Synology-Forum.nl
Packages => Officiële Packages => Topic gestart door: JJW op 09 mei 2017, 14:04:25
-
Hoi,
Voor het backuppen van websites gebruik ik SFTP op de DS413. Ik heb 'auto block' aanstaan, en zie gemiddeld zo'n 100 pogingen p/dag om in te loggen. Nu ben ik daar wat flauw van en heb ik de firewall instellingen aangepast. Ik heb dit zo ingesteld dat 'Encrypted Terminal Service (rsync/SFTP)' over poort 22 alleen wordt toegestaan vanuit Regio Nederland.
Nu zie ik echter in de meldingen dat de geblockte IP adressen nog overal ter wereld vandaan komen, en niet alleen uit NL zoals ik verwacht had. Wat is jullie ervaring met de regio optie in de firewall?
-
Die meldingen blijf je krijgen natuurlijk. Want de IP's worden pas geblokt nadat ze de firewall bereikt hebben.
Een andere, in mijn ogen betere, optie is om een niet-standaard poortnummer te gebruiken voor SFTP.
-
Dan is de terminologie in de melding wellicht verwarrend, want ik lees hieruit dat de 'bezoeker' nog steeds twee inlogpogingen gedaan heeft. Terwijl - als de firewall regels toegepast zouden worden - deze uberhaupt niet de mogelijkheid zou moeten krijgen om een inlogpoging te doen:
The IP address [186.58.148.113] experienced 2 failed attempts when attempting to log into SSH running on NASIII within 60 minutes, and was blocked at Tue May 9 14:12:42 2017.
Ik zal de tip om de poorten aan te passen eens onderzoeken, dank
-
Die meldingen blijf je krijgen natuurlijk. Want de IP's worden pas geblokt nadat ze de firewall bereikt hebben.
Nee, bij goed ingestelde firewall regels, blijven de meldingen weg omdat je niet aan inloggen toekomt. De pogingen komen natuurlijk wel in het gewone log.
In mijn mail log zie ik steeds evenveel regels met inlogpogingen, als ik toesta. Daarna staan er alleen nog connections in het log, geen inlogpogingen meer.
Ik verwacht hier echter dat de firewall niet goed geconfigureerd is, want normaal werkt die regioblok gewoon goed.
@JJW, Maar waarom een regioblok? Als het websites zijn, zullen ze vast wel een fixed IP hebben. Sta dan alleen die IP's toe in je firewall.
-
Ja, dat is ook een optie. Alleen gaat het om redelijk wat sites vanaf verschillende servers. Die wel allemaal in NL staan. Vandaar dat de regio-optie een uitkomst leek. De meeste ongewilde bezoekers komen niet uit NL namelijk...
Het aanpassen van de poort zoals @Hofstede voorstelde werkt niet, omdat vanuit apache nog steeds een connectie op poort 22 wordt gedaan. Die vervolgens in mijn router wordt vertaald naar een andere willekeurige poort. Op de router staat 22 dus alsnog open en genereert verkeer...
Ik ga een avondje IP adressen intikken in de whitelist/firewall!
-
De nl regio blok behoort eigenlijk goed te werken.
Het zijn twee regels:
1) NL: poort 22 toestaan
2) Alles: poort 22 weigeren
Ik heb zo'n vermoeden dat je de 2e regel mist.
Zelf heb ik poort 22 open staan voor de 3 IP adressen van Synology in Taiwan & alle NL adressen. De rest niet en ik krijg nooit inlogmeldingen. Alleen een paar een jaar geleden, maar die kwamen dan ook uit Nederland.
-
Je hebt gelijk, hier gaat iets mis. Ik ga van de volgende situatie uit:
Firewall aan = alle poorten dicht
Regel toevoegen = alleen die regel toestaan
Maar blijkbaar werkt het nu anders. 'Vroeger' was het zo dat onderaan de regels van de firewall een optie stond:
'Indien niet wordt voldaan aan de regel toegang weigeren'
Die is verdwenen, dus ging er vanuit dat alles wat ik niet expliciet toesta geweigerd wordt...
Ik ga eens even knutselen. De suggestie zoals je die vanmiddag deed heeft in ieder geval gewerkt. Vanaf 16:00 uur ongeveer geen meldingen meer... :)
-
Ondertussen ook meer gevonden over dit verhaal:
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg174462/#msg174462
:thumbup: