Auteur Topic: volgorde firewall regels  (gelezen 6298 keer)

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.358
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
volgorde firewall regels
« Gepost op: 14 april 2018, 23:16:12 »
Even een vraag voor mijn eigen duidelijkheid:

De firewall regels is op volgorde van invullen als ik de knowledge base goed begrijp.
Dan is het toch te adviseren om eerst alles te blokkeren (poorten, IP-adressen en applicaties) om verbolgens per poort, toepassing en/of IP-adres/IP-range het één en ander toe te staan?

Dus "block all first, allow some next"?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.553
Re: volgorde firewall regels
« Reactie #1 Gepost op: 15 april 2018, 00:11:41 »
Tja, als het op volgorde is en je begint met alles dichtzetten…
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.954
Re: volgorde firewall regels
« Reactie #2 Gepost op: 15 april 2018, 01:22:05 »
M.b.t. een volgorde heb ik wel eens eerder ooit een voorbeeld gegeven met rode kersen en groene appels  ;)
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.358
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: volgorde firewall regels
« Reactie #3 Gepost op: 15 april 2018, 09:43:49 »
Is me inmiddels duidelijk; eerst enkelen toelaten en als laatste alles verbieden.
Bedankt!
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.553
Re: volgorde firewall regels
« Reactie #4 Gepost op: 15 april 2018, 10:18:36 »
De firewall stopt met controleren van volgende regels als hij een treffer heeft. Zo voorkomt hij conflicterende regels. ;)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.954
Re: volgorde firewall regels
« Reactie #5 Gepost op: 15 april 2018, 13:00:53 »
Dat lijkt me een beetje te kort door de bocht.
Er zou best een firewall regel bij kunnen zijn die praktisch gezien "geen functie heeft" (overbodig is) met een voorgaande regel, maar de daarop volgende regels kunnen evengoed wel weer functioneel zijn. Die worden toch echt alsnog meegenomen als geldende Firewall regels.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: volgorde firewall regels
« Reactie #6 Gepost op: 15 april 2018, 13:15:54 »
Weet niet of ik bergrijp wat je bedoelt, maar de stelling van Briolet is echt juist.
Als iets aan een firewall regel voldoet stopt het evalueren meteen en worden de volgende regels niet meer geëvalueerd

Dus als je een regel hebt die iets blocked zal de volgende regel die iets tegenstrijdigs doet echt niet van toepassing worden.
Dus als je als eerste regel iets van "block all" zet kom je nergens meer bij wat er ook op de volgende regels staat.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.954
Re: volgorde firewall regels
« Reactie #7 Gepost op: 15 april 2018, 13:39:04 »
Het is inderdaad duidelijk dat je niet begrijpt wat ik bedoel, en ook de stelling van Briolet daarmee te kort door de bocht is.

2e voorbeeld iets verder in de eerdere verwijzing die ik gaf.
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887

"Nu een boodschappenlijstje waarbij die volgorde WEL belangrijk is in de uitvoering wat er werkelijk gebeurt,
waarbij ik stel dat je het lijstje van boven naar beneden moet uitvoeren.
- Koop geen fruit uit Spanje
- Rode kersen uit Spanje
- Groene appels uit Nederland

Je snapt dat de tweede regel in conflict is met de eerste regel. Je komt alleen met groene appels thuis.
"

De 3e regel wordt evenwel gewoon uitgevoerd.
Het is niet zo dat met dat voorbeeld de regels "stoppen" bij de 2e regel.
Nu is dit een zeer plastisch voorbeeld met een boodschappenlijstje in een winkel.
Maar de functionaliteiten van de Firewall in een NAS werken precies zo, en zijn ermee te vergelijken.

Het is dus zeker wel belangrijk hoe de regels zijn opgesteld en goed te doordenken hoe je de volgorde vastlegt.
Het een kan afhangen van het ander, maar het is niet vanzelfsprekend dat het lezen van de regels na een conflict "stopt".
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: volgorde firewall regels
« Reactie #8 Gepost op: 15 april 2018, 13:54:56 »
Blijkbaar snap je de regels toch niet zo goed.
Je geeft een voorbeeld van drie verschillende items en zegt dat ze allemaal geevalueerd worden, wat uiteraard het geval is.

Wat Briolet en ik zeggen is dat als je in de eerste regel zegt "koop geen Fruit" dan alle overige regels er niet meer toe doen.
Als eronder staat "koop appels uit Nederland", dan krijg je echt geen appels.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.954
Re: volgorde firewall regels
« Reactie #9 Gepost op: 15 april 2018, 13:59:55 »
Wat Briolet en ik zeggen is dat als je in de eerste regel zegt "koop geen Fruit" dan alle overige regels er niet meer toe doen.
Als eronder staat "koop appels uit Nederland", dan krijg je echt geen appels.

Maar als eronder zou staan "koop groente uit Israël",  wordt dat alsnog uitgevoerd. (Dat is namelijk geen fruit).
Het hangt dus heel sterk af wat je in de regels vastlegt.  Er is geen algemene "stop" dat regels niet meer worden gelezen na een eerste conflict.

