Auteur Topic: Firewall begrijpen  (gelezen 4054 keer)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Firewall begrijpen
« Gepost op: 03 maart 2018, 19:45:51 »
Hallo allemaal,

ik heb me tot nu toe nooit zo beziggehouden met het gebruik van de firewall. Maar op de een of andere manier heb ik toch "argwaan" of ik mijn gegevens nu wel optimaal bescherm. Ik ben dus eens wat aan het experimenteren geslagen en ga dus misschien best wel "domme" vragen stellen die al "tig" keer zijn gesteld maar waarop ik het antwoord met de zoekfunctie toch weer niet kan vinden.

Wat heb ik gedaan: ik heb op de DS1817+ de firewall aangezet volgens bijlage. Die NAS wordt alleen gebruikt als fileserver én als backupdoel voor de DS716+. Bij de poorten heb ik alleen poort 5000 aangevinkt en de poorten voor CIFS.
Bij het ip-adres heb ik de reeks 192.168.2.1 - 192.168.2.254 ingevuld. Alleen interne toegang dus.
Hoewel ik poort 6281 niet heb aangevinkt kan ik toch een backup maken op de DS1817+ met Hyperbackup. Dat had ik niet verwacht.
Ergens zit dus al mijn eerste denkfout.

Of komt dat omdat ik bij ip-adressen de hele interne reeks heb ik gevuld en worden de poorten daardoor blijkbaar overruled of zo ?

Kortom, wie helpt me van mijn eerste denkfout af waardoor ik een begin kan maken met het begrijpen. Wellicjht is er ergens ook een handleiding te vinden ? Heb ik niet kunnen vinden ... sorry

Bedankt vast. Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Firewall begrijpen
« Reactie #1 Gepost op: 03 maart 2018, 19:57:32 »
Poort 6281 is ook alleen maar nodig als je backup naar een externe NAS gaat dus, intern geen poort nodig.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall begrijpen
« Reactie #2 Gepost op: 03 maart 2018, 20:19:11 »
@Birdy, voor backup maakt het natuurlijk niets uit of je die poort intern of extern benaderd. Als poort 6281 niet open staat, dan kun je geen backup maken.

Zie mijn resultaat nadat ik poort 6281 dicht gezet heb bij een backup binnen het LAN:



De redenering van @dirklammers klopt dus als een bus. Dat het desondanks werkt, kan alleen maar komen doordat hij niet alles verteld heeft.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Firewall begrijpen
« Reactie #3 Gepost op: 03 maart 2018, 23:53:10 »
Citaat
Als poort 6281 niet open staat
Er staat dan geen poort open maar, de poort wordt dan kennelijk gewoon gebruikt binnen het LAN, dat blijkt dus uit je test.

@Briolet
Citaat
Zie mijn resultaat nadat ik poort 6281 dicht gezet
Blocked in de Firewall ?

Dat zou betekenen, dat alle poorten gewoon door de Firewall worden doorgelaten m.a.w. "Bij de poorten heb ik alleen poort 5000 aangevinkt en de poorten voor CIFS." is dan dubbel toelaten.

Dus, in de Firewall moet je het andersom regelen, blokkeren wat je niet wilt doorlaten i.p.v. wel doorlaten.

In feite had ik hetzelfde met mijn Router, zie hier het poort 1900 gevalletje.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall begrijpen
« Reactie #4 Gepost op: 04 maart 2018, 09:25:25 »
In een firewall moet je gewoon voor elk IP adres en elke poort specificeren hoe die moet reageren. Zo niet hebben ze een ongedefinieerde toestand en weet je niet wat ze doen.

Ik eindig altijd met "sluit alle IP adressen en poorten". Dan weet ik zeker dat ik er geen gemist heb.  :P
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Re: Firewall begrijpen
« Reactie #5 Gepost op: 04 maart 2018, 12:38:54 »
Citaat
kan alleen maar komen doordat hij niet alles verteld heeft
Wat zou dat kunnen zijn ? Ik heb niets anders ingesteld dan dat ik heb verteld ...
Citaat
Dus, in de Firewall moet je het andersom regelen, blokkeren wat je niet wilt doorlaten i.p.v. wel doorlaten.
Dat klinkt wel logisch, maar waarom is er dan ook een knopje "toestaan" ? Ik blijf het dus een mistig verhaal vinden, vooral omdat ik het eerste probeersel dat ik uitvoer al niet voor mij logisch te verklaren is  :o

Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Firewall begrijpen
« Reactie #6 Gepost op: 04 maart 2018, 12:47:19 »
Citaat
maar waarom is er dan ook een knopje "toestaan"
Je laat dan poorten toestaan die je wilt toelaten en aan het einde, wat @Briolet aangeeft: "Ik eindig altijd met "sluit alle IP adressen en poorten". Dan weet ik zeker dat ik er geen gemist heb" dus: Alle poorten: Weigeren......dat is wat ik begrijp.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Firewall begrijpen
« Reactie #7 Gepost op: 04 maart 2018, 12:55:22 »
Ik denk dus zo (grof voorbeeld)





CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall begrijpen
« Reactie #8 Gepost op: 04 maart 2018, 12:57:57 »
Die knop toestaan/weigeren heb ik ook nooit gesnapt. Dit is het equivalent van een laatste firewall regel die niet per ongeluk omhoog kan schuiven als je nieuwe toevoegt.

