Auteur Topic: Firewall regels met dubbele NAT (router achter router)  (gelezen 2383 keer)

Online Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #15 Gepost op: 20 augustus 2022, 15:15:11 »
@Ray308
De laatste regel waarin je alles blokkeert is eigenlijk niet nodig. Want je moet, buiten wat je voor "Alle interfaces" opgeeft, het default gedrag voor elke interface apart definiëren. Als je bijvoorbeeld "LAN" selecteert i.p.v. "Alle interfaces" kun je onderin het scherm aangeven wat de firewall standaard moet doen als aan geen van de voorgaande regels wordt voldaan. Je kunt daar kiezen uit "Toegang toestaan" of  "Toegang blokkeren".

Als je "Toegang blokkeren" kiest geldt dit:
De regels in de firewall worden 1 voor 1 getest, van boven naar beneden. Als 1 van de regels toegang geeft worden de daaropvolgende regels niet meer doorlopen. Is dan ook niet meer nodig want de firewall laat immers de data al door. Je hoeft dus geen blokkeer regels op te geven.

Als je "Toegang toestaan" kiest geldt dit:
De regels in de firewall worden 1 voor 1 getest, van boven naar beneden. Als 1 van de regels toegang blokkeert worden de daaropvolgende regels niet meer doorlopen. Is dan ook niet meer nodig want de firewall blokkeert de data al. Je hoeft dus geen toegang regels op te geven.


Onderstaande komt rechtstreeks uit de DSM help voor de firewall:

Opmerking:
- Met slepen en neerzetten kunt u de regels in de lijst opnieuw rangschikken.
- de prioriteit van de regels wordt bepaald door hun positie in de lijst.


Gedrag van firewellregels
DSM Firewall stemt overeen met regels volgens prioriteit. Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal DSM Firewall hem niet meer afstemmen op resterende regels. Als er geen regels overeenstemmen, zal DSM Firewall de standaardactie uitvoeren die in elke interface is opgegeven.

Prioriteit van firewellregels:
Regels gedefinieerd in "All interface"
Regels gedefinieerd in respectievelijke interfaces waartoe de verbinding behoort
Regels gedefinieerd in respectievelijke interfaces waartoe de verbinding behoort




Zie ook: https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/connection_security_firewall?version=7

Offline Bobo

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 202
  • Berichten: 890
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #16 Gepost op: 20 augustus 2022, 15:17:59 »
Dit vind ik over toepassen van de regels in de Synology Knowledgebase:

Firewall rule behavior
DSM Firewall will match rules according to priority. Once a rule is matched, it will be enforced and DSM Firewall will not continue matching remaining rules. If there are no rules matched, DSM Firewall will perform the default action specified in each interface.


Lijkt mij ook logisch, want als altijd alles gechecked wordt heeft prioritering van de regels geen/weinig zin.
Doorlopen van de volgende regels is wel logisch als eerdere regels niet van toepassing zijn.
De tellers in voorbeeld van Babylonia zijn dan ook verklaarbaar omdat de eerste echte alle-weigeren-regel helemaal onderaan staat en bovenliggende regels 'passeerbaar' zijn.

Maar om het gezellig te houden zoals Nazgul aangaf:
Ik zat in het verleden op een cursus bij Digital. Ging over netwerk en machtigingen: Authorize, authorize en authorize, maar dat was op de verschillende levels niet hetzelfde! Wij aan de studie. Na paar minuten gaf ik aan het te snappen. Docent verbaasd, zo snel. Leg uit vroeg ie. Ik: "Gewoon mazzel als je binnenkomt, dit valt niet snappen! "
-

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #17 Gepost op: 20 augustus 2022, 15:26:01 »
De evaluatie van Firewall regels gaat door tot aan de laatste firewall regel, ondanks eerdere treffers,
en services die helemaal niet worden aangedaan / of niet actief zijn.

Zie bijgaand voorbeeld van de firewall in de router die de daadwerkelijke treffers weergeeft.
Het stopt niet na de eerste treffer met wat je beschrijft, anders zou je dit resultaat niet krijgen.

Dat resultaat uit je plaatje krijg je gewoon bij het stoppen na de eerste hit.

Ik geef hier even een voorbeeld:

....
3: Sta alle poorten uit Nederlend toe
4: Blokkeer alle poorten 80 en 443
...

Wat gebeurd er volgens jou als iemand uit Nederland de website via poort 80 of 443 probeert te bereiken?

Bij regel 3 heb je een treffer en stopt de evaluatie.

Jij beweert echter dat de evaluatie door gaat en dan kom je bij regel 4. Dan krijg je dus weer een hit.

De firewall heeft dan twee tegenstrijdige hits. Regel 3 geeft de instructie om het verkeer door te laten. Regel 4 zegt echter dat het verkeer geblokkeerd moet worden. Wat moet de firewall volgens jou dan doen?

En zeg niet dat dan regel 3 uitgevoerd moet worden, want dan zeg je zelf dat hij bij de eerste hit moet stoppen met evaluatie.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #18 Gepost op: 20 augustus 2022, 16:26:40 »
      Wat gebeurd er volgens jou als iemand uit Nederland de website via poort 80 of 443 probeert te bereiken?

Dan wordt die op basis van die regel doorgelaten.

