Even tussendoor.
(Na eerst een diner wat later op de avond).
Naar aanleiding van de eerdere vragen vandaag van
@B3rt kroop ik opnieuw achter de router en weer driftig aan de gang met instellingen.
Ik kon ze ook allemaal bewerkstelligen. Mooie screendumps gemaakt, en alles voorbereid. Maar dat heb je nog tegoed.
De meeste services die
@B3rt gebruikt kan ik niet controleren omdat ik ze zelf niet gebruik.
Maar ja, ik had toch een testcase nodig of het ook werkelijk allemaal klopt,
dus ging met een paar eigen services aan de gang, en die werkte ook netjes zoals bedoeld.
(Ik ga morgen vanuit een andere locatie van "buiten uit" verder testen. Met een smartphone met telkens wisselend IP ging dat vervelend).
Ik ben echter wel enkele kleine "interpretatie"-verschillen tegengekomen tegenover de instellingen van Firewall-regels in een NAS.
Maar wel begrijpelijke verschillen, waar je echter wel rekening mee moet houden met wat je gewend bent in vergelijking bij die van een NAS.
Het belangrijkste verschil is dat je bij benadering van de router vanuit een
LAN-netwerk, jezelf "niet kunt buitensluiten" bij ondoordacht ingestelde Firewall regels. Bij zo'n ondoordachte instelling in een NAS is het in het vervelendste geval noodzakelijk
om de NAS te resetten.
Waarna Firewall regels worden uitgeschakeld, en instellingen van een admin teruggaan naar de standaardwaarde.
Dat is bij de Synology router dus niet aan de orde.
Zelfs benadering naar de RT1900ac vanuit de eerste modem/router als die niet in bridge-mode staat en dan typisch een IP-adres met
"LAN" signatuur doorgeeft, naar de WAN-poort van de Synology router, is kennelijk een signaal dat men een gebruiker
nooit buitensluit.
Je kunt de router dus altijd vanuit een
LAN benaderen,
ongeacht de Firewall instellingen De achterliggende gedachte is wellicht dat een router doorgaans is afgestemd om internetverkeer door te laten. Typisch aan internet gerelateerde poorten als poort 80 (8080) en 443 met achterliggend een web-interface worden niet tegengehouden. Zelfs als het via een omweg vanuit een andere poort (8000, 8001) uiteindelijk tot een "webpagina" wordt getransformeerd, krijgt men ook een web-interface te zien van SRM.
Die "andere" benaderingswijze maakt dat men geen Firewallregels voor typisch web-gebaseerde protocollen hoeft op te nemen
Vandaar dat ik ze standaard ook niet tegenkom als je achterliggende services in Firewall-regels gaat instellen.
Om die reden had ik ze zelfs dan maar handmatig erbij gezet. (Zie eerdere opmerking daarover
< HIER > ).
Heb je een
NAS achter de router hangen, en zijn poorten doorgestuurd naar de NAS om die eventueel van buiten uit te benaderen, is het ook daar niet nodig de typische "doorstuur-poorten" 5000 en 5001 dan ook nog in Firewallregels op te nemen als service.
Voor alle niet web-based protocollen geldt dat echter wel.Of die "andere" benaderingswijze om web-based protocollen binnen Firewall-regels niet meer op te nemen, nu zo'n verstandige keus is, moet nog worden bezien. Ik moet er nog wat verder op testen. Als bijv. een NAS (met poort 5000/5001) dan niet meer gefilterd wordt op regio-gebied binnen Firewall-regels, is dit IMO een verkeerde benadering. Men kan het dan wel weer verder in de NAS zelf afblokken, maar een meer consequent beleid tussen verschillende apparaten heeft mijns inziens toch de voorkeur.
Verder heeft de Firewall wat extra instellingen tegenover die welke in een NAS gebruikt, waarbij services / poorten expliciet voor bepaalde LAN-IP adressen gefilterd kunnen worden (SRM, een specifiek IP, range van IP adressen of compleet LAN netwerk).
Een en ander wat
@Robbedoes eerder aanhaalt
< HIER >.
Aangemaakte Firewall-regels kan men zelf benoemen (als korte tekst), zodat makkelijker te herkennen is waar het betrekking op heeft.