Het kan best zijn dat opvolgende regels geen geldig resultaat meer opleveren, omdat de regel ervoor dat reeds heeft afgeblokt.
Dat volgt echter uit de vergelijking van die regels. Niet dat de Firewall er verder mee "stopt" na het lezen van een conflict.
Regels worden gewoon in volgorde tot aan de laatste regel uitgevoerd "geldend aan de voorwaarden van die regels".

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.553
Re: volgorde firewall regels
« Reactie #10 Gepost op: 15 april 2018, 14:35:24 »
Maar als eronder zou staan "koop groente uit Israël",  wordt dat alsnog uitgevoerd. (Dat is namelijk geen fruit).

Je hebt het blijkbaar toch niet gesnapt. Als het geen fruit was dan gaf de eerdere regel "Koop geen fruit" ook geen treffer en gaat de evaluatie verder en komt bij deze regel aan.

Er zit ook geen logica in om verder te evalueren als je een treffer hebt. Het enige wat nog kan gebeuren is dat je een conflict krijgt. En wat dan? Je kunt dan beter direct stoppen met evalueren.

Hetzelfde geldt bij het evalueren van een IF statement bestaande uit meerdere OR gekoppelde statements. Als er één geldig is, doet de erna komende rest er niet meer toe. Dus zelfs als er een 'gedeeld door 0" in de tweede check staat, zal het programma niet crashen, zolang de eerste geldig blijft.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.358
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: volgorde firewall regels
« Reactie #11 Gepost op: 15 april 2018, 14:40:27 »
Simplistisch uitgelgd als ik het goed begrijp uit voorgaand relaas:

1. Koop geen fruit!
2. Koop alleen appels uit Israël Dit mag niet, conflict met regel 1 omdat appels = fruit
3. Koop geen groente uit Rusland
4. Koop spinazie uit Spanje Dit mag wel, omdat de spinazie niet uit Rusland maar uit Spanje komt en het is geen fruit!
5. de rest mag niet!
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.553
Re: volgorde firewall regels
« Reactie #12 Gepost op: 15 april 2018, 14:44:42 »
Nee, 2 geeft geen conflict omdat evaluatie al bij 1 stopt als het fruit betreft. En als het geen fruit is, is het alleen een zinloze toevoeging.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.358
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: volgorde firewall regels
« Reactie #13 Gepost op: 15 april 2018, 14:47:59 »
Ik vraag me dat af, omdat appels = fruit, maar fruit is nog geen appel (kan ook bananen of peren of.... zijn)
Volgens jouw bewering zouden regeltjes 2 en verder ook geen nut hebben als het om groente EN fruit zou gaan.

Ik denk dat conflicterende regels wel worden geevalueerd, maar niet uitgevoerd worden wegens dat conflict.
Vervolgens door naar de volgende regel...?
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.954
Re: volgorde firewall regels
« Reactie #14 Gepost op: 15 april 2018, 14:57:21 »
Ik denk dat conflicterende regels wel worden geevalueerd, maar niet uitgevoerd worden wegens dat conflict.

Het wordt met het voorbeeld met 2 regels gewoon uitgevoerd binnen de regels op volgorde van die vergelijking wat praktisch gezien in dat geval niets oplevert. (Kun je die tweede regel dan inderdaad gewoon weglaten, want het levert voor dat stukje niets op).
Dus je voorbeeld.

1. Koop geen fruit!
2. Koop alleen appels uit Israël Dit mag niet, conflict met regel 1 omdat appels = fruit


Dat mag je best zo scrhijven.  Het levert voor regel 2. alleen niets op.  (Kun je dan net zo goed weglaten).

Vervolgens door naar de volgende regel...?

Precies.
Dus de Firewall bewerkingen zijn met het voorgaande niet gestopt, maar gaan gewoon verder met de regels die volgen t/m de laatst regel.

In je voorbeeld gaat het dus gewoon verder met...

3. Koop geen groente uit Rusland
4. Koop spinazie uit Spanje Dit mag wel, omdat de spinazie niet uit Rusland maar uit Spanje komt en het is geen fruit!
5. de rest mag niet!


Ondanks dat de eerdere regel 2. er mogelijk nog gewoon bijstaat.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

VERPLAATST: Volgorde van werken/kopiëren, hoe?

Gestart door BrioletBoard NAS hardware vragen

Reacties: 0
Gelezen: 278
Laatste bericht 10 maart 2023, 14:49:19
door Briolet
HP Deskjet 950 print in omgekeerde volgorde

Gestart door apekaBoard Externe harddisks en Printers

Reacties: 5
Gelezen: 4824
Laatste bericht 24 september 2008, 19:44:28
door apeka
DS Audio: soms album tracks in alfabetische volgorde ?!?

Gestart door RepelstaleBoard Audio Station

Reacties: 6
Gelezen: 3588
Laatste bericht 03 augustus 2012, 21:55:11
door TheTouch
Beste volgorde/stappenplan om schijven te vervangen in DS211+

Gestart door zotteke1Board NAS hardware vragen

Reacties: 8
Gelezen: 2780
Laatste bericht 19 februari 2014, 09:10:44
door Robert Koopman
Track volgorde issue

Gestart door pvcBoard Audio Station

Reacties: 7
Gelezen: 3438
Laatste bericht 12 april 2015, 09:34:05
door pvc