Auteur Topic: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.  (gelezen 6379 keer)

Dit onderwerp bevat een als beste antwoord gemarkeerd bericht. Klik hier om er direct naartoe te gaan.

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Beste NAS vrienden,

Ik heb veel gelezen over het instellen van de Firewall regels. Volgens mij heb ik alles goed staan en toch krijg ik meerdere malen per dag een inbraakpoging uit een exotisch land. Wie kan me helpen? Plaatje van de geldende regels en mijn interpretatie daarvan gaan hierbij.

Eerst een veiligheids-deur voor mezelf op zowel het externe als interne adres
dan de regels:
  • Mijn Synology: 214+

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #1 Gepost op: 16 januari 2018, 19:00:48 »
Hoe en waar zie je die inbraakpogingen? Meldt de NAS die?

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #2 Gepost op: 16 januari 2018, 19:09:20 »
Ja ik krijg zowel in DSM als in mijn mail en alert van een mislukte inlog:

Beste gebruiker

Het IP-adres [198.50.254.183] heeft 1 mislukte pogingen gedaan om aan te melden bij Mail Server die wordt uitgevoerd op XXXXX binnen 1 minuten, en werd geblokkeerd om Tue Jan 16 16:36:01 2018.

met vriendelijke groeten,


Dit heb ik zelf ingesteld in DMS

M.vr.gr,
Remmelt Visscher

  • Mijn Synology: 214+

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.549
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #3 Gepost op: 16 januari 2018, 20:25:51 »
Ik zie maar 3 poorten die geweigerd worden en dat zijn geen mailserver poorten.

Lijkt met geen mail probleem maar een probleem met firewall instellingen.

Een firewall sluit je af met alle poorten en alle IP's weigeren. Zo weet je zeker dat je alleen eerder gespecificeerde zaken toegang geeft.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #4 Gepost op: 16 januari 2018, 21:34:05 »
maar,

in regel 1 geef ik mzelf toegang vanaf mijn externe adres
en in 2 vanaf mijn interne adressen
in regel 3 wordt toegang verstrekt tot de mailserver maar ALLEEN vanuit NEDERLAND
en in 4 alle andere [muv mailserver] maar ALLEEN vanuit NEDERLAND, DUITSLAND, BEGIE, LUXEMBURG en FRANKRIJK
in regel 5 worden specifiek de poorten 21, 22 en 23 GEBLOKKEERD
en ALLES dat door de regels 1 t/m 5 is heen gekomen wordt vervolgens geweigerd.

Op basis van regel 3 en 4 zou toegang [inlogpogingen] tot de mailserver van BUITEN Nederland toch geblokkeerd moeten zijn

en toch heb ik steeds [gelukkig niet gehonoreerde] inlogpogingen uit China, India etc.

Dat kan toch niet kloppen?

M.vr.gr,
Remmelt Visscher
  • Mijn Synology: 214+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #5 Gepost op: 16 januari 2018, 21:49:36 »
Regel 5 kan weg, is zinloos want je hebt "Indien niet voldaan wordt aan de regels: Toegang weigeren" aangevinkt maak ik uit je berichten op.
Volgens mij niks aan de hand, het is slechts een log melding die bevestigd dat het werkt...?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #6 Gepost op: 16 januari 2018, 22:02:50 »
M.b.t. regel 5 heb je idd gelijk.
Verder ben ik het niet met je eens.
De melding betekent dat de firewall het verkeer {China, India, Vietnam} heeft doorgelaten
en vervolgens wordt geblocked omdat de combinatie user/password onjuist is.

De firewall heeft het verkeer [Buiten BENELUX, Duitsland en Frankrijk] dus doorgelaten en niet geblokkeerd!

M.vr.gr,
Remmelt Visscher
  • Mijn Synology: 214+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #7 Gepost op: 16 januari 2018, 22:17:10 »
Is Canada een exotisch land?
198.50.254.183 is van OVH, die zitten over heel de wereld en mogelijk wordt dat IP in andere landen gebruikt door hun...
Dit kan ook een research projekt zijn die bij OVH een server hebben gehuurd, enz., enz....

Staan er op LAN 1 nog regels of is alleen "Indien niet voldaan wordt aan de regels: Toegang weigeren" aangevinkt?
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #8 Gepost op: 16 januari 2018, 22:23:42 »
1} diverse pogingen opgezocht op whoisip: China, Vietnam, India etc

2} nee op LAN1 heb ik gen regels staan; zou dat moeten?

