Hallo,
Middels een aantal handleidingen op mysynology en wat post hier op het forum heb ik mijn NAS extern vanaf internet bereikbaar gemaakt. Via xxxx.quickconnect.to en (via DDNS) xxxx.synlogy.me
Ik vroeg me echter af of dit nu allemaal wel veilig is, en of ik niet teveel open heb staan, en of het wellicht nog veiliger kan.
Netwerk bij mij ziet er als volgt uit:
Ziggo Cisco modem <-> Draytek 2130n <-> 3COM Gbit switch <-> NAS DS 415
Het volgende heb ik oa allemaal ingesteld:
Op de NAS DS-415+ :
Firewall:
- Interne IP range 192.168.1.x toegestaan
- Ports tbv DSM/CP/SB/NZBGet toegestaan
- Port voor surveilance station/cloud station toegestaan
- NTP/NSF/DLNA toegestaan
- regio's .nl , usa en .to en .me rest niet (12x regel met 15 countrycode erin)
- laatste/onderste FW regel is block al
Andere settings:
- Auto blokkeren na 5x poging in 5 min, opheffen na 1 dag.
- verbinden alleen met https (http wordt naar https omgezet)
- account admin disabled, ander admin account
- laatste DSM versie beschikbaar 5.1.xxxx
- account met password (>8, cijfer, hoofdleter, vreemd karakter)
- 2 steps verificatie met Google authenticator app op android phone
Draytek 2130n:
- admin account disabled, andere admin user/password
- laatste firmware (inlc Poodle bleed patch)
- netwerk/DHCP deelt 192.168.1.x met max 20 adressen uit
- DS415+ heeft vast IP adres
- Ports open voor DSM/CP/SB/NZBget/VPN etc naar NAS
Ziggo Cisco modem:
- default user/password disabled, andere user/password
- range 192.168.178.x
- Draytek vast IP
- Ports voor DSM/Video Station/VPN/ port 80 naar Draytek modem
Met bovenstaande instellen werkte het nog niet.
Pas na instellen DMZ op Ziggo Cisco modem naar de Draytek 2130n toe werkt extern benaderen via internet benaderen van DSM/CP/SB/NZBget.
Vragen waar ik mee zit:
- door DMZ in te stellen op Ziggo modem, zet ik dan niet teveel open?
- welke ports moet ik nog meer doorzetten in het Ziggo modem zodat DMZ disabled kan worden?
- via portscan op bv pcflank.com zie ik dat alles 'stealthed' is qua ports, behalve port 80/ 5001/5001/1723, waarom staat port 80 hier tussen?