Eén locatie toestaan om te verbinden met NAS in DSM firewall

[Jorn]

Beste mensen,

In de DSM firewall zit de schitterende optie om bepaalde poorten, services, locaties toe te staan of uit te sluiten om verbinding met het apparaat te maken.

Nu dacht ik 'als ik bijv. maar één land toegang wil geven tot de NAS dan vink ik dat land aan en zet ik die op toestaan'. Naar mijn idee zouden daarmee automatisch alle andere landen geblokkeerd worden..

Dit blijkt echter niet het geval.
Kan iemand mij duidelijk maken wat er niet klopt aan deze gedachte en hoe ik dit dan wel kan realiseren?
Betekent dit dan echt dat ik alle andere landen juist op 'blokkeren' moet gaan zetten?

Dankjewel!

Groet,

Jorn

[Birdy]

Lees dit Topic goed, dan zie je hoe het werkt.

[Jorn]

Dankjewel, al is dat topic zo veelzijdig dat ik het niet meer kan volgen.

Ik wil eigenlijk alleen één land toegang geven, verder niet.

Is dat kort uit te leggen door iemand?

[Briolet]

Op zich werkt de firewal heel logisch.

De firewall controleert de regels op volgorde totdat er een voldoet. Dan stopt hij. Voldoet er geen, dan geldt de default setting. (En dat is doorlaten, want anders kun je zelf ook niet bij de nas als er nog niets ingesteld is)

[André PE1PQX]

De allerlaatste regel in een firewall zou in mijn ogen moeten zijn 'blokkeer alles op alle poorten voor alle applicaties'.
Wil je bepaalde landen, poorten of applicaties toegang geven moet je dit specifiek in de firewall aangeven.

[Jorn]

Ik denk dat ik het toch op de manier ga doen die ik eerder suggereerde (het blokkeren van verkeer uit andere landen).

Dit lijkt me toch de handigste oplossing. Ik volg de andere suggesties niet helaas... daarvoor ben ik te onbekend met een firewall.

[André PE1PQX]

Firewall werkt eigenlijk vrij simpel:

Eerst de regels invullen van wat je wel toestaan wilt; poorten, landen; applicaties etc.
Als allerlaatste verbied je alles...

De firewall werkt alle regels af tot er een match is, dan stop het gewoon.

Stel:
regel 1: toegang toestaan uit Nederland, België en Duitsland aan alleen poorten 80 en 443
regel 2: volledige toegang uit je LAN toestaan (bijvoorbeeld 192.168.1.1/24)
regel 3: blokker alles

Stel er komt iemand uit Duitsland en bezoekt jouw NAS, http://<jouw-WAN-ip>:80 Dat mag gewoon (regel 1) en dan stopt de firewall met checks.

Voorbeeld 1:
iemand uit Gana wil jouw nas benaderen...
Komt die bezoeker uit Duitsland, Nederland of België?? Nee... door naar regel 2
Komt die bezoeker vanuit jouw LAN?? Nee, door naar regel 3
Je mag er niet in!!!!

Voorbeeld 2:
Iemand uit Duitsland wil met SSH (poort 21) je nas benaderen.
Komt hij uit Duitsland?? Ja, op poort 80 of 443?? Nee, door naar regel 2
Komt die bezoeker vanuit jouw LAN?? Nee, door naar regel 3
Je mag er niet in!!!!

Voorbeeld 3:
Iemand vanuit België wil je site op poort 80/443 bekijken

Komt hij uit Nederland, België of Duitsland op poort 80/443 binnen?? Ja, toegang verleend. Einde checks.
Regels 2 en 3 worden dan niet meer bekeken, is n.l. niet meer van toepassing.

Voorbeeld 4:
Je wilt zelf met DSM een en ander aanpassen, is vanuit je LAN (192.168.1.x) op poort 5000/5001
Komt hij uit Duitsland, België of Nederland?? Nee, door naar regel 2
Komt hij vanuit eigen LAN omgeving? Ja, TOEGANG VERLEEND! Einde controle.
Regel 3 is dan niet meer van toepassing

[Briolet]

Of gewoon de handleiding lezen. Die is er speciaal voor gemaakt en daar wordt het goed uitgelegd. (Het ? knopje in alle menu's)

[André PE1PQX]

@Briolet niet iedereen 'rtfm'. (ben er zelf n.l. één )

Mijn uitleg is dacht ik zo'n beetje de minimale basics van de firewall.

[Babylonia]

Er is toch een interpretatieverschil met wat een firewall doet.

De firewall werkt alle regels af tot er een match is, dan stop het gewoon.

Stel:
regel 1: toegang toestaan uit Nederland, België en Duitsland aan alleen poorten 80 en 443
regel 2: volledige toegang uit je LAN toestaan (bijvoorbeeld 192.168.1.1/24)
regel 3: blokker alles

Stel er komt iemand uit Duitsland en bezoekt jouw NAS, http://<jouw-WAN-ip>:80 Dat mag gewoon (regel 1) en dan stopt de firewall met checks.

Het hele rijtje naar onderen wordt doorlopen.
Het is bij de gratie van bijv. de laatste regel 3. dat "de rest" dan wordt geblokkeerd
en er dan niets meer overblijft waar op gecontroleerd op hoeft te worden.  Niet een stoppen bij regel 1.

Er zijn situaties van firewall regels waarin dat duidelijker naar voren komt, dat het tot de laatste check doorgaat.

[Briolet]

Er blijft maar onzin verkocht worden op fora. Daarom blijft mijn advies om toch echt de handleiding te lezen. Daar staat het correct en worden ook uitzonderingen genoemd, als die er zijn.

Het hele rijtje naar onderen wordt doorlopen.

@Babylonia : Denk er nog eens goed over na. Als hij echt niet zou stoppen, gaat hij conflicterende opdrachten tegen komen. Hoe kan hij dat dan oplossen. kop-of-munt?