Auteur Topic: Eén locatie toestaan om te verbinden met NAS in DSM firewall  (gelezen 1411 keer)

Offline Jorn

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Gepost op: 19 augustus 2020, 14:35:59 »
Beste mensen,

In de DSM firewall zit de schitterende optie om bepaalde poorten, services, locaties toe te staan of uit te sluiten om verbinding met het apparaat te maken.

Nu dacht ik 'als ik bijv. maar één land toegang wil geven tot de NAS dan vink ik dat land aan en zet ik die op toestaan'. Naar mijn idee zouden daarmee automatisch alle andere landen geblokkeerd worden..

Dit blijkt echter niet het geval.
Kan iemand mij duidelijk maken wat er niet klopt aan deze gedachte en hoe ik dit dan wel kan realiseren?
Betekent dit dan echt dat ik alle andere landen juist op 'blokkeren' moet gaan zetten?

Dankjewel!

Groet,

Jorn

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.177
  • Fijne feestdagen.......
    • Truebase
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #1 Gepost op: 19 augustus 2020, 14:40:44 »
Lees dit Topic goed, dan zie je hoe het werkt.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Jorn

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #2 Gepost op: 19 augustus 2020, 16:19:38 »
Dankjewel, al is dat topic zo veelzijdig dat ik het niet meer kan volgen.

Ik wil eigenlijk alleen één land toegang geven, verder niet.

Is dat kort uit te leggen door iemand?

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #3 Gepost op: 19 augustus 2020, 17:04:14 »
Op zich werkt de firewal heel logisch.

De firewall controleert de regels op volgorde totdat er een voldoet. Dan stopt hij. Voldoet er geen, dan geldt de default setting. (En dat is doorlaten, want anders kun je zelf ook niet bij de nas als er nog niets ingesteld is)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #4 Gepost op: 19 augustus 2020, 17:47:18 »
De allerlaatste regel in een firewall zou in mijn ogen moeten zijn 'blokkeer alles op alle poorten voor alle applicaties'.
Wil je bepaalde landen, poorten of applicaties toegang geven moet je dit specifiek in de firewall aangeven.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Jorn

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #5 Gepost op: 20 augustus 2020, 14:38:26 »
Ik denk dat ik het toch op de manier ga doen die ik eerder suggereerde (het blokkeren van verkeer uit andere landen).

Dit lijkt me toch de handigste oplossing. Ik volg de andere suggesties niet helaas... daarvoor ben ik te onbekend met een firewall.

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #6 Gepost op: 20 augustus 2020, 17:21:22 »
Firewall werkt eigenlijk vrij simpel:

Eerst de regels invullen van wat je wel toestaan wilt; poorten, landen; applicaties etc.
Als allerlaatste verbied je alles...

De firewall werkt alle regels af tot er een match is, dan stop het gewoon.

Stel:
regel 1: toegang toestaan uit Nederland, België en Duitsland aan alleen poorten 80 en 443
regel 2: volledige toegang uit je LAN toestaan (bijvoorbeeld 192.168.1.1/24)
regel 3: blokker alles

Stel er komt iemand uit Duitsland en bezoekt jouw NAS, http://<jouw-WAN-ip>:80 Dat mag gewoon (regel 1) en dan stopt de firewall met checks.

Voorbeeld 1:
iemand uit Gana wil jouw nas benaderen...
Komt die bezoeker uit Duitsland, Nederland of België?? Nee... door naar regel 2
Komt die bezoeker vanuit jouw LAN?? Nee, door naar regel 3
Je mag er niet in!!!!

Voorbeeld 2:
Iemand uit Duitsland wil met SSH (poort 21) je nas benaderen.
Komt hij uit Duitsland?? Ja, op poort 80 of 443?? Nee, door naar regel 2
Komt die bezoeker vanuit jouw LAN?? Nee, door naar regel 3
Je mag er niet in!!!!

