firewall tutorial gevolgd, paar vragen

[stapper]

hallo,

Via Spacerex een tutorial gevolgd voor een simpele firewall.
Ben er zelf niet in thuis, snap er ook niet echt veel van, maar dacht die gast snijd altijd wel hout, veel van geleerd.
Voor zover ik kan zien werkt alles prima.

Paar vragen: Binnenkort zit ik een tijdje in laos, Vietnam en Thailand.
Bij regel 4 kan ik dus gewoon die 2 landen die daar nog niet staan toevoegen?
Hoe weet ik 100% zeker dat alles werkt als ik daar ben?

Vriend van me belde gister kon niet bij de drive map komen, heeft dat hier mee te maken? Anders zoek ik even verder.

Ik snap dat een firewall nog heel wat veiliger kan en beter, maar heeft dit zo allemaal wat zin? Want ik volg gewoon die tutorial, maar snappen nou nee, niet echt.

bvd

[Babylonia]

Paar vragen: Binnenkort zit ik een tijdje in Laos, Vietnam en Thailand.
Bij regel 4 kan ik dus gewoon die 2 landen die daar nog niet staan toevoegen?
Hoe weet ik 100% zeker dat alles werkt als ik daar ben?

Inderdaad toevoegen.
Zolang het niet door iemand daar daadwerkelijk wordt gecontroleerd, weet je dat eigenlijk nooit voor 100% zeker.
Je mag hopen dat de door Synology gehanteerde "regio" database klopt.
(Zelf met contacten uit buitenland:  Taiwan - Engeland - Schotland - Australië,  daar in ieder geval nooit problemen mee gehad).

Als voorbereiding op dat verblijf daar, heb je in die landen daar ook reeds bestaande contacten?
Dan zou je met de instellingen nu, die contacten kunnen vragen met jou NAS contact te leggen.

Dat een vriend niet via Drive kan inloggen.  Weet niet of er dat mee te maken heeft?
Waar woont die vriend, en is de toegang m.b.t. "Drive" in je firewall geregeld?
Zijn de poorten op juiste wijze doorgestuurd in een router?
Gebruikt hij de juiste inlog gegevens?

Voor meer uitleg m.b.t. firewall regels "Nederlands" zie  < DEZE uitleg >.
Wel geschreven voor een Synology router, maar basis principe is vergaand vergelijkbaar met de firewall van een NAS.

Onderaan de eerste reactie diverse verwijzingen naar specifieke voorbeelden voor een NAS.

[Birdy]

Als je een VPN Provider hebt (op je telefoon), dan zou je een verbinding kunnen maken met Laos, Vietnam en Thailand en kijken of je dan nog op de NAS kunt komen met je telefoon zonder WiFi.

[stapper]

Hallo (beide)

Dus die firewall zoals ik het hier heb gedaan, is best wel aardig begrijp ik?
Ik snap het wel wat, maar die range met die IP nummers snap ik geen bal van 

Drive werkte altijd, die vriend woont hier...
Maar goed, denk dat het bij hem zit, qua pc's is het niet bepaald heldere henkie..

Ik heb daar geen contacten die bij mijn nas mogen, Gaat erom dat ik erbij kan, anders word ik gek...
Dat van die VPN, stom dat ik  daar zelf niet aandacht, dat heb ik.
ga morgen ff testen

thanks.

[stapper]

Hallo,

Er zit toch iets fout bij die regels....
Die maat van me maakt gebruik van
https://naam.synology.me/video
https://naam.synology.me/Drive/

In mijn router heb ik 2 poorten geforward: gekozen poort 6051 en 443.

Die 2 adressen hierboven heb ik naar mijn telefoon gestuurd
Toen opengetrokken met wifi, dat werkt.
Zonder wifi, doet hij niks en kan hij de inlog pagina's niet bereiken.

Enige wat ik had veranderd was, die tutorial die ik volgde met die firewall.
firewall uitgezet, en alles werkt.

