Firewall correct instellen

[Babylonia]

Goede morgen misschien een stomme vraag maar de derde regel klik ik om die te maken ook op maken en dan op alles weigeren onderaan ?    M.v.g.

Als het de bedoeling is buiten die drie regels die je hebt gemaakt om "iets toe te staan", de rest uit te sluiten, dan inderdaad.

[wolfpins]

Bedankt Babylonia  dan gaat het goed

[Babylonia]

Inmiddels een hele tijd verstreken en met een nieuwere versie DSM5.2 zijn kleine veranderingen doorgevoerd in de opties bij de Firewall, die in de praktijk toch een aanpassing nodig blijkt te hebben hoe Firewall-regels samen te stellen, om dezelfde functionaliteit te waarborgen zoals die "vroeger" gold bij versie DSM5.0

Die aanpassing voor DSM wijkt bovendien op dit moment (november 2015) af van de wijze zoals de Firewall in de nieuwe router van Synology, de RT1900ac blijkt te werken.  Daar lijkt de functie te zijn overgenomen zoals die vroeger voor DSM 5.0 gold.  Echter niet met dezelfde uitwerking 
Ik stuitte op nogal wat tegenstrijdigheden. Vandaar dat ik uitvoerig testen heb gedaan, en dat voor BEIDE Firewalls apart van die apparaten zal omschrijven. Omdat we hier in de sectie zitten "Overige Software" en dat eigenlijk was omschreven voor de software die voor een NAS gold, beperk ik mij hier tot de Firewall die voor een NAS - versie DSM 5.2 geldt.
Elders in het forum-onderdeel voor de routers beschrijf ik de functionaliteit hoe gebruikt (en tot nu toe niet succesvol) voor de RT1900ac.

In de eerdere voorbeelden (dus voor de NAS) gebruikte we bij  versie DSM5.0  de volgende instelling:

------------------------------------------------------------------------------------------------------------------
Algemeen onderaan 
Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels:  Rondje aangevinkt bij "Toegang weigeren".
------------------------------------------------------------------------------------------------------------------

De laatste keuze-optie   "Algemeen onderaan"   Indien niet voldaan wordt aan de regels:......

Is in   DSM 5.2   vervallen. Op die plek staat nu een tekst:

"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."

Dat blijkt echter NIET dezelfde werking te hebben als eerder die optie hierboven (bij DSM 5.0) benoemd.
(En eerlijk gezegd, wordt dat met die tekstregel ook niet als zodanig beweert. Onterecht ging ik echter wel van die verwachting uit.)

Ik ben echter wel tot een sluitende functionaliteit gekomen voor de Firewall van de  NAS - DSM 5.2 zoals die vroeger ook functioneerde. Basis daarbij is om goed in acht te nemen dat Firewall-regels in volgorde van boven naar beneden worden afgewerkt, en je de logica van wat je instelt met wat je wel doorlaat of juist afblokt goed moet overdenken. Houdt je daar geen rekening mee, gaat het gegarandeerd verkeerd.

Om mogelijke discrepantie met de Synology RT1900ac router uit te sluiten heb ik de NAS rechtstreeks aangesloten op de eerste modem/router zoals door een internetprovider geleverd. Met daarin de juiste port forwarders en instellingen. En de RT1900ac volledig buiten schot gehouden (niet aangesloten).


De volgende basis instellingen zijn door mij gebruikt, waarbij dat is afgestemd op de situatie dat de NAS aangesloten is op de modem/router van de internetprovider, maar daarna ik geen aanpassingen hoef te doen als ik de NAS achter de Synology modem/router hang. Dus toegang voor twee verschillende LAN sub-netwerken. Alleen in de test HIER is het eerste sub-net feitelijk actief. (Hangt aan een Telfort Experiabox).

Verder twee aparte regels voor toegang van buiten uit binnen de regio Nederland:
- Één regel voor poorten 5000 / 5001   voor benadering van de NAS via DSM
- Één regel voor poorten 80 / 443   voor het draaien van een web-server




Om te testen of het functioneert heb ik de volgende aanpassingen gedaan, waarbij ik voor de regio Nederland, dat heb uitgewisseld met "Nicaragua" (net één aanvinkhokje hoger in de landenlijst). Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn. Let wel in de gedachte dat de latere functie van DSM 5.2 daarin hetzelfde zou uitpakken als eerder in DSM 5.0 met de keuze helemaal onderin van het scherm.



