Synology-Forum.nl
Overige software => Overige software => Topic gestart door: immetjes op 04 september 2014, 09:31:46
-
Gisteren bladerde ik wat door mijn logbestanden van m'n Netgear R7000 router en alles was ok.
Het me viel me alleen op dat een chinees IP-adres (218.77.79.43) verbinding had gemaakt via een hoge poort naar poort 80 van mijn DS210j Synology NAS. Mijn NAS draait op de huidige laatste firmware DSM 5.0-4493 update 4.
De firewall van m'n Synology heb ik zo ingesteld dat hij alles blokkeert, behalve interne lokale IP-adressen en functies zoals photostation (poort 80), NZBget, SFTP, WebDAV en beheer gebruikersinterface (poort 5001). Ook heb ik de autoblock functie zo ingesteld dat hij alles blokt wat binnen 1440minuten 5x een verkeerd wachtwoord invoert. Ook heb ik 2-traps authenticatie aanstaan.
Ik verwachte dus dat ik het Chinese IP-adres in de meldingen van m'n Synology terug zou zien. Dat was echter niet het geval. In de logs van Photostation staan ook geen meldingen. Ook was het adres niet opgenomen in mijn autoblock lijst met 17924 IP-adressen. Ik heb dit IP-adres nu toegevoegd en zover ik kan zien is er niets gebeurd.
Kan iemand mij uitleggen waarom mijn Synology geen melding heeft gemaakt van deze -poging tot- verbinding over poort 80?
@Babylonia: Ik denk dat je gelijk hebt. Zijn er ook Firewall logs op de Synology?
-
Eerder kon ik Chinese inlogpogingen wel in mijn logbestanden uitlezen op basis van het blokken na 5 inlogpogingen. Na sluiten van een paar services en strakker instellen van de Firewall niet meer.
Dus ik vermoed dat als het door de Firewall reeds buiten de deur wordt gehouden, de andere beveiliging van het blokken van IP-adressen in dat geval niet eens wordt aangesproken, je dan ook geen meldingen meer ziet.
Overigens heb ik mijn Firewall beperkt tot regio Nederland en Belgiƫ (en lokale netwerk-adressen).
-
Poort 80 is toch gewoon de webserver. Als je die bekijkt is er toch geen wachtwoord nodig? Ik zie constant dat allerlei bots verbinding met poort 80 maken.
Die regio blokkade is ook niet waterdicht omdat er steeds nieuwe IP reeksen bijkomen die vast niet allen in de Synology regio-lijst staan.
-
Er zijn volgens mij geen anonieme IP-adressen. Er hangt altijd wel een registratie aan vast bij een of ander web-hostingbedrijf? Daarmee is de regio ook bekend.
Het komt wel eens voor dat bepaalde servers verplaatst worden, is de regio waar het IP vandaan zou komen ook verplaatst. Maar nooit opgemerkt als verplaatsing over complete continenten.
-
Dus als ik het goed begrijp komt alles wat mijn externe IP-adres benadert op poort 80 in het log van mijn router te staan. Dit betekent dus zeker niet dat die iemand daadwerkelijk in mijn NAS is geweest?
-
Iets kan tot in je router komen, maar wil inderdaad niet zeggen dat het dan verder tot in je NAS komt.
Vergelijk het met een centrale hal van een flatgebouw. Mogelijk komt iemand vrij makkelijk tot in de centrale hal, maar uiteindelijk niet verder dan tot aan de voordeur van de individuele woningen die vanuit die centrale hal zijn te bereiken. Dus niet in de woning zelf.