Firewall regels met dubbele NAT (router achter router)

[Ray308]

Ik heb een DS918+ staan in mijn LAN achter een dubbele NAT.  (Dit kan niet anders, omdat het Ziggo netwerk nodig is voor anderen, dus bridge is geen optie)

Router Ziggo -> OpenWRT router -> LAN
Op de router van Ziggo staat de openWRT in de DMZ zone en tevens alle poorten geforward die ik ook op de OpenWRT router en de NAS open heb staan.

Op deze manier functioneert verder alles met de firewall op de NAS uit.

Normaal met enkele NAT op bijvoorbeeld mij backup NAS staan de settings zo:

Dat werkt prima.

Op de locatie (thuis) met de dubbele NAT moet de regel waar Nederland/ isle of man staat, op ' alles"  staan anders kan bijvoorbeeld de mail niet worden opgehaald van de Mailserver op de NAS. Dus het is een firewall setting, maar geen idee welke.  En " alles"  aanzetten is volgens mij hetzelfde als de firewall op de NAS uitzetten.  (En alle zelfde poorten zijn op de eerste router de tweede router en op de NAS open)


Iemand een idee?

[André PE1PQX]

De eerste regel zou je eens goed moeten bekijken, hier staat dat alleen in je LAN de router (denk ik) met IP 192.168.178.1 toegang heeft tot je NAS, en niet een eventuele client met een ander IP adres in dezelfde subnet.
Als je dat veranderd in IP-bereik (dus 192.168.178.1 - 192.168.178.255 bijvoorbeeld) kun je vanuit diezelfde lan ook met andere machines in je NAS terecht.

Verder werkt de firewall de regels in volgorde af: (@experts, graag bevestigen of dit klopt of niet, dacht van wel...)
Regel 1, Is deze regel van toepassing?? Nee, dan door naar regel 2
Regel 2, Is deze regel van toepassing?? Nee, dan door naar regel 3
Regel 3, Is deze regel van toepassing?? Ja, dan stop verdere checks
regel 4, .... (enz tot het einde)

(Overigens zou ik de laatste regel alle applicaties, alle protocollen en alle IP adressen op weigeren zetten, maar alleen als aller laatste regel!)

[Ray308]

De eerste regel is een subnet, moet eigenlijk 192.168.178.0/24 zijn.  Even aangepast. Het is echter een screenshot van mijn backup NAS en die werkt prima.

Het is zo raar dat mijn NAS thuis, dus achter dubbele nat niet werkt met die instellingen.  En ik werk al jaren met dubbele nat, soms is dat best wel een dingetje. 

[Briolet]

Dubbel nat is hier geen issue omdat je dmz gebruikt. De firewall van de nas ziet deze situatie niet eens.

Verder lijkt me de firewall veel te veel open te laten. Je blokkeert nu wel een aantal specifieke poorten, maar de niet genoemde poorten blijven dus open. (Dit hangt wel af wat je bij de specifieke interfaces ingesteld hebt)

[Babylonia]

Verder werkt de firewall de regels in volgorde af: (@experts, graag bevestigen of dit klopt of niet, dacht van wel...)
Regel 1, Is deze regel van toepassing?? Nee, dan door naar regel 2
Regel 2, Is deze regel van toepassing?? Nee, dan door naar regel 3
Regel 3, Is deze regel van toepassing?? Ja, dan stop verdere checks
regel 4, .... (enz tot het einde)

Als regel 3 voldoet aan een voorwaarde, dan is het absoluut niet zo, dat verdere checks (navolgende regels) daarmee stoppen !
Afhankelijk van wat de voorwaarden van de firewall regels inhouden, zou te volgen data erna nog aan andere regels kunnen voldoen,
-of juist niet-,  en afhankelijk daarvan juist hun kracht aan functionaliteit kunnen ontlenen.

Als datgene wat je beweert "waar" zou zijn.
Zou een "laatste" firewall-regel waarmee je alles verbiedt, wat niet voldoet aan de voorgaande regels, namelijk geen zin hebben.
Het is juist bij de gratie van die laatste regel dat de werking van alle firewall regels erboven hun kracht ontlenen.
En omdat het de laatste regel is, daarmee ook aangetoond, dat een firewall helemaal tot aan het eind wordt afgewerkt.

