Auteur Topic: volgorde firewall regels  (gelezen 6253 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.540
Re: volgorde firewall regels
« Reactie #15 Gepost op: 15 april 2018, 18:46:37 »
2. Koop alleen appels uit Israël

Strikt genomen bestaat het equivalent van "alleen" niet op de nas. Om exact dit in te stellen heb je op de nas twee regels nodig:

2a. Koop appels uit Israël
2b. Koop geen appels.

Zo heb ik ook meerdere van mijn regels opgebouwd.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline spikehome

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 43
  • Berichten: 329
Re: volgorde firewall regels
« Reactie #16 Gepost op: 15 april 2018, 18:57:20 »
Firewall werkt simpel.
Eerst alles regels erin die je wilt.
De laatste blokkeert alles.

Zolang het mag word er naar de volgende regel gekeken.
Zodra iets niet mag stopt het.
  • Mijn Synology: DS1220+
  • HDD's: 2x 1TB ssd
  • Extra's: 4GB
Synology 220+ 2x1TB ssd 6gb ram (in use)
Synology 1511 5x2TB en 3gb ram (in use)
qnap ts-509 met 5x500gb raid5 4gb ram last firmware (in use)
qnap ts-509 5x1000gb raid5 1gb ram last firmware (in use)
HD Dune Prime (mediaplayer) 500gb (bijna niet in gebruik meer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.540
Re: volgorde firewall regels
« Reactie #17 Gepost op: 15 april 2018, 23:33:15 »
Citaat
Zolang het mag word er naar de volgende regel gekeken.

Mensen snappen er toch blijkbaar minder van dan ik dacht. Als het mag (of beter: als een treffer is), wordt er niet naar een volgende gekeken, maar stopt de evaluatie. Het mag namelijk al (of juist niet), dus is er geen reden om verder te kijken.

Kijk naar mijn voorbeeld 2a hierboven. Als 2a klopt, wordt er niet eens meer naar 2b gekeken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 899
  • -Ontvangen: 1479
  • Berichten: 7.924
Re: volgorde firewall regels
« Reactie #18 Gepost op: 15 april 2018, 23:41:44 »
Ik gebruik regels juist ook wel eens andersom ;)

2a. Koop geen appels uit Israël, Frankrijk en Spanje
2b. Koop appels.

Praktisch gezien komen de appels dan overal vandaan, behalve uit de drie genoemde landen ;)
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: volgorde firewall regels
« Reactie #19 Gepost op: 16 april 2018, 00:53:09 »
Het fruit is voor mij moeilijk te verteren dus voor een NAS geldt:

In de firewall onder Regels bewerken vindt men rechtsboven een drop-down menu waar de interfaces staan.

Een LAN poort is een interface.

Een Bond is een interface.
Indien er een Bond is gemaakt van LAN poorten verschijnt deze in het drop-down menu als Bond 1.
De LAN poorten die voor een Bond zijn gebruikt verdwijnen uit het drop-down menu.

Indien er gebruik gemaakt wordt van VPN verschijnt deze ook in het drop-down menu.

In het drop-down menu vindt men ook Alle interfaces, dat betekent precies wat er staat.

Er kunnen er meer staan/tevoorschijn komen afhankelijk van configuratie, werking is hetzelfde wat dat betreft.


Wat belangrijk is om te weten/begrijpen is dat de firewall`s default chain policy ACCEPT (Toestaan) is.
Dit houd in dat er dus eerst regels gemaakt moeten worden van wat men specifiek wil blokkeren/toestaan om als laatste alles te blokkeren.
Blokkeren doet men onderaan het scherm van de specifieke interfaces, Indien niet voldaan wordt aan de regels: Toegang weigeren.


De volgorde die wordt afgewerkt door de firewall met betrekking tot interfaces:
1. Regels op Alle interfaces.
2. Regels op LAN poorten op volgorde, eerst LAN 1 dan LAN 2, etc.
2a. Regels op Bonds op volgorde, eerst Bond 1 dan Bond 2.
3. Regels op VPN.

Regels worden van boven naar beneden gelezen.
Als een regel treft stop de verwerking van volgende regels (technisch niet helemaal correct maar voor de werking wel).
Regels gelden uitsluitend voor inkomend verkeer en doorgaand verkeer.
Voor uitgaand verkeer kunnen geen regels gemaakt worden.

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 899
  • -Ontvangen: 1479
  • Berichten: 7.924
Re: volgorde firewall regels
« Reactie #20 Gepost op: 16 april 2018, 06:30:33 »
Als aanvullende opmerking op:

Regels gelden uitsluitend voor inkomend verkeer en doorgaand verkeer.
Voor uitgaand verkeer kunnen geen regels gemaakt worden.

Dat geldt alleen voor een Firewall zoals gebruikt in de NAS (en door de meeste mensen op dit forum als zodanig bedoeld als in te stellen Firewall).

Het onderwerp staat in dit geval specifiek onder de rubriek "netwerk algemeen".
Mocht je de Firewall opties van een Synology router willen instellen, kun je tevens ook uitgaand verkeer regelen. (Extra kolom met "Doel-IP").
Gelden niet de aparte interfaces voor VPN, LAN1, LAN2 of een bond. Maar in dat geval verschil tussen IPv4 en IPv6 (of beiden).
En heb je onderaan nog wat extra opties m.b.t. IPv4 en IPv6 in relatie tot verkeer "tot" de router of er voorbij (indien port forwarders ingesteld).

Bij een NAS "kun je" de aparte interfaces gebruiken, maar doorgaans voor de meeste gebruikte regels is het niet noodzakelijk om dat te doen.
Voor het overzicht heb ik dat zelf bijv. allemaal onder "Alle interfaces" ondergebracht. Ook die van VPN. Sluit het meer aan met de Firewall zoals gebruikt in de router. (Bij de NAS gebruik ik slechts één LAN-poort van de twee).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: volgorde firewall regels
« Reactie #21 Gepost op: 16 april 2018, 13:04:07 »
Mijn vorige post geldt inderdaad voor een NAS, had ik moeten vermelden.
@André PE1PQX heeft volgens zijn handtekening geen Synology router.


Waar men de regels neerzet, Alle interfaces of de individuele interfaces (LAN/Bond/VPN).

Omwille van correctheid, begrip van de werking en efficiëntie in de zin van CPU last maak ik alleen regels op individuele interfaces want regels op Alle interfaces schrijft daadwerkelijk alle regels op LAN/Bond/VPN.
Nu kun je je voorstellen dat een regel voor het VPN niets te zoeken heeft op LAN/Bond. Andersom is natuurlijk ook zo.

Mijn advies zou dus zijn, zet de regels daar waar ze nodig zijn.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.353
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: volgorde firewall regels
« Reactie #22 Gepost op: 16 april 2018, 13:10:19 »
Ik heb i.d.d. geen Syno router.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 899
  • -Ontvangen: 1479
  • Berichten: 7.924
Re: volgorde firewall regels
« Reactie #23 Gepost op: 16 april 2018, 13:14:19 »
@André PE1PQX heeft volgens zijn handtekening geen Synology router.

Maar mogelijk andere gebruikers die het forum en het onderwerp lezen wel.  Daar zijn die berichten toch ook voor bedoeld?
Het is een algemene kennisbank "voor iedereen".
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline spikehome

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 43
  • Berichten: 329
Re: volgorde firewall regels
« Reactie #24 Gepost op: 16 april 2018, 22:42:24 »
Nou ik heb diverse firewall's gedraaid
Altijd eerst alle regels erin die je toestaat en dan block regels.

Verstuurd vanaf mijn Nexus 7 met Tapatalk

  • Mijn Synology: DS1220+
  • HDD's: 2x 1TB ssd
  • Extra's: 4GB
Synology 220+ 2x1TB ssd 6gb ram (in use)
Synology 1511 5x2TB en 3gb ram (in use)
qnap ts-509 met 5x500gb raid5 4gb ram last firmware (in use)
qnap ts-509 5x1000gb raid5 1gb ram last firmware (in use)
HD Dune Prime (mediaplayer) 500gb (bijna niet in gebruik meer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.540
Re: volgorde firewall regels
« Reactie #25 Gepost op: 16 april 2018, 23:07:33 »
Dat is echt geen regel dat je eerste moet toestaan.

Probeer maar eens de SMTP poort voor de hele wereld open te zetten met uitzondering van China. Dan zul je toch eerst een blockregel moeten toepassen en daarna pas een toestaan regel.

Als je dat doet met toestaan als eerste, kan dat, maar je moet dan eerst alle IP blokken in de wereld uitpluizen die niet in China liggen. Het kan, maar eerst blokken dat je wilt uitsluiten is dan echt een stuk simpeler.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: volgorde firewall regels
« Reactie #26 Gepost op: 16 april 2018, 23:08:25 »
Een veel simpeler voorbeeld:
Denk je dat dat werkt met deze regels?
40494-0
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

VERPLAATST: Volgorde van werken/kopiëren, hoe?

Gestart door BrioletBoard NAS hardware vragen

Reacties: 0
Gelezen: 264
Laatste bericht 10 maart 2023, 14:49:19
door Briolet
HP Deskjet 950 print in omgekeerde volgorde

Gestart door apekaBoard Externe harddisks en Printers

Reacties: 5
Gelezen: 4810
Laatste bericht 24 september 2008, 19:44:28
door apeka
DS Audio: soms album tracks in alfabetische volgorde ?!?

Gestart door RepelstaleBoard Audio Station

Reacties: 6
Gelezen: 3578
Laatste bericht 03 augustus 2012, 21:55:11
door TheTouch
Beste volgorde/stappenplan om schijven te vervangen in DS211+

Gestart door zotteke1Board NAS hardware vragen

Reacties: 8
Gelezen: 2764
Laatste bericht 19 februari 2014, 09:10:44
door Robert Koopman
Track volgorde issue

Gestart door pvcBoard Audio Station

Reacties: 7
Gelezen: 3425
Laatste bericht 12 april 2015, 09:34:05
door pvc