      Jij beweert echter dat de evaluatie door gaat en dan kom je bij regel 4. Dan krijg je dus weer een hit.

De werking / evaluatie van firewall regels "erna" gaat inderdaad gewoon door, want er is buiten die data nog veel meer data.
Er stopt dus helemaal niets na die regel.  Alleen die data voor poort 80 of 443 is bij regel 3 al doorgelaten en daarmee buiten beeld.
Levert daarmee dan ook geen extra hit meer op. (Heb ik ook helemaal niet beweert).

Maar datzelfde is toch al eens pakweg  7 jaar geleden  < HIER >  -en- < HIER >  ter sprake geweest?
Met naar ikzelf vond een erg aardig "huiselijk" en praktisch te begrijpen voorbeeld.   :wtf:   8)

Op wat meer uitgebreide functies na, vooral nu met de Firewall voor een Synology router, is de basis ervan nog steeds altijd hetzelfde.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline hoorna

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 30
  • Berichten: 149
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #19 Gepost op: 20 augustus 2022, 17:17:59 »
Heren @Babylonia en @Briolet, ik raak wat verward -en waarschijnlijk ook anderen- door de discussie van twee experts over de werking van firewall regels. Ik vraag jullie mede namens alle forumgebruikers om helderheid over hoe firewall regels nu precies werken.

Misschien dat het volgende citaat uit het online Synlogy Knowledge Center voor jullie behulpzaam is om ons de gewenste duidelijkheid te geven. Er wordt daar het volgende gesteld over firewallregels in SRM:
Citaat
"De SRM firewall past regels toe volgens een bepaalde volgorde. Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal SRM firewall hem niet meer afstemmen op resterende regels. U kunt de volgorde van regels wijzigen door belangrijke regels hoger te plaatsen of minder belangrijke regels lager te plaatsen."

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #20 Gepost op: 20 augustus 2022, 17:50:18 »
Meer een interpretatieverschil hoe je dingen beschrijft of je regels "per packet" bekijkt
of meer een algemene beschrijving van alle opgenomen firewall regels in de visualisatie van het begrip.
Waarbij we wellicht hetzelfde bedoelen, maar onhandig Nederlands gebruiken, en dit dan een eigen leven gaat leiden.
Dan mogelijk meer onbegrip naar elkaar gaat opleveren dan begrip.

De dik gedrukte tekst met wat je aanhaalt komt overeen met wat ik hiervoor al schreef:

      Alleen die data voor poort 80 of 443 is bij regel 3 al doorgelaten en daarmee buiten beeld.

Het sluit aan met wat 7 jaar terug ook al is beschreven. Eveneens daarin de volgorde van regels.
(Voorbeelden met rode kersen en groene appels...).

Ik vraag jullie mede namens alle forumgebruikers om helderheid over hoe firewall regels nu precies werken.

Inmiddels ook al weer een wat ouder onderwerp, vanuit de werking van een Synology router.
Maar vergelijkbare basis principes gelden ook voor een NAS, alleen minder diepgaand, en daarbij alleen voor inkomend verkeer.

https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656

Als mensen conflicten daarin tegen komen met wat niet zou kloppen, hoor ik het graag.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Bobo

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 202
  • Berichten: 890
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #21 Gepost op: 20 augustus 2022, 18:14:32 »
Kort samengevat:
Natuurlijk gaat het telkens over een pakket met data en niet over alle data die het komende uur binnenkomt.
Elk pakket wordt vanaf regel 1 door de firewall gehaald.
Elk volgend pakket begint weer opnieuw bij regel 1.
Zodra een regel voor dat pakket van toepassing is, wordt die regel uitgevoerd.
Daarna stopt voor dat pakket de firewall-controle van de navolgende regels.
-

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Firewall regels met dubbele NAT (router achter router)
« Reactie #22 Gepost op: 22 augustus 2022, 10:49:25 »
Zie https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/connection_security_firewall?version=7

Ergens onderaan:

Citaat
Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal DSM Firewall hem niet meer afstemmen op resterende regels. Als er geen regels overeenstemmen, zal DSM Firewall de standaardactie uitvoeren die in elke interface is opgegeven.
Zoals ik het lees:
Zodra een regel overeenkomt stopt verdere evaluatie van die situatie. ("niet meer afstemmen op.....")
De vervolgregels mogen wellicht 'gelezen' worden, maar er wordt niets mee gedaan omdat er al 'een hit' is geweest. Effectief gezien stopt dus verdere evaluatie.

Ik hoop dat de (zinvolle!!!) discussie hiermee een juiste antwoord vind.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

firewall & UDP Broadcast

Gestart door aliazzzBoard Synology Router

Reacties: 19
Gelezen: 1660
Laatste bericht 13 mei 2024, 10:54:39
door Babylonia
Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 4144
Laatste bericht 27 december 2013, 11:30:03
door TonVH
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1864
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Firewall Geo blok

Gestart door jacobusBoard Overige software

Reacties: 16
Gelezen: 4929
Laatste bericht 26 maart 2017, 17:56:37
door Briolet
Firewall logs??

Gestart door paheveBoard Synology Router

Reacties: 6
Gelezen: 1022
Laatste bericht 03 januari 2024, 15:09:16
door Birdy