Ik ben niet zo handig met die firewall, snap het een beetje. (zie afbeelding boven)
wat moet ik daar aanpassen zodat dit weer werkt met firewall?

bvd

[Babylonia]

Enige wat ik had veranderd was, die tutorial die ik volgde met die firewall.
firewall uitgezet, en alles werkt.

Ook zonder WiFi?  (Dus via mobiele connectie).

Verder benoem je wel poorten die je hebt doorgestuurd, maar vraag me af of dat de juiste poorten zijn?
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services

Sorry, maar je geeft teveel onsamenhangende / versnipperde (ratjetoe) "halve" informatie  - niet gedetailleerd genoeg.
Waarbij men alle kanten uit kan.  "Ofwel geen gedetailleerd advies mogelijk" waarbij we je kunnen helpen.

[stapper]

@Babylonia

Ik ben volgens mij vrij accuraat met de info, maar als er wat ontbreekt dan hoor ik het graag.
Enige poorten die ik had geforward zijn de 2 die ik noemde. 6051 en 443.

Daarmee werkte alles. Intern als extern.
Nooit geen problemen mee gehad.

Toen ik die tutorial deed werkte alles ook dacht ik, op mijn telefoon heb ik toen wifi uitgezet, en alles wat ik op die telefoon heb staan werkte via de mobiele connectie:

• dsvideo
• dsaudio
• dsfile
• dsnote
• photo

Ik dacht toen alles zit goed, tot die vriend belde
https://naam.synology.me/video
https://naam.synology.me/Drive/
waren bij hem niet meer bereikbaar.

Ik heb dat gecontroleerd op mijn telefoon, met wifi bereikbaar zonder via de mobiele data niet.
Toen die firewall uitgezet, zodat die regels niet meer werden toegepast.
https://naam.synology.me/video
https://naam.synology.me/Drive/
werkten weer via mobiele data.

Vriend gebeld, en dat klopt, daar werkte het dus ook weer.
Dus kennelijk werden die 2 adressen tegen gehouden door die firewall regels.

[stapper]

ps

Als ik naar die lijst kijk, dan klopt dat ook.
5001, is bij mij die gekozen poort 6051

[Birdy]

Toen die firewall uitgezet

Als overall test OK maar, dan weet je nog niet WELKE regel de boel tegenhoud !
Dus, 1 vinkje aan, test, 2 vinkjes aan, test enz.............

[stapper]

Klopt,

alleen dat het 100 % zeker is dat het die firewall is, die het probleem veroorzaakt.
ga ik morgen ff nalopen, ik laat het weten...

[Babylonia]

......
Ik heb dat gecontroleerd op mijn telefoon, met wifi bereikbaar zonder via de mobiele data niet.
Toen die firewall uitgezet, zodat die regels niet meer werden toegepast.
https://naam.synology.me/video
https://naam.synology.me/Drive/
werkten weer via mobiele data.

Dan zit het hem dus in verkeerd ingestelde Firewall regels.
Maar aangezien je diverse services mogelijk onder eenzelfde firewall regel opneemt,
is dat met een schermafdruk voor anderen niet controleerbaar of het ook daadwerkelijk klopt?

(Bekijk je  eerste plaatje   -   met de 4e regel in dat plaatje  "Beheer gebruikersinterfac...." )
Omdat die services (een "lijstje" van ingestelde services ---> een lijst achter elkaar benoemd) niet zichtbaar zijn in je schermafdruk.
De regel aan benodigde informatie wordt namelijk afgebroken met "puntjes" ....   Ofwel "non" informatie.

[stapper]

@Babylonia

Sorry je hebt gelijk, dat was me niet opgevallen

Dit is voor mij materie waar ik weinig van weet.
Dus volgde ik een tutorial van spacerex, die gast weet het altijd wel op een begrijpelijke manier uit te leggen.
Hij zei al dat het wat een globale "standaard" firewall was, maar dan heb je toch wat, ik moet ergens beginnen.

