich Gedanken darüber machen, ob man die Firewall und/oder DoS einschaltet oder nicht. Besser wäre in jedem Fall, man tut es. Bei einem Relay-Dienst wie QuickConnect oder halt ug.link bringt dir die Firewall und DoS auf jeden Fall auch was, nur werden hier die Verbindungen halt von innen heraus, an der Firewall vorbei initiiert. Trotzdem sollte man, sobald man sein NAS in irgendeiner Form von extern erreichbar macht (ausßer i.d.R. bei VPN) sich bis zu den Zähnen bewaffnen, also auch die Firewallfunktionen und die DoS nutzen.

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP4800 Pro - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Mhhh, jetzt geht's natürlich los. Firewall eingeschaltet, und ich komme nicht mehr in Paperless.

    Ich habe in den Portfreigaben 8180 eingetragen, dieser Port steht auch im meiner docker compose.

    Die anderen Ports (MariaDB) sind ja nur intern, oder? Mit Port 53 klappt es auch nicht. Wenn ich die Firewall wieder deaktiviere, komme ich gleich wieder in Paperless...

    BTW: Die Firewall-Verwaltung ist in der UGOS doch noch sehr dünn, aber sollte ja funktionieren.

    Mein System:

    DXP4800Plus, 2× 1TB Lexar NM790, 3x Toshiba 8TB MG10ADA800E, 2x 32GB Crucial DDR5 - 5600 S0DIMM CT32G56C46S5, UGOS 1.16.x
    DS918+, 12GB RAM, Volume1 -> 3x 4TB WD RED WD40EFRX / 1x 4TB WD RED WD40EFAX, Volume2 -> 1x 500GB NVMe M.2 Crucial CT500P1SSD8
    Fritzbox 7590 mit OS 8.x mit Wireguard, TNG Glasfaser, Linux Mint 22.04 / Kubuntu 26.04 / Ubuntu - Server 24.04

    Quote from deltapapa

    Habe ich dich deine Empfehlungen richtig verstanden:

    NAS nur Lokal im Netz, maximal über wireguard oder ug.link -> Firewall und DoS aus lassen

    Wenn ich mit Portfreigaben arbeiten würde: Firewall an und DoS auf TCP?

    Bleibt noch die Frage, warum über den ug.link keine 2FA Abfrage kam, da gehe mal an den Support ran.

    Mal kurz:

    Wenn Du dein Nas von ausserhalb erreichen willst, über Vpn, muss man nicht viel zur Absicherung tun, wie z.b. bei ner Fritte. Willst Du aber das Teil erreichbar für Jedermann machen wirds schon schwerer.

    Bei mir im Netz darf die 2800 intern alle Ports nutzen. Selbstständige-Portfreigabe. Ausserhalb nope.

    Dazu muss ich aber auch anmerken dass ich ne Hardwarefirewall nutze. Ist natürlich aufwändiger als die reine Fritte aber sicherer.

    Icmp und UDP blocke ich immer nach aussen. Tcp lasse ich immer zu, je nach Anwendung. Email, Netz, usw.

    Hier mal Lesestoff TCP

    Welche Ports, welche Anwendung braucht, intern wie extern. lässt sich immer der Manual, Beschreibung entnehmen.

    Quote from deltapapa

    Moin Moin,

    ich habe mich heute via Web von der Arbeit aus in meine DXP4800+ eingeloggt, mit der ug.link Adresse. Da kam keine 2 Faktor Abfrage, warum auch immer, obwohl das bei dem Nutzer eingestellt ist. Nun gut, jetzt habe ich mal unter Sicherheit geschaut, was da so los ist, und mir ist aufgefallen das die DoS Einstellung ausgeschaltet war und die Firewall ebefalls.

    Wenn die Firewall damit zu tun hätte wäre es schon komisch!

    Mal ne Anfrage bei Ugreen machen.

    DXP2800, 2x Seagate IronWolf 8TB, 1x Crucial T500 1TB.

    Ja, habe die Firewall wieder aus gelassen, ich bekomme keinen Zugriff mehr auf Docker (PNGX) und aus meiner VM Linux-Mint komme ich ebenfalls nicht mehr auf die NAS.

    Ich nutze sie ja wirklich intern oder mit WG / ug.link, das Thema schiebe ich mir mal für später auf.

    Mein System:

    DXP4800Plus, 2× 1TB Lexar NM790, 3x Toshiba 8TB MG10ADA800E, 2x 32GB Crucial DDR5 - 5600 S0DIMM CT32G56C46S5, UGOS 1.16.x
    DS918+, 12GB RAM, Volume1 -> 3x 4TB WD RED WD40EFRX / 1x 4TB WD RED WD40EFAX, Volume2 -> 1x 500GB NVMe M.2 Crucial CT500P1SSD8
    Fritzbox 7590 mit OS 8.x mit Wireguard, TNG Glasfaser, Linux Mint 22.04 / Kubuntu 26.04 / Ubuntu - Server 24.04

    Da ich sowas nicht nutze., mal hier ein Ziel wenn das bei Dir über ngx lüppt.

    Evt. hilft es ja weiter. Paperless-ngx

    Quote from alter Mann

    Jetzt habe ich Kopfkino. *Räder rattern, Hebel klicken

    Ne echt jetzt?

    Hardwarefirewall

    DXP2800, 2x Seagate IronWolf 8TB, 1x Crucial T500 1TB.

    Edited 5 times, last by schlamperl: Ein Beitrag von schlamperl mit diesem Beitrag zusammengefügt. (February 11, 2026 at 8:31 PM).

    Quote from schlamperl

    Ne echt jetzt?

    Ja. Ich kenne diese "Definition" und halte nicht viel davon. Warum? Weil ein PC mit FW-Software eine Hardware-FW darstellen würde und selbiger PC mit Virtualisierer und gleicher Software eine Software-FW. Das ist unsinnig.

    Wesentlich wichtiger ist, ob die Netzwerk-Ports physisch oder logisch getrennt sind. Ersteres ist auch nicht bei jeder Appliance der Fall.

    Meine Hardware


    • DXP6800PRO | 2 x CT16G48C40S5.M8A1 16 GB 4800 MHz | 3 x Seagate ST12000VN0008-2YS101 12TB | 3 x Samsung SSD 870 EVO 1TB | 4 x Samsung SSD 990 PRO 2TB

    Wäre meine Hardwarefirewall auch nur dann eine echte Hardwarefirewall, solange ich nicht über einen meiner drei physischen Ports mehrerer logische VLANs leite? :/

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP4800 Pro - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Quote from alter Mann

    Ja. Ich kenne diese "Definition" und halte nicht viel davon. Warum? Weil ein PC mit FW-Software eine Hardware-FW darstellen würde und selbiger PC mit Virtualisierer und gleicher Software eine Software-FW. Das ist unsinnig.

    Wesentlich wichtiger ist, ob die Netzwerk-Ports physisch oder logisch getrennt sind. Ersteres ist auch nicht bei jeder Appliance der Fall.

    Da haste mich aber geschockt:D

    Nu Vorteil ist mehr oder weniger: Weniger Verbrauch, und feiner einstellbar.

    Wie auch Leute nen Pihole nutzen mit nem Pi usw. ;)

    Recht hasse schon! Aber was nu mal da ist, wird auch genutzt!:D

    DXP2800, 2x Seagate IronWolf 8TB, 1x Crucial T500 1TB.

Participate now!

Join our community with over 10,000 members!

Register yourself now for free to get full access to all content, graphics, downloads and other exclusive features!

Register Yourself Login