Firewall regels, maar toch steds inbraakpogingen mailserver uit India etc.

[drvlaming]

Beste NAS vrienden,

Ik heb veel gelezen over het instellen van de Firewall regels. Volgens mij heb ik alles goed staan en toch krijg ik meerdere malen per dag een inbraakpoging uit een exotisch land. Wie kan me helpen? Plaatje van de geldende regels en mijn interpretatie daarvan gaan hierbij.

Eerst een veiligheids-deur voor mezelf op zowel het externe als interne adres
dan de regels:

[Hofstede]

Hoe en waar zie je die inbraakpogingen? Meldt de NAS die?

[drvlaming]

Ja ik krijg zowel in DSM als in mijn mail en alert van een mislukte inlog:

Beste gebruiker

Het IP-adres [198.50.254.183] heeft 1 mislukte pogingen gedaan om aan te melden bij Mail Server die wordt uitgevoerd op XXXXX binnen 1 minuten, en werd geblokkeerd om Tue Jan 16 16:36:01 2018.

met vriendelijke groeten,

Dit heb ik zelf ingesteld in DMS

M.vr.gr,
Remmelt Visscher

[Briolet]

Ik zie maar 3 poorten die geweigerd worden en dat zijn geen mailserver poorten.

Lijkt met geen mail probleem maar een probleem met firewall instellingen.

Een firewall sluit je af met alle poorten en alle IP's weigeren. Zo weet je zeker dat je alleen eerder gespecificeerde zaken toegang geeft.

[drvlaming]

maar,

in regel 1 geef ik mzelf toegang vanaf mijn externe adres
en in 2 vanaf mijn interne adressen
in regel 3 wordt toegang verstrekt tot de mailserver maar ALLEEN vanuit NEDERLAND
en in 4 alle andere [muv mailserver] maar ALLEEN vanuit NEDERLAND, DUITSLAND, BEGIE, LUXEMBURG en FRANKRIJK
in regel 5 worden specifiek de poorten 21, 22 en 23 GEBLOKKEERD
en ALLES dat door de regels 1 t/m 5 is heen gekomen wordt vervolgens geweigerd.

Op basis van regel 3 en 4 zou toegang [inlogpogingen] tot de mailserver van BUITEN Nederland toch geblokkeerd moeten zijn

en toch heb ik steeds [gelukkig niet gehonoreerde] inlogpogingen uit China, India etc.

Dat kan toch niet kloppen?

M.vr.gr,
Remmelt Visscher

[Pippin]

Regel 5 kan weg, is zinloos want je hebt "Indien niet voldaan wordt aan de regels: Toegang weigeren" aangevinkt maak ik uit je berichten op.
Volgens mij niks aan de hand, het is slechts een log melding die bevestigd dat het werkt...?

[drvlaming]

M.b.t. regel 5 heb je idd gelijk.
Verder ben ik het niet met je eens.
De melding betekent dat de firewall het verkeer {China, India, Vietnam} heeft doorgelaten
en vervolgens wordt geblocked omdat de combinatie user/password onjuist is.

De firewall heeft het verkeer [Buiten BENELUX, Duitsland en Frankrijk] dus doorgelaten en niet geblokkeerd!

M.vr.gr,
Remmelt Visscher

[Pippin]

Is Canada een exotisch land?
198.50.254.183 is van OVH, die zitten over heel de wereld en mogelijk wordt dat IP in andere landen gebruikt door hun...
Dit kan ook een research projekt zijn die bij OVH een server hebben gehuurd, enz., enz....

Staan er op LAN 1 nog regels of is alleen "Indien niet voldaan wordt aan de regels: Toegang weigeren" aangevinkt?

[drvlaming]

1} diverse pogingen opgezocht op whoisip: China, Vietnam, India etc

2} nee op LAN1 heb ik gen regels staan; zou dat moeten?

M.vr.gr,
Remmelt Visscher

[Pippin]

De DS214+ heeft 1 LAN poort toch?
Dan hoeft het niet perse tenzij je meerdere interfaces hebt, b.v. nog een LAN 2 of VPN.
Regels die je nu hebt op Alle interfaces zouden b.v. zinloos zijn voor de VPN interface (hoewel verwaarloosbaar voor onze thuis NASjes, zinloze/dubbele regels eten wel CPU cycles).

Voor de "zuiverheid" zou je ze op LAN 1 kunnen maken.
Indien nog VPN, dan daaronder alleen het Dynamisch ip-bereik (VPN subnet) vrijgeven.

[drvlaming]

Oké thanks.

Daarmee is mijn "probleem" [niet gewenste inlog-pogingen op de mail-server] dus nog steeds niet opgelost!

Toch?

M.vr.gr,
Remmelt Visscher

[Briolet]

2} nee op LAN1 heb ik gen regels staan; zou dat moeten?

Hoezo kun je dan beweren dat je alles blokkeert wat niet aan de regels voldoet. Dat moet je óf bij de diverse interfaces doen, óf bij alle interfaces zoals ik eerder schreef.

Maar wees blij dat het niet werkt. Als het wel werkt, wordt ook een substantieel van de goede mail geblokkeerd. De mail poort is de enige die ik niet blokkeer.

[Babylonia]

2} nee op LAN1 heb ik gen regels staan; zou dat moeten?

Nee, dat hoeft op zichzelf niet, maar standaard staat er helemaal onderaan wel een heel belangrijke keuzeknop:

     "Indien niet voldaan wordt aan de regels:  X  Toegang toestaan.

Die zul je waarschijnlijk dan ook niet hebben aangepast.

Omdat je ervoor bij "Alle interfaces" (jou plaatje één), onderaan slechts 3 poorten specifiek hebt geblokkeerd,
naast de paar specifieke poorten die je wel toegang hebt gegeven (mail, File Station e.d.),
geef je daarmee voor alle overige poorten daarmee juist expliciet WEL toegang.
Je hebt inmiddels met de illegale inlogpogingen al gemerkt, dat dat ermee in overeenstemming is.

Kun je op verschillende manieren de Firewall aanpassen.
Vanuit jou visie in het overzicht om alles vanuit dat eerste menu te regelen bij "Alle interfaces", die laatste regel 5 aanpassen naar:

     ALLE poorten   -   ALLE protocollen   -   ALLE bron IP's   ---->   WEIGEREN              (Alles - Alles - Alles ---> weigeren)

Of....  (dat doet hetzelfde als de voorgaande regel),

Bij die secundaire interfaces (LAN 1, LAN 2....) onderaan die andere knop activeren voor:

     "Indien niet voldaan wordt aan de regels:  X  Toegang weigeren.

     In dit laatste geval kun je die hele 5e regel die je eerder hebt aangemaakt voor poorten 21, 22, 23 weglaten.

[drvlaming]

Thanks,

Ik ga een en ander verder aanpassen en kijken of ik nog bezoek krijg op de mailserver.

M.vr.gr,
Remmelt Visscher

[drvlaming]

Iedereen bedankt voor het meedenken
geen ongewenst bezoek meer gehad.

M.vr.gr,
Remmelt Visscher