Voorbeeld 3:
Iemand vanuit België wil je site op poort 80/443 bekijken

Komt hij uit Nederland, België of Duitsland op poort 80/443 binnen?? Ja, toegang verleend. Einde checks.
Regels 2 en 3 worden dan niet meer bekeken, is n.l. niet meer van toepassing.

Voorbeeld 4:
Je wilt zelf met DSM een en ander aanpassen, is vanuit je LAN (192.168.1.x) op poort 5000/5001
Komt hij uit Duitsland, België of Nederland?? Nee, door naar regel 2
Komt hij vanuit eigen LAN omgeving? Ja, TOEGANG VERLEEND! Einde controle.
Regel 3 is dan niet meer van toepassing
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #7 Gepost op: 20 augustus 2020, 17:37:57 »
Of gewoon de handleiding lezen. Die is er speciaal voor gemaakt en daar wordt het goed uitgelegd. (Het ? knopje in alle menu's)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #8 Gepost op: 20 augustus 2020, 18:32:26 »
@Briolet niet iedereen 'rtfm'. (ben er zelf n.l. één 8) )

Mijn uitleg is dacht ik zo'n beetje de minimale basics van de firewall.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #9 Gepost op: 21 augustus 2020, 15:48:40 »
Er is toch een interpretatieverschil met wat een firewall doet.

De firewall werkt alle regels af tot er een match is, dan stop het gewoon.

Stel:
regel 1: toegang toestaan uit Nederland, België en Duitsland aan alleen poorten 80 en 443
regel 2: volledige toegang uit je LAN toestaan (bijvoorbeeld 192.168.1.1/24)
regel 3: blokker alles

Stel er komt iemand uit Duitsland en bezoekt jouw NAS, http://<jouw-WAN-ip>:80 Dat mag gewoon (regel 1) en dan stopt de firewall met checks.

Het hele rijtje naar onderen wordt doorlopen.
Het is bij de gratie van bijv. de laatste regel 3. dat "de rest" dan wordt geblokkeerd
en er dan niets meer overblijft waar op gecontroleerd op hoeft te worden.  Niet een stoppen bij regel 1.

Er zijn situaties van firewall regels waarin dat duidelijker naar voren komt, dat het tot de laatste check doorgaat.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Eén locatie toestaan om te verbinden met NAS in DSM firewall
« Reactie #10 Gepost op: 21 augustus 2020, 16:29:37 »
Er blijft maar onzin verkocht worden op fora. Daarom blijft mijn advies om toch echt de handleiding te lezen. Daar staat het correct en worden ook uitzonderingen genoemd, als die er zijn.

Citaat
Het hele rijtje naar onderen wordt doorlopen.
@Babylonia : Denk er nog eens goed over na. Als hij echt niet zou stoppen, gaat hij conflicterende opdrachten tegen komen. Hoe kan hij dat dan oplossen. kop-of-munt?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Bestanden delen / firewall

Gestart door Erwin1Board Synology DSM algemeen

Reacties: 9
Gelezen: 3445
Laatste bericht 29 juli 2015, 18:03:51
door Briolet
Hulp gevraagd locatie 013 regio.

Gestart door BusrijderBoard The lounge

Reacties: 0
Gelezen: 981
Laatste bericht 18 januari 2020, 10:32:14
door Busrijder
Eufy deurbel met Homebase 2 wel of niet te verbinden met NAS?

Gestart door PedroBoard Surveillance Station

Reacties: 6
Gelezen: 16584
Laatste bericht 06 september 2021, 12:43:04
door janbal
CloudStation werkt niet op locatie buiten huis

Gestart door MauriceKBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 14
Gelezen: 5384
Laatste bericht 30 september 2014, 14:30:09
door Birdy
Firewall instellingen t.b.v. van WordPress

Gestart door pacecalBoard Netwerk algemeen

Reacties: 15
Gelezen: 1171
Laatste bericht 20 mei 2023, 18:45:34
door Babylonia