standard firewallbeleid

[scootfan]

Als  ik security advisor mijn systeem laat checken staan alle items op 'goed' (100%). Echter bij nazicht van de details is er één rood driehoekje nl 'standaardfirwallbeleid staat op toestaan voor interfaces met openbare IP'.  Via de link kan je dan naar configuratiescherm/beveiliging/firewall.   Ik veronderstel dat ik iets moet aan passen in het default firrewallprofiel, maar wat exact? Ik heb trouwens een eigen gemaakt profiel als actief gezet.

[Babylonia]

Kennelijk zijn bepaalde services openbaar via het web benaderbaar.
Kun je een schermafbeelding maken van je Firewall regels?

[Plerry]

... 'standaardfirwallbeleid staat op toestaan voor interfaces met openbare IP'. ...

Dit betekent slechts dat er in de firewall van je NAS niets is ingesteld dat toegang vanaf publieke IP's uitsluit.
Het betekent echter nog niet dat je een probleem hebt.
Wanneer in je router geen forwards staan ingesteld waarmee van buitenaf binnnenkomend verkeer op je NAS terecht komt,
en wanneer daarnaast in je router UPNP uit staat, dan kan er nog steeds weinig mis gaan.

[Pippin]

Waarschijnlijk, "Als niet aan de regels wordt voldaan dan toegang weigeren" niet aangevinkt/ingesteld?

[Briolet]

Ik heb ook ingesteld om "Als niet aan de regels wordt voldaan dan toegang toestaan", Toch krijg ik die waarschuwing niet.

Wel is het zo dat mijn laatste firewall regel, alles dichtgooit wat niet expliciet open gezet is.

[Pippin]

Wel is het zo dat mijn laatste firewall regel, alles dichtgooit wat niet expliciet open gezet is.

Dat is wat "Als niet aan de regels wordt voldaan dan toegang weigeren" doet, met het verschil dat "de laatste regel" alleen voor het betreffende profiel geldt en "Als niet aan de regels wordt voldaan dan toegang toestaan" voor de betreffende interface/LAN poort.
Maar dubbel kan geen kwaad.

[scootfan]

Waarschijnlijk, "Als niet aan de regels wordt voldaan dan toegang weigeren" niet aangevinkt/ingesteld?

  Idd goed mogelijk maar ik kan me niet voorstellen waar ergens ik die optie kan instellen.

[Pippin]

In DSM 5.x rechtsboven dropdown menu kun je een interface kiezen, LAN 1/LAN 2/Bond 1/etc.
Op DSM 6 weet ik niet maar ik vermoed soortgelijk, even zoeken.

[Babylonia]

Afhankelijk wat je kiest als optie hebben die Firewall regels een andere instelling / werking.
Zie een eerder draadje daarover met afbeeldingen < HIER >
Vanaf:  Let op de twee verschillende benaderingswijzen onderaan het scherm van "Alle interfaces"......

[scootfan]

Allemaal bedankt voor jullie insteek.  Voor mij is dit vrij complexe materie, maar niet onoverkomelijk en het moet ook maar één keer gebeuren.   Ik ga het in detail bekijken op een rustiger moment, dat dat zal nodig zijn

De selector waar ik mijn fw regels heb ingesteld in DSM 6.0 staat idd op 'alle interfaces'. Dus staat er onderaan dat bizarre zinnetje "als geen regels 'in alle interfaces' overeenkomen worden alle regels in elke interface op elkaar afgestemd".
Dat zinnetje heeft me al kopbrekens bezorgd 

[Pippin]

zinnetje "als geen regels 'in alle interfaces' overeenkomen worden alle regels in elke interface op elkaar afgestemd".

Ja, de omschrijvingen van Synology zijn niet altijd je van het
DS216play heeft 1 LAN poort, LAN 1.
Met interface wordt bedoelt LAN 1.
In dit gestolen voorbeeld zie je meer interfaces, bij jouw zal dat er anders uitzien:

Daar selecteer je LAN 1 en dan wordt "Indien niet voldaan wordt aan de regels: Toegang weigeren" zichtbaar.

Als "Toegang weigeren" tot gevolg heeft dat je jezelf blokkeert krijg je daar een melding van en moet je je regels goed nakijken.

[Babylonia]

Als je "Alle interfaces" gebruikt, en dan die onderste keuze niet ter beschikking hebt, kun je zoals in die eerdere verwijzing onderaan beschreven, die functie nog wel op een andere wijze bewerkstelligen:

Die rood omkaderde  benadering is fundamenteel verschillend bij "Alle interfaces" en apart "per interface".
Door een laatste extra regel toe te voegen bij het eerste plaatje hierboven, met  Alles - Alles - Alles ---> Weigeren,
krijg ik daarmee dezelfde functionaliteit, als het rondje aan de rechterkant aanvinken helemaal onderaan bij de optie apart per interface.