Maar dat blijkt dus NIET het geval te zijn   
Ik kan "vanuit Nederland" gewoon de web-server benaderen, DS File (File Station) gebruiken, DS Photo+  en  DS Audio

Met de volgende extra regel helemaal onderaan heb ik het evenwel ALS TEST  correct werkend kunnen krijgen.
(Toelaten voor Nicaragua, maar blokken voor de rest van de wereld, waaronder dus ook Nederland).
Poorten: Alles  ----->  Bron IP: Alles -----> Actie: Weigeren




In het totaaloverzicht van de Firewall-regels ziet het er dan zo uit:




Nu we hebben kunnen testen dat de instelling daarmee wel werkt, moeten we alleen de situatie voor de regio Nederland weer goed zetten:
(Naar Nederland dus). Op die wijze blijven alle andere landen afgeblokt, uitgezonderd Nederland.



Of om het netjes in overeenstemming te brengen met de voorbeelden van het begin van deze draad, om het zo eenvoudig mogelijk op te stellen, voor één LAN sub-net, en alle functies die we willen benaderen voor connectie van buitenaf in één regel ondergebracht, in plaats van verdeeld over twee Firewall-regels.




LET OP 
Deze (of vergelijkbare) truc werkt vooralsnog NIET voor de Firewall gebruikt in de RT1900ac router
Daar komen we in een ander draadje nog op terug. (Aanvulling 26-11-2015: reactie Synology m.b.t. de Firewall in de RT1900ac router < HIER > ).

[Pippin]

De laatste keuze-optie   "Algemeen onderaan"   Indien niet voldaan wordt aan de regels:......
Is in   DSM 5.2   vervallen."

Dat is afhankelijk van het model DS.
Bij mij staat er nog gewoon "Indien niet voldaan wordt aan de regels"

[Briolet]

De laatste keuze-optie   "Algemeen onderaan"   Indien niet voldaan wordt aan de regels:......

Is in   DSM 5.2   vervallen. Op die plek staat nu een tekst:

"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface met elkaar in overeenstemming gebracht."

Volgens mij is die optie er nog gewoon maar je zoekt verkeerd. Er zijn firewall regels die voor alle interfaces gelden en regels die voor specifieke interfaces gelden. Eerst worden de algemene firewall regels uitgevoerd en daarna de interface specifieke regels. Bij de algemene interface staat die optie niet onderaan omdat hij ook verder moet kijken en bij de specifieke interface wel.

Het enige verschil met DSM 5.0 is dat het scherm vroeger met de specifieke interface opende en nu met de algemene interface. De opties binnen het interface zijn niet aangepast.

Ik vind die specifieke interfaces lastig omdat ze vervallen als je een nieuwe bond maakt/verbreekt en dus zet ik alles op de 'alle interfaces' en gebruik als laatste regel "Alles blokkeren".

[Pippin]

Ja, inderdaad @Briolet
Bij mij staat alles op de Bond en heb nooit verder hoeven kijken.

[Babylonia]

Volgens mij is die optie er nog gewoon maar je zoekt verkeerd. Er zijn firewall regels die voor alle interfaces gelden en regels die voor specifieke interfaces gelden. Eerst worden de algemene firewall regels uitgevoerd en daarna de interface specifieke regels. Bij de algemene interface staat die optie niet onderaan omdat hij ook verder moet kijken en bij de specifieke interface wel.

De beschrijving en plaatjes lijken me duidelijk.

Ik bedoel als verschil met DSM 5.0  dus NIET deze instelling helemaal onderaan
om de  individuele  Firewall regels samen te stellen:



Die benut ik juist om in de laatste Firewall regel met Alles - Alles, die laatste Actie op "Weigeren" te zetten.
(Die zal ik er voor de duidelijkheid in de voriige reactie dan nog maar even bijzetten).