(Bij de firewall van een Synology router  -die daarin sterk verwant is-  heeft men een extra kolom "hits",
 wat aangeeft of een firewall regel op dat moment actief wordt aangedaan.  Die laatste regel heeft absoluut het hoogste aantal hits).

Verder met het voorbeeld van @Ray308  en de opmerking van @Briolet
Het klopt dat er veel teveel open staat vanuit toegang van "buiten".
Nu wordt er wel bij verteld dat het afhankelijk is welke interfaces zijn ingesteld.
Maar het bekruipt me al snel het gevoel dat als er in de router ook maar even "per ongeluk" iets verkeerd staat ingesteld,
(of er een mogelijk nieuw beveiligingslek in de firmware zit), dat op NAS niveau meteen wordt afgestraft als meteen "open" / toegankelijk.

Zou dat toch beter afstemmen, zodat bij toevallige calamiteiten op router niveau, er nog een extra "vangnet" is op NAS niveau.

[Briolet]

Als regel 3 voldoet aan een voorwaarde, dan is het absoluut niet zo, dat verdere checks (navolgende regels) daarmee stoppen !

Ik heb nog steeds het idee dat jij niet weet hoe een firewall werkt.  Als regel 3 voldoet heeft het nml geen zin meer om verder te controleren. Het enige wat er zou kunnen gebeuren is dat een volgende regel een tegenstrijdige opdracht oplevert. 

En hoe zou je een tegenstrijdige opdracht moeten oplossen?  Het meest logische zou zijn om dan de eerste treffer te laten gelden. Maar als je dat besluit, dan was dat evalueren van de regels na de 1e treffer bij voorbaat al tijdverspilling.

De firewall stopt dus met evalueren na de 1e treffer. 

Eigenlijk werkt dat ook zo in programmeertaal bij OR bewerkingen. Als er een treffer is dan worden de volgende vergelijkingen ook niet meer geëvalueerd om tijd te besparen.  Als programmeur maak je hier dan ook gebruik van door de statements in een optimalere volgorde uit te voeren.

[Ray308]

Als ik het goed begrijp, staat bij alles open zodra het op adres uit Nederland of man komt. Als het op daar niet vandaan komt wordt alles geblokkeerd behalve een aantal poorten voor webserver en mailserver. De rest wordt geweigerd.

Dus ik zou de regel voor Nederland en man ook zo moeten instellen?

[Babylonia]

Ik heb nog steeds het idee dat jij niet weet hoe een firewall werkt.

Nou ja, andersom heb ik van jou nu juist het idee dat JIJ zelf degene bent die het echt absoluut niet snapt.

Als regel 3 voldoet heeft het nml geen zin meer om verder te controleren.

Zoals jij het stelt zou je überhaupt dan maar één firewall regel op hoeven te geven die aan een bepaalde voorwaarde voldoet.
Regel 1 en 2  heb je dan al niet nodig,  alleen een regel 3.
Daarmee zou alles geregeld zijn.  Want er heeft geen verdere controle meer plaats.  Firewall is klaar !!
(Regels 4, 5, 6, 7....  voor andere zaken worden dan al niet meer doorlopen, want controle is gestopt).

Waar zijn al die voorbeelden met meerdere firewall regels dan voor bedoeld, die je op internet kunt vinden.
Die hangen er voor Piet Snot bij?

[Babylonia]

Als je een web-server gebruikt, worden poorten 80 en 443 daarvoor gebruikt.
(De enige poorten die je daarvoor open zou moeten zetten).
Wil je die openstellen voor de hele wereld, of slechts bepaalde regio's?

Mail-server, ook die gebruikt bepaalde poorten. Kijk welke je daarvan gebruikt en neem alleen die op in een firewall.
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services#x_anchor_id8

[Briolet]

Zoals jij het stelt zou je überhaupt dan maar één firewall regel op hoeven te geven die aan een bepaalde voorwaarde voldoet.
Regel 1 en 2  heb je dan al niet nodig,  alleen een regel 3.

