Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: dirklammers op 03 maart 2018, 19:45:51
-
Hallo allemaal,
ik heb me tot nu toe nooit zo beziggehouden met het gebruik van de firewall. Maar op de een of andere manier heb ik toch "argwaan" of ik mijn gegevens nu wel optimaal bescherm. Ik ben dus eens wat aan het experimenteren geslagen en ga dus misschien best wel "domme" vragen stellen die al "tig" keer zijn gesteld maar waarop ik het antwoord met de zoekfunctie toch weer niet kan vinden.
Wat heb ik gedaan: ik heb op de DS1817+ de firewall aangezet volgens bijlage. Die NAS wordt alleen gebruikt als fileserver én als backupdoel voor de DS716+. Bij de poorten heb ik alleen poort 5000 aangevinkt en de poorten voor CIFS.
Bij het ip-adres heb ik de reeks 192.168.2.1 - 192.168.2.254 ingevuld. Alleen interne toegang dus.
Hoewel ik poort 6281 niet heb aangevinkt kan ik toch een backup maken op de DS1817+ met Hyperbackup. Dat had ik niet verwacht.
Ergens zit dus al mijn eerste denkfout.
Of komt dat omdat ik bij ip-adressen de hele interne reeks heb ik gevuld en worden de poorten daardoor blijkbaar overruled of zo ?
Kortom, wie helpt me van mijn eerste denkfout af waardoor ik een begin kan maken met het begrijpen. Wellicjht is er ergens ook een handleiding te vinden ? Heb ik niet kunnen vinden ... sorry
Bedankt vast. Dirk
-
Poort 6281 is ook alleen maar nodig als je backup naar een externe NAS gaat dus, intern geen poort nodig.
-
@Birdy, voor backup maakt het natuurlijk niets uit of je die poort intern of extern benaderd. Als poort 6281 niet open staat, dan kun je geen backup maken.
Zie mijn resultaat nadat ik poort 6281 dicht gezet heb bij een backup binnen het LAN:
[attachimg=1]
De redenering van @dirklammers klopt dus als een bus. Dat het desondanks werkt, kan alleen maar komen doordat hij niet alles verteld heeft.
-
Als poort 6281 niet open staat
Er staat dan geen poort open maar, de poort wordt dan kennelijk gewoon gebruikt binnen het LAN, dat blijkt dus uit je test.
@Briolet Zie mijn resultaat nadat ik poort 6281 dicht gezet
Blocked in de Firewall ?
Dat zou betekenen, dat alle poorten gewoon door de Firewall worden doorgelaten m.a.w. "Bij de poorten heb ik alleen poort 5000 aangevinkt en de poorten voor CIFS." is dan dubbel toelaten.
Dus, in de Firewall moet je het andersom regelen, blokkeren wat je niet wilt doorlaten i.p.v. wel doorlaten.
In feite had ik hetzelfde met mijn Router, zie hier (https://www.synology-forum.nl/synology-router/firewall-openvpn-hits-blijft-oplopen-zonder-een-verbinding-te-hebben/msg245833/#msg245833) het poort 1900 gevalletje.
-
In een firewall moet je gewoon voor elk IP adres en elke poort specificeren hoe die moet reageren. Zo niet hebben ze een ongedefinieerde toestand en weet je niet wat ze doen.
Ik eindig altijd met "sluit alle IP adressen en poorten". Dan weet ik zeker dat ik er geen gemist heb. :P
-
kan alleen maar komen doordat hij niet alles verteld heeft
Wat zou dat kunnen zijn ? Ik heb niets anders ingesteld dan dat ik heb verteld ...
Dus, in de Firewall moet je het andersom regelen, blokkeren wat je niet wilt doorlaten i.p.v. wel doorlaten.
Dat klinkt wel logisch, maar waarom is er dan ook een knopje "toestaan" ? Ik blijf het dus een mistig verhaal vinden, vooral omdat ik het eerste probeersel dat ik uitvoer al niet voor mij logisch te verklaren is :o
Dirk
-
maar waarom is er dan ook een knopje "toestaan"
Je laat dan poorten toestaan die je wilt toelaten en aan het einde, wat @Briolet aangeeft: "Ik eindig altijd met "sluit alle IP adressen en poorten". Dan weet ik zeker dat ik er geen gemist heb" dus: Alle poorten: Weigeren......dat is wat ik begrijp.
-
Ik denk dus zo (grof voorbeeld)
[attachimg=1]
-
Die knop toestaan/weigeren heb ik ook nooit gesnapt. Dit is het equivalent van een laatste firewall regel die niet per ongeluk omhoog kan schuiven als je nieuwe toevoegt.
Wat mij betreft had die knop weg kunnen blijven en maak je die laatste regel zelf. Dan heb je ook niet twee soorten weergaves van die regels en is het wat mij betreft overzichtelijker. Zoals het screenshot van Birdy. Maar dan ook "alle" bij poorten i.p.v. een range en alle protocollen. Bij zo'n regel wordt de stand van die laatste knop irrelevant, want je hebt al alle opties afgedekt.