M.vr.gr,
Remmelt Visscher
  • Mijn Synology: 214+

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #9 Gepost op: 16 januari 2018, 22:40:25 »
De DS214+ heeft 1 LAN poort toch?
Dan hoeft het niet perse tenzij je meerdere interfaces hebt, b.v. nog een LAN 2 of VPN.
Regels die je nu hebt op Alle interfaces zouden b.v. zinloos zijn voor de VPN interface (hoewel verwaarloosbaar voor onze thuis NASjes, zinloze/dubbele regels eten wel CPU cycles).

Voor de "zuiverheid" zou je ze op LAN 1 kunnen maken.
Indien nog VPN, dan daaronder alleen het Dynamisch ip-bereik (VPN subnet) vrijgeven.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #10 Gepost op: 16 januari 2018, 23:02:17 »
Oké thanks.

Daarmee is mijn "probleem" [niet gewenste inlog-pogingen op de mail-server] dus nog steeds niet opgelost!

Toch?

M.vr.gr,
Remmelt Visscher
  • Mijn Synology: 214+

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.549
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #11 Gepost op: 16 januari 2018, 23:02:30 »
2} nee op LAN1 heb ik gen regels staan; zou dat moeten?

Hoezo kun je dan beweren dat je alles blokkeert wat niet aan de regels voldoet. Dat moet je óf bij de diverse interfaces doen, óf bij alle interfaces zoals ik eerder schreef.

Maar wees blij dat het niet werkt. Als het wel werkt, wordt ook een substantieel van de goede mail geblokkeerd. De mail poort is de enige die ik niet blokkeer.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Gemarkeerd als beste antwoord door drvlaming Gepost op 17 januari 2018, 20:43:59

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #12 Gepost op: 16 januari 2018, 23:30:28 »
2} nee op LAN1 heb ik gen regels staan; zou dat moeten?

Nee, dat hoeft op zichzelf niet, maar standaard staat er helemaal onderaan wel een heel belangrijke keuzeknop:

     "Indien niet voldaan wordt aan de regels:  X  Toegang toestaan.

Die zul je waarschijnlijk dan ook niet hebben aangepast.

Omdat je ervoor bij "Alle interfaces" (jou plaatje één), onderaan slechts 3 poorten specifiek hebt geblokkeerd,
naast de paar specifieke poorten die je wel toegang hebt gegeven (mail, File Station e.d.),
geef je daarmee voor alle overige poorten daarmee juist expliciet WEL toegang.
Je hebt inmiddels met de illegale inlogpogingen al gemerkt, dat dat ermee in overeenstemming is.

Kun je op verschillende manieren de Firewall aanpassen.
Vanuit jou visie in het overzicht om alles vanuit dat eerste menu te regelen bij "Alle interfaces", die laatste regel 5 aanpassen naar:

     ALLE poorten   -   ALLE protocollen   -   ALLE bron IP's   ---->   WEIGEREN              (Alles - Alles - Alles ---> weigeren)

Of....  (dat doet hetzelfde als de voorgaande regel),

Bij die secundaire interfaces (LAN 1, LAN 2....) onderaan die andere knop activeren voor:

     "Indien niet voldaan wordt aan de regels:  X  Toegang weigeren.

     In dit laatste geval kun je die hele 5e regel die je eerder hebt aangemaakt voor poorten 21, 22, 23 weglaten.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #13 Gepost op: 17 januari 2018, 09:05:35 »
Thanks,

Ik ga een en ander verder aanpassen en kijken of ik nog bezoek krijg op de mailserver.

M.vr.gr,
Remmelt Visscher
  • Mijn Synology: 214+

Offline drvlaming

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.
« Reactie #14 Gepost op: 17 januari 2018, 20:47:46 »
Iedereen bedankt voor het meedenken
geen ongewenst bezoek meer gehad.

M.vr.gr,
Remmelt Visscher

  • Mijn Synology: 214+


 

firewall & UDP Broadcast

Gestart door aliazzzBoard Synology Router

Reacties: 19
Gelezen: 1590
Laatste bericht 13 mei 2024, 10:54:39
door Babylonia
Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 4115
Laatste bericht 27 december 2013, 11:30:03
door TonVH
Synology firewall LOGS router?

Gestart door NoFateBoard Synology Router

Reacties: 24
Gelezen: 5716
Laatste bericht 03 maart 2019, 22:35:17
door Babylonia
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1839
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Firewall houdt mail tegen

Gestart door Erwin1Board Mail Station

Reacties: 2
Gelezen: 2579
Laatste bericht 08 mei 2014, 19:07:23
door Erwin1