Als ik deze regels toepas dan werkt alles dus, alleen die 2 genoemde adressen worden dan dus ook "buiten gehouden"
Als ik het goed begrijp dan moeten die 2 dus nog toegevoegd worden, boven die onderste regel, die onderste regel zegt dan sluit de rest buiten.

De vragen:

• Hoe voeg ik dat nog toe?
• Qua opbouw, is dit als geheel, om te beginnen wat een zinnige firewall of niet?

Voor mij is dit geheel nieuwe materie, dus hou het qua uitleg zo simpel mogelijk 

bvd

[Babylonia]

Het plaatje nu, geeft een betere indicatie wat allemaal is ingesteld aan services.
Vreemd vind ik echter wel, dat het lijstje aan services dubbel worden benoemd?

Verder heb ik mijn vraagtekens waarom je twee extra (virtuele) LAN netwerken binnen de firewall hebt opgenomen, met een enorm bereik:
(Dat had ik bij het allereerste plaatje in je eerste reactie over het hoofd gezien).

Netwerk benoemd als         10.0.0.0   maar met subnet masker 255.0.0.0
Dat inhoudt, IP starten bij   10.0.0.1   en eindigen bij IP   10.255.255.254   als bruikbare hosts.
Ofwel  16.777.214  LAN IP nummers  --->   ter controle zie datgene wat je hebt ingesteld via ingave in een IP calculator

Idem met het andere IP bereik:
Netwerk benoemd als         172.16.0.0   maar met subnet masker 255.240.0.0
Dat inhoudt, IP starten bij   172.16.0.1   en eindigen bij IP   172.31.255.254   als bruikbare hosts.
Ofwel  1.048.574  LAN IP nummers  --->   ter controle zie datgene wat je hebt ingesteld via ingave in een IP calculator

Het lijkt erop dat je een VPN server op de NAS hebt ingesteld, maar je benut ze niet om van buiten uit een VPN op te zetten.

En dat valt me nu ook pas op, ook het standaard LAN netwerk, met een enorm bereik:
Netwerk benoemd als         192.168.0.0   maar met subnet masker 255.255.0.0
Dat inhoudt, IP starten bij   192.168.0.1   en eindigen bij IP   192.168.255.254   als bruikbare hosts.
Ofwel  65.534  LAN IP nummers  --->   ter controle zie datgene wat je hebt ingesteld via ingave in een IP calculator

Mogelijk komen daar die dubbele service benamingen vandaan?

Eerst maar eens zorgen dat je voor gebruikte LAN netwerken een correct subnet masker gebruikt  ---->  255.255.255.0
om tot een beetje normaal behapbare LAN IP bereiken te komen.   (En NIET gebruikte VLAN netwerken, verwijderen).

[stapper]

Ok dat keep it simpel is niet gelukt 

Ik zei al dat ik een tutorial volgde, waarbij die spacerex natuurlijk een bereik heeft gemaakt dat het globaal gezien bij iedereen werkt.
Ik neem aan dat dit die eerste 3 regels zijn?

Goed voor jou natuurlijk gesneden koek, maar voor mij word het even een ander verhaal.
Ik snap dan ook totaal niet, wat ik nu exact moet doen, om die regels goed te krijgen.

Geen idee of dat aan mij ligt, maar als je hier niet in thuis bent dan kom je hier niet uit.
Ik denk dat ik die firewall maar laat varen.

Verder heb ik alles qua beveiliging wel volgens het boekje gedaan, en daar vertrouw ik dan verder maar op.
Hier ga ik niet uitkomen.

In ieder geval iedereen bedankt.

[Babylonia]

Ik zei al dat ik een tutorial volgde, waarbij die spacerex....

Ik snap dan ook totaal niet, wat ik nu exact moet doen, om die regels goed te krijgen.

Je hoeft dat "spacerex" ook helemaal niet te volgen.
In  mijn eerste reactie,  heb ik in de laatste twee alinea's van die reactie een verwijzing gegeven
naar een onderwerp over firewall regels. Compleet met verwijzingen naar voorbeelden voor een NAS.

Lees je dat soort adviezen niet?