Inmiddels een hele tijd verstreken en met een nieuwere
versie DSM5.2 zijn kleine veranderingen doorgevoerd in de opties bij de Firewall, die in de praktijk toch een aanpassing nodig blijkt te hebben hoe Firewall-regels samen te stellen, om dezelfde functionaliteit te waarborgen zoals die "vroeger" gold bij
versie DSM5.0Die aanpassing voor DSM wijkt bovendien op dit moment (november 2015) af van de wijze zoals de Firewall in de nieuwe router van Synology, de RT1900ac blijkt te werken. Daar lijkt de functie te zijn overgenomen zoals die vroeger voor DSM 5.0 gold.
Echter niet met dezelfde uitwerking Ik stuitte op nogal wat tegenstrijdigheden. Vandaar dat ik uitvoerig testen heb gedaan, en dat voor BEIDE Firewalls apart van die apparaten zal omschrijven. Omdat we hier in de sectie zitten "Overige Software" en dat eigenlijk was omschreven voor de software die voor een NAS gold, beperk ik mij hier tot de Firewall die voor een NAS - versie DSM 5.2 geldt.
Elders in het forum-onderdeel voor de routers beschrijf ik de functionaliteit hoe gebruikt (en tot nu toe
niet succesvol) voor de RT1900ac.
In de eerdere voorbeelden (dus voor de NAS) gebruikte we bij
versie DSM5.0 de volgende instelling:
------------------------------------------------------------------------------------------------------------------
Algemeen onderaan Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels: Rondje aangevinkt bij "Toegang weigeren".------------------------------------------------------------------------------------------------------------------
De laatste keuze-optie
"Algemeen onderaan" Indien niet voldaan wordt aan de regels:......Is in
DSM 5.2 vervallen. Op die plek staat nu een tekst:
"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."Dat blijkt echter
NIET dezelfde werking te hebben als eerder die optie hierboven (bij DSM 5.0) benoemd.
(En eerlijk gezegd, wordt dat met die tekstregel ook niet als zodanig beweert. Onterecht ging ik echter wel van die verwachting uit.)
Ik ben echter wel tot een sluitende functionaliteit gekomen voor de Firewall van de NAS -
DSM 5.2 zoals die vroeger ook functioneerde. Basis daarbij is om goed in acht te nemen dat Firewall-regels in volgorde van boven naar beneden worden afgewerkt, en je de logica van wat je instelt met wat je wel doorlaat of juist afblokt goed moet overdenken. Houdt je daar geen rekening mee, gaat het gegarandeerd verkeerd.
Om mogelijke discrepantie met de Synology RT1900ac router uit te sluiten heb ik de NAS rechtstreeks aangesloten op de eerste modem/router zoals door een internetprovider geleverd. Met daarin de juiste port forwarders en instellingen. En de RT1900ac volledig buiten schot gehouden (niet aangesloten).
De volgende basis instellingen zijn door mij gebruikt, waarbij dat is afgestemd op de situatie dat de NAS aangesloten is op de modem/router van de internetprovider, maar daarna ik geen aanpassingen hoef te doen als ik de NAS achter de Synology modem/router hang. Dus toegang voor twee verschillende LAN sub-netwerken. Alleen in de test HIER is het eerste sub-net feitelijk actief. (Hangt aan een Telfort Experiabox).
Verder twee aparte regels voor toegang van buiten uit binnen de regio Nederland:
- Één regel voor poorten 5000 / 5001 voor benadering van de NAS via DSM
- Één regel voor poorten 80 / 443 voor het draaien van een web-server
Om te testen of het functioneert heb ik de volgende aanpassingen gedaan, waarbij ik voor de regio Nederland, dat heb uitgewisseld met
"Nicaragua" (net één aanvinkhokje hoger in de landenlijst). Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee
GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn. Let wel in de gedachte dat de latere functie van DSM 5.2 daarin hetzelfde zou uitpakken als eerder in DSM 5.0 met de keuze helemaal onderin van het scherm.
Maar dat blijkt dus NIET het geval te zijn Ik kan "vanuit Nederland" gewoon de web-server benaderen, DS File (File Station) gebruiken, DS Photo+ en DS Audio
Met de volgende extra regel
helemaal onderaan heb ik het evenwel
ALS TEST correct werkend kunnen krijgen.
(Toelaten voor Nicaragua, maar blokken voor de rest van de wereld, waaronder dus ook Nederland).
Poorten:
Alles -----> Bron IP:
Alles -----> Actie:
WeigerenIn het totaaloverzicht van de Firewall-regels ziet het er dan zo uit:
Nu we hebben kunnen testen dat de instelling daarmee wel werkt, moeten we alleen de situatie voor de regio Nederland weer goed zetten:
(Naar Nederland dus). Op die wijze blijven alle andere landen afgeblokt, uitgezonderd Nederland.
Of om het netjes in overeenstemming te brengen met de voorbeelden van het begin van deze draad, om het zo eenvoudig mogelijk op te stellen, voor één LAN sub-net, en alle functies die we willen benaderen voor connectie van buitenaf in één regel ondergebracht, in plaats van verdeeld over twee Firewall-regels.
LET OP
Deze (of vergelijkbare) truc werkt vooralsnog NIET voor de Firewall gebruikt in de RT1900ac routerDaar komen we in een ander draadje nog op terug. (Aanvulling 26-11-2015: reactie Synology m.b.t. de Firewall in de RT1900ac router
< HIER > ).