En kijk nog eens bij een totaalvenster van de Firewall helemaal onderaan de tekst die ik eerder heb geciteerd, en in alle vensters te lezen.
"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."
Die verandert bij mij bij geen enkele instelling. Dat is bij mij echt een vast gegeven.
(Tenminste ik heb daar bij mij nog nooit een andere optie gezien bij DSM 5.2)



Als verschil tegenover DSM 5.0 de optie helemaal onderaan in het venster van het totaaloverzicht:




@MMD
Mocht er verschil zijn met hetgeen bij de ene NAS of de andere NAS wordt gebruikt in de interface bij  dezelfde versie DSM 5.2,
heb je nu dan de oplossing voor die twee verschillende versies.      

Indien er wel een keuzemogelijkheid is om dat onderaan te kiezen, neem je die.
Indien die keuzemogelijkheid in de interface er niet meer is zoals bij mij (DS415+ ), kies je de optie zoals hiervoor uitgelegd.
(En voor wat betreft de Firewall voor de RT1900ac router waarbij er wel een keuzemogelijkheid is, functioneert het vooralsnog echter NIET,
maar daar kom ik in een andere draad nog op terug).

Het gaat er ten slotte om dat men een correct werkende Firewall heeft.
Maar met allemaal verschillende versies en interpretaties die Synology dan schijnbaar hanteert wordt het er mijn inziens niet overzichtelijker op.

[Briolet]

Om te testen of het functioneert heb ik de volgende aanpassingen gedaan, waarbij ik voor de regio Nederland, dat heb uitgewisseld met "Nicaragua" (net één aanvinkhokje hoger in de landenlijst)…

Je suggereert dat dit niet goed werkt, maar het werkt precies zoals het moet. Als je alleen poorten toestaat, dan worden die poorten doorgelaten. Als je verder niets blokkeert, dan laat hij gewoon alles door. Dat is geen bug, maar gewoon hoe de firewall werkt. Dat werkte met mijn eerste nas onder DSM 3.2 al op dezelfde manier.

De firewall gaat gewoon op volgorde alle regels af. Heeft hij een treffer dan stopt hij met evalueren van alle volgende regels.

Wat de tekst onderaan "Alle Interfaces" vroeger was, kan ik niet meer nagaan, maar volgens mij is die ook echt niet veranderd. Dan moet iemand reageren die nog onder DSM 3.2, 4.x of 5.0 werkt. Volgens mij heeft dat er altijd gestaan en was er alleen bij de specifieke interfaces een algehele blokkering onderaan mogelijk.

[Babylonia]

Je suggereert dat dit niet goed werkt, maar het werkt precies zoals het moet.

Ik suggereer helemaal niet dat het een bug is.  Specifiek schrijf ik in mijn eerdere reactie:

Dat blijkt echter NIET dezelfde werking te hebben als eerder die optie hierboven (bij DSM 5.0) benoemd.
(En eerlijk gezegd, wordt dat met die tekstregel ook niet als zodanig beweert. Onterecht ging ik echter wel van die verwachting uit.)

De meeste gebruikers nemen de eerdere aanwijzingen klakkeloos over zonder een controle uit te voeren.
Als ik het dan mis blijk te hebben (en door andere gebruikers verkeerd wordt overgenomen), is het alleen maar een geste van mij om gebruikers daarvan in kennis te stellen en dat op die punten bij te stellen. Lijkt mij in ieder geval de juiste weg te gaan.

Verder heb ik bij mijn vorige reactie als aanvulling er nog een totaalbeeld van het Firewall-venster van DSM 5.0 bij gedaan om het verschil te laten zien tegenover DSM 5.2   (DSM 5.0 draait hier nog op een DS213j).

Indien de optie onderaan in het totaalvenster van dat "bolletje"  Toegang toestaan  of  Toegang Weigeren  aanwezig is, gebruik je die.
Indien het NIET aanwezig is, gebruik je de optie van die extra Firewall-regel zoals eerder uitgelegd.

Verder nog wel steeds de opmerking dat het niet als zodanig functioneert voor de RT1900ac router.
(Die heeft de optie van dat "bolletje" onderaan in het totaal Firewall-venster Toegang toestaan  of  Toegang Weigeren.
Maar daar werkt een vergelijkbare test met Nicaragua NIET. Daar zitten IMO echt bugs in.
Daar kom ik in een ander draadje nog op terug (eerst een boterham eten). 

[Briolet]

Je schrijft wel dat het een bug is. Je schrijft nml:

Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn.

Je beweert dat je iets moet verwachten, maar dat het niet gebