Poorten open zetten op NAS of router/modem of beide?

[Gerbrandy]

Ik heb een DS218+ gekocht maar weet niet zoveel van netwerken en poorten open zetten.

Ik heb op mijn modem/router (Connectbox) de DSM poorten 6300 en 6301 (alternatieven voor 5000 en 5001) open gezet (had ik ergens gelezen). NAS heeft ook een static ip address. Ik kan er via het externe ip-address en poort in mijn apps goed bij.
Daarna ben ik begonnen met instellen en installeren van pakketten/software. Af en toe roept de firewall dat er poorten zijn geblokkeerd en vraagt of ik die wil open zetten (op firewall van de NAS). Antwoord is Ja en dan draait dat pakket/service (bijv. Video station).

Nu lees ik ook weer dat bij bepaalde pakketten alle poorten altijd zowel in de firewall op je NAS als op je modem/router open moeten staan, zoals poorten 80 en 443. Maar FTP-en doe ik bijvoorbeeld via Filezilla naar een host maar heb nog nooit poort 21 open gezet. Gaat blijkbaar "vanzelf open en dicht"?
Om mijn NAS te benaderen vanuit de Win10 Explorer moet ik WS-Discovery samen met SMB (2) aanzetten, maar ook de NAS firewall poorten voor Windows File Server (137, 138, 139 en 445) anders werkt het niet. Als ik die in mn modem/router ook open wil zetten, dan roept de Connectbox in rode letters: dat mag niet ivm de veiligheid!

Zijn hier duidelijke regels voor of is dat allemaal instelling en pakket/software afhankelijk?

Kan iemand mij hier duidelijk advies over geven?
Alvast bedankt.

[Birdy]

Je forward ALLEEN poorten in je Router van Services die je van buitenaf ook daadwerkelijk wilt gebruiken.
DSM geeft alleen maar suggesties.
Wil je veel van buitenaf doen op je NAS, dan kan je beter VPN overwegen.
Ga je Synology Apps gebruiken, dan eerst maar eens Quick Connect (geen port forwarding nodig, kan wel langzamer zijn) uitproberen.

[Gerbrandy]

Birdy, dank voor je snelle reactie.
Ik heb QuickConnect ingesteld, maar dat werkt idd langzamer. Maar dan begrijp ik 2 van mijn voorbeelden nog steeds niet:

• waarom de poorten voor Windows File Server open moeten om mijn NAS vanuit Win10 Explorer te kunnen benaderen. Dat is toch binnen mijn eigen netwerk, niet van buiten?
• En die FTP poort 21 die ik noemde, daar ga ik op mn pc wèl mee naar buiten naar een host en die hoef je nooit open te zetten in je modem/router?

Zou je dat svp willen uitleggen?

[Birdy]

waarom de poorten voor Windows File Server open moeten om mijn NAS vanuit Win10 Explorer te kunnen benaderen. Dat is toch binnen mijn eigen netwerk, niet van buiten?

Dat klopt dus, geen port forwarding nodig.

En die FTP poort 21 die ik noemde, daar ga ik op mn pc wèl mee naar buiten naar een host en die hoef je nooit open te zetten in je modem/router?

Dat klopt ook, als je naar buiten gaat, dan geen port forwarding nodig.

Port forwarding heb je alleen nodig om van buiten naar binnen te komen.

[Gerbrandy]

Oh ja... die laatste...van binnen naar buiten... logisch, dom van mij. Inderdaad. Bedankt.

Maar...sorry, nog 1 vraag....die Firewall setting op de NAS voor Windows File Server, die moet wèl open staan, anders lukt het gewoon niet om vanuit Win10 er bij mn NAS te komen. Dat is niet vreemd dan omdat zich dat allemaal binnen mijn eigen netwerk afspeelt?

[Babylonia]

In de firewall van je NAS zou je beter een regel kunnen toevoegen om alle poorten binnen je eigen LAN netwerk toe te staan.
Dan hoef je daar niet voor elke "intern" gebruikte service die opgeroepen wordt daar aparte regels voor aan te maken,
of krijg je er meldingen over.

Poorten: Alles       -       Protocol: Alles       -       Bron-IP: je intern gebruikte sub-net       -       Actie: Toestaan

[Briolet]

Er komt steeds meer malware dat ook netwerken scant. Voor de veiligheid zou ik juist niet alles open zetten, dus ook niet op de lan. Zeker niet als je derden op de Wifi toelaat.

Zelf heb ik alleen het IP van de PC die ik zelf gebruik volledige toegang gegeven. De rest van de lan heeft zelden meer rechten dan een apparaat dat van buiten komt. Maar het blijft een keuze tussen gemak en veiligheid.

[Babylonia]

Wordt het wel een hele uitzoekerij, waarbij je gemakkelijk iets over het hoofd ziet, waarbij functies niet meer werken.
De al eerder intern genoemde poorten 137, 138, 139 en 445.      Poorten 80, 443   -   6300, 6301

Maar wellicht ook wel weer poorten voor audio en video, die men als media-server wil benaderen.
Back-up apps ?   En benadering vanuit smartphones, tablets, Smart TV ??

De door Synology gebruikte poorten een overzicht ervan  < HIER >.

[Briolet]

Dat uitzoeken valt wel mee. Ik geef mijn IP een vast adres en dat adres mag alle poorten gebruiken.

Dingen als smart-tv's, smart-koelkasten etc zijn doorgaans slecht beveiligd tegen hackers. Ze hebben echter niets op mijn nas te zoeken. Bij media servers moet je dan wel de nodige poorten open zetten.

Het is ook een kwestie van bewustwording om niet standaard alles open te zetten, maar alleen dat wat je ook echt gebruikt.

[Gerbrandy]

Beste Babylonia en Briolet,
Hartelijk dank voor jullie reacties. Met alle respect voor jullie kennis, jullie zijn nu met elkaar in discussie en ik ben slechts een beginner op dit gebied en probeer de basis te begrijpen. Mag ik jullie en Birdy's reacties als volgt samenvatten?

• Voor alle services en pakketten die je draait vanuit/binnen je eigen LAN zet je alleen de poorten op je NAS open. Correct JA/Nee?
• Als je diezelfde services/pakketten vanuit buiten je LAN wil doen op je NAS (dus bijv. via apps wil streamen, foto's bekiujken of smartphone syncen, dan zet je die zelfde benodigde poorten ook open op je modem/router. Correct JA/Nee
• Babylonia meldde: "De al eerder intern genoemde poorten 137, 138, 139 en 445.      Poorten 80, 443   -   6300, 6301 ==> ik gebruik idd 6300 en 6301 als alternatief voor 5000 en 5001. 6300 en 6301 worden toch niet al standaard voor iets anders gebruikt dat jullie weten?

Wederom weer alvast dank voor jullie reacties.

[Babylonia]

1. Wil je het "strak" doen zoals @Briolet voorstelt, alleen vanuit je LAN:
    - voor alle services en pakketten die jezelf wilt bereiken als "admin" (user met adminrechten),
       instellingen in de Firewall de poorten voor het "vast" te geven IP-adres van je PC/laptop welke alleen door jezelf wordt gebruikt.
    - afhankelijk welke gebruikers in je huis tevens ook van de NAS gebruik maken of audio/video-apparaten
       (bijv. een mediaplayer - AVR receiver - Chromecast), maar misschien voor minder services,
       instellingen in de Firewall de poorten voor de IP-adressen van apparaten die door hen worden gebruikt.

       Als dat te complex mocht worden -(je bent ten slotte een beginner)
       - zou je in eerste instantie ook de eerdere suggestie kunnen volgen. En bij meer ervaring alsnog strakker instellen.

2. - Voor services die je van buiten uit wilt gebruiken, nog eens extra de poorten voor die services,
      en dan in de Firewall tevens kiezen voor "regio" filtering, zodat je de toegang beperkt bijv. alleen voor Nederland,
      of landen waar je voor korte tijd op vakantie bent, en misschien t.b.v. buitenlandse familie die het "familie fotoboek" willen bekijken?
      Als je meerdere services wilt benaderen van buiten, is het misschien verstandiger een "VPN-server" op te zetten.
      En connectie van buitenaf alleen via "VPN" te laten plaatsvinden.
      Daarmee heb je via een "virtuele tunnel" connectie met je eigen LAN netwerk, alsof je "thuis" bent en gelden vergelijkbare rechten.

      Voor de services die je van buiten uit wilt benaderen, tevens de poorten doorsturen naar je NAS in de instellingen van je router.

3. - De poorten die standaard door de NAS worden gebruikt, heb ik eerder juist een verwijzing erbij gezet naar zo'n lijst van poorten.
      Poorten 6300 en 6301  komen daarin niet voor als reeds gebruikt door services.
      Die kun je dus gebruiken als alternatief voor de poorten 5000 en 5001

[Gerbrandy]

Thx Babylonia,

Ik ga er mee aan de slag!

Heb inmiddels een ander probleem. Jullie weten veel heb ik gemerkt , zou je eens naar https://www.synology-forum.nl/index.php?topic=39060.msg279087#msg279087 willen kijken. Daar word ik knettergek van en kom er niet uit. Photo's zijn nu net de reden dat ik een NAS heb gekocht.

Thx.