Firewall instellen

[TonVH]

Heb complete firewallinstelling gedaan, zie afbeelding.

Maar zodra regel "... alle andere IP's & poorten.    dan weigeren. " wordt toegevoeg, vervolgens OK klik dan wordt de sessie afgesloten, automatisch opnieuw ingelogd en blijkt die laatste regel verdwenen te zijn. (waardoor voor mijn gevoel de hele FW zinloos is).

Vreemde is dat ik elders een identieke instelling (uiteraard andere IP's) wel goed werkt. De opgegeven IP's zijn die van het systeem zelf en een backup.

[Robert Koopman]

En als je dit via een andere browser doet?
Ik had dit met Hyperbackup, kon ik niets aanpassen.
Crasht steeds en moet je opnieuw inloggen.
Andere browser en het lukte wel.

[Babylonia]

"(waardoor voor mijn gevoel de hele FW zinloos is)."

Ik vind het wel erg ruime regels met hetgeen je doorlaat.
Dat heeft IMO op zichzelf dan al niet veel zin om een firewall in te zetten.
Het gaat er om, om alleen die data / services door te laten waar je gebruik van maakt en van buitenaf wilt bereiken.
Al het andere blokkeren.

Zie een lijstje naar verwijzingen m.b.t. firewall instellingen < HIER >

[Briolet]

De ruime regels vallen wel mee.

Zelf stel ik wel poorten in, maar normaal houdt de router alle ongewenste poorten al tegen doordat je alleen de noodzakelijke poorten forward.

[Babylonia]

Veiligheidslekken (die je niet kunt voorzien), net een vergissinkje in de instellingen in de router wat je ervoor hebt, maken de NAS met die instellingen eveneens kwetsbaar.

[Bealeo]

Ik heb geleerd om altijd met een BLOCK-ALL regel te beginnen.
Vervolgens ga je de poorten/sources openzetten die je door wil laten.

[Birdy]

Regel, regel, dan pas "BLOCK ALL "zie hier.

[Pippin]

Nou @Bealeo , die blokregel zou ik niet mee beginnen maar mee eindigen als "Indien niet wordt voldaan aan de regels: Toegang toestaan" is aangevinkt. Wanneer "Toegang weigeren" is aangevinkt hoeft die laatste blokregel niet aangemaakt te worden, dat resulteert anders tot dubbele entries in de INPUT en/of FORWARD Chain, zinloos dus.
Op de NAS is de default policy ACCEPT voor alle Chains en die laat zich via de GUI niet wijzigen.

[Bealeo]

Jullie hebben gelijk heren. Ik bedoelde het andersom. Dus niet mee beginnen maar mee eindigen 
 

[Briolet]

Het eindigen met een block-all regel is ook wat hier gebeurd. Altans, niet kunnen toevoegen van die regel is de kern van dit topic.

[Ben(V)]

Dat is een tamelijk goede implementatie van Synology.

De regels worden van boven naar beneden afgewerkt en als je dus bovenaan een "block all" regel zet, is je NAS volledig geblocked.
Dan zou je er niet meer in je NAS kunnen, dus DSM weigert zo'n firewall profile op te slaan.

Je moet eerst regels hebben die je toegang geven tot je NAS als je onderaan block all wilt zetten.

[Hofstede]

@TonVH : Kan het het zijn dat er per ongeluk nog andere firewall regels actief zijn op individuele interfaces? Dat kun je controleren door rechtsboven een andere interface dan "Alle interfaces" te kiezen.

[TonVH]

Geen andere regels aanwezig.

Maar "sla mij maar lek". Ik heb de regel "... toestaan Nederland ..." uitgeschakeld, vervolgens opgeslagen, regel "blokkeer verder iedereen" erbij gezet, OK, geen probleem. Werkt.

Vervolgens weer de regel " ...toestaan Nederland ..." ingeschakeld en de FW blijft gewoon werken.

[Babylonia]

Wat bedoel je met de firewall blijft gewoon werken?
Als het doet met wat je wilt, is het toch goed?

Maar al eerder aangegeven dat ik het vreemd opgezette firewall regels vind.
Om LAN IP-adressen toe te staan met 255x255 sub-nets (met ieder weer 255 IP-adressen) = ruim 16,5 miljoen LAN IP-adressen,
lijkt me overdreven "ruim" voor een thuis situatie.  (Met bovendien reeksen buiten het officiële bereik wat als "thuis netwerk" geldt).
https://en.wikipedia.org/wiki/IP_address

Doorgaans gebruik je in een thuis situatie één netwerk, met hooguit nog een gast netwerk.
(Ofwel 2 sub-nets).  Idem nog een 3e virtueel netwerk erbij.

[TonVH]

10... & 192.... zijn adressen binnen het lokale netwerken.

Het is vreemd dat het werkt want blijkbaar is de volgorde van ingeven erg gevoelig. En dat is niet logisch te noemen.