-
Zo dan ?
[attachimg=1]
-
Ja, zo weet je zeker dat alles dicht zit, behalve de expliciet geopende zaken. Dan hoef je ook alleen naar "Alle Interfaces" te kijken. De interface specifieke instellingen doen er dan niet meer toe. Dat voldoet voor 99% van de gebruikers, die alleen maar in de war raken van die specifieke interfaces.
-
Dan hoef je ook alleen naar "Alle Interfaces" te kijken. De interface specifieke instellingen doen er dan niet meer toe.
Begrijp wat je bedoelt maar is natuurlijk niet zo.
Als daar regels staan doen die gewoon mee...
-
Als je bij "alle interfaces" al alle opties behandeld hebt, tellen specifieke interfaces echt niet mee. De evaluatie van de firewall stop als er een treffer is. Wat erna komt is dan irrelevant.
Ik heb b.v. een regel gemaakt op de bond om mijn PC alles toe te laten staan:
[attachimg=1]
Maar met die PC kan ik echt geen SSH verbinding opzetten, want onder alle interfaces eindig ik er al mee dat alles geblokkeerd moet worden. Als ik die PC bij "alle interfaces" toegang geef, wat ik normaal doe, werkt dit natuurlijk wel.
Als je met specifieke interfaces wilt werken, mag je bij algemeen niet alles blokkeren.
-
Uiteraard, de vraag is of het zin heeft regels te plaatsen op interfaces die nooit op een interface van toepassing zullen zijn.
Bijvoorbeeld als er meerdere interfaces zijn...
Wil je bijvoorbeeld niet dat VPN clients SMB kunnen doen (share koppelen) maar plaatst die regel op Alle interfaces zal niemand SMB kunnen doen.
Zo`n regel hoort dan op de VPN interface thuis.
Ook nog, maar zal het op de NAS niet zoveel uitmaken maar alle chains worden doorgelopen, ook na een match, en nemen dus processor tijd.
Ook voor een beginner is het/kan het zinvol zijn te begrijpen hoe het werkt maar men moet natuurlijk ergens beginnen.
-
Dankzij jullie discussie begin ik het te begrijpen. Voor de DS1817+ heb ik nu twee instellingen actief, t.w. 1) vanuit de reeks 192.168.2.1-192.168.2.254 de protocollen (en bijbehorende poorten) voor beheer, CIFS en HyperBackup en 2) alles weigeren.
Als ik het dan goed begrijp wordt alles geweigerd, behalve dat wat ik in de eerste regel heb toegestaan.
Lijkt me voor en DS1817+ als fileserver en backup een goede instelling. Van buiten af wordt alles via VPN gedaan.
:o Via welke poort maakt SONOS eigenlijk contact met de NAS, want mijn muziek staat ook op de DS1817+. Die poort moet natuurlijk óók open .....
-
Wil je bijvoorbeeld niet dat VPN clients SMB kunnen doen (share koppelen) maar plaatst die regel op Alle interfaces zal niemand SMB kunnen doen.
Zo`n regel hoort dan op de VPN interface thuis.
Daarom schreef ik ook 99% en niet 100%. Als je al zulke ingewikkelde firewall regels maakt, heb je geen uitleg nodig.
En zelfs jouw voorbeeld kun je bereiken met alleen "All Interfaces" omdat VPN verbindingen een eigen IP range hebben. Die IP's gebruik ik om ssh via VPN mogelijk te maken binnen "All Interfaces" omdat ik verder alleen een paar interne IP adressen ssh toegang geef.. ;)
-
Eigenlijk is het aan de oppervlakte niet zo ingewikkeld, dat weten wij maar beginners kunnen daar redelijk mee worstelen.
Leren dat er alleen regels nodig zijn op Alle interfaces kan een troubleshoot worden als in de toekomst "interface specifieke" regels nodig zijn. Het ging mij om de nuance.
Een regel op Alle interfaces bedoelt voor het VPN subnet staat dan ook op LAN1 (indien van toepassing ook LAN2, LAN3, etc.).
Die regel zal echter nooit matchen, andersom is ook waar.
Wat ook gebeuren kan is dat iets geblokt wordt op Alle interfaces wat je niet wilt blokken op de VPN (of andere interface).
P.S.
De interfaces hebben ook een volgorde net als de regels van boven naar beneden op elke interface:
1. LAN1 regels
2. LAN2 regels
3. LAN3 regels
4. LAN4 regels
5. VPN
LAN2-3-4 natuurlijk alleen indien van toepassing.
Zelf heb ik niet èèn regel op Alle interfaces.
-
Als ik het dan goed begrijp wordt alles geweigerd, behalve dat wat ik in de eerste regel heb toegestaan.
Correct.