Natuurlijk zijn er meerdere regels nodig want de meesten zullen geen treffer opleveren. Alleen stopt de evaluatie als er een treffer is. En de volgorde van de regels is ervoor om te zorgen dat de treffer ook de gewenste reactie oplevert. Verdiep je toch eens beter in hoe een firewall werkt. Het stoort me als hier onzin verteld wordt. Vooral als dit door iemand gebeurd waarvan iedereen verwacht dat hij het wel weet.

[Ray308]

Ok, het werkt, alles verwijderd en de regels even opnieuw aangemaakt, even vanaf schratch..



Regel 1 Alles open voor lan. (Wellicht ook niet nodig?)
Regel 2 mailserver plus en webserver poorten (gelijk aan open poorten router)
Regel 3 poorten voor communicatie tussen mijn NAS en mijn backup nas (beide in NL)
Regel 4 Weigeren als je niet aan bovenstaande regels voldoet.

[Babylonia]

Natuurlijk zijn er meerdere regels nodig want de meesten zullen geen treffer opleveren. Alleen stopt de evaluatie als er een treffer is.

De evaluatie van Firewall regels gaat door tot aan de laatste firewall regel, ondanks eerdere treffers,
en services die helemaal niet worden aangedaan / of niet actief zijn.

Zie bijgaand voorbeeld van de firewall in de router die de daadwerkelijke treffers weergeeft.
Het stopt niet na de eerste treffer met wat je beschrijft, anders zou je dit resultaat niet krijgen.

Verdiep je toch eens beter in hoe een firewall werkt. Het stoort me als hier onzin verteld wordt. Vooral als dit door iemand gebeurd waarvan iedereen verwacht dat hij het wel weet.

Als je denkt dat er fouten in dat specifieke onderwerp zitten, dan graag expliciet uitleg, correctie en onderbouwing in het waarom.

Misschien bedoelen we wel hetzelfde??  Maar bezig je niet het juiste taalgebruik / uitleg met wat je "bedoeld" te schrijven??
En praten we op die manier langs elkaar heen.

[Babylonia]

Ok, het werkt, alles verwijderd en de regels even opnieuw aangemaakt, even vanaf schratch..

Dat is altijd een goede werkwijze als je er in eerste instantie niet uitkomt.

Regel 1 Alles open voor lan. (Wellicht ook niet nodig?)

Jawel, beter wel te doen, want buiten een aantal door jouw benoemde services,
benut je binnen het LAN-verkeer wellicht ook nog services, die minder op de voorgrond treden, maar beslist actief zijn.
Zoals NetBIOS / SMB gerelateerde services.  Doorloop het lijstje eens van gebruikte poorten.

https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

En omdat je als laatste een regel gebruikt, om verder alles te weigeren, zou je zonder die eerste regel jezelf kunnen buitensluiten.
(Dat is overigens een fundamenteel verschil met de Firewall regels zoals gebruikt in de NAS, en die van een Synology router).

[Ray308]

Ik bedoelde met de eerste regel eigenlijk, of ik ook daar de boel enigsinds   zou moeten beperken, of zoals nu, gewoon alles open voor mijn LAN netwerk. (Ik bedoelde niet, de hele
regel niet gebruiken, dan sluit je jezelf inderdaad/uiteraard buiten)

Had ik niet helemaal goed omschreven.

[Babylonia]

Ik denk dat beperken binnen je eigen LAN misschien wat ver gaat?
Maar ligt mogelijk ook aan je huisgenoten hoe strict zij met zaken omgaan?

Als het gaat om veiligheid ten aanzien van bijv. virussen / malware zou je bijv. bij connectie met de NAS via "de verkenner",
de toegangsgegevens beter "niet kunnen opslaan", en telkens handmatig inloggen (en uitloggen na gedane arbeid).

Ik ken namelijk wel een voorbeeld met een open verbinding tussen een laptop met een NAS.
Waarbij alle data op de latop werd versleuteld via malware / virus, en vervolgens ook de shares op de NAS.
(Niet de partities waar de DSM firmware zelf op stond).
Dus het gevaar kwam niet rechtstreeks van buiten naar de NAS, maar intern via  "het LAN"  door een besmette laptop.