Wat mij betreft had die knop weg kunnen blijven en maak je die laatste regel zelf. Dan heb je ook niet twee soorten weergaves van die regels en is het wat mij betreft overzichtelijker. Zoals het screenshot van Birdy. Maar dan ook "alle" bij poorten i.p.v. een range en alle protocollen. Bij zo'n regel wordt de stand van die laatste knop irrelevant, want je hebt al alle opties afgedekt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Firewall begrijpen
« Reactie #9 Gepost op: 04 maart 2018, 13:30:37 »
Zo dan ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall begrijpen
« Reactie #10 Gepost op: 04 maart 2018, 13:54:15 »
Ja, zo weet je zeker dat alles dicht zit, behalve de expliciet geopende zaken. Dan hoef je ook alleen naar "Alle Interfaces" te kijken. De interface specifieke instellingen doen er dan niet meer toe. Dat voldoet voor 99% van de gebruikers, die alleen maar in de war raken van die specifieke interfaces.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall begrijpen
« Reactie #11 Gepost op: 04 maart 2018, 14:56:46 »
Dan hoef je ook alleen naar "Alle Interfaces" te kijken. De interface specifieke instellingen doen er dan niet meer toe.

Begrijp wat je bedoelt maar is natuurlijk niet zo.
Als daar regels staan doen die gewoon mee...
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall begrijpen
« Reactie #12 Gepost op: 04 maart 2018, 16:38:13 »
Als je bij "alle interfaces" al alle opties behandeld hebt, tellen specifieke interfaces echt niet mee. De evaluatie van de firewall stop als er een treffer is. Wat erna komt is dan irrelevant.

Ik heb b.v. een regel gemaakt op de bond om mijn PC alles toe te laten staan:



Maar met die PC kan ik echt geen SSH verbinding opzetten, want onder alle interfaces eindig ik er al mee dat alles geblokkeerd moet worden. Als ik die PC bij "alle interfaces" toegang geef, wat ik normaal doe, werkt dit natuurlijk wel.

Als je met specifieke interfaces wilt werken, mag je bij algemeen niet alles blokkeren.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Firewall begrijpen
« Reactie #13 Gepost op: 04 maart 2018, 16:50:52 »
Uiteraard, de vraag is of het zin heeft regels te plaatsen op interfaces die nooit op een interface van toepassing zullen zijn.
Bijvoorbeeld als er meerdere interfaces zijn...

Wil je bijvoorbeeld niet dat VPN clients SMB kunnen doen (share koppelen) maar plaatst die regel op Alle interfaces zal niemand SMB kunnen doen.
Zo`n regel hoort dan op de VPN interface thuis.

Ook nog, maar zal het op de NAS niet zoveel uitmaken maar alle chains worden doorgelopen, ook na een match, en nemen dus processor tijd.

Ook voor een beginner is het/kan het zinvol zijn te begrijpen hoe het werkt maar men moet natuurlijk ergens beginnen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 128
  • Berichten: 1.033
Re: Firewall begrijpen
« Reactie #14 Gepost op: 04 maart 2018, 16:51:26 »
Dankzij jullie discussie begin ik het te begrijpen. Voor de DS1817+ heb ik nu twee instellingen actief, t.w. 1) vanuit de reeks 192.168.2.1-192.168.2.254 de protocollen (en bijbehorende poorten) voor beheer, CIFS en HyperBackup en 2) alles weigeren.
Als ik het dan goed begrijp wordt alles geweigerd, behalve dat wat ik in de eerste regel heb toegestaan.
Lijkt me voor en DS1817+ als fileserver en backup een goede instelling. Van buiten af wordt alles via VPN gedaan.
 :o Via welke poort maakt SONOS eigenlijk contact met de NAS, want mijn muziek staat ook op de DS1817+. Die poort moet natuurlijk óók open .....
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS923+ met nu nog allegaartje van 4 schijven VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver


 

firewall & UDP Broadcast

Gestart door aliazzzBoard Synology Router

Reacties: 19
Gelezen: 1658
Laatste bericht 13 mei 2024, 10:54:39
door Babylonia
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1864
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Synology firewall LOGS router?

Gestart door NoFateBoard Synology Router

Reacties: 24
Gelezen: 5858
Laatste bericht 03 maart 2019, 22:35:17
door Babylonia
Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 4143
Laatste bericht 27 december 2013, 11:30:03
door TonVH
Firewall logs??

Gestart door paheveBoard Synology Router

Reacties: 6
Gelezen: 987
Laatste bericht 03 januari 2024, 15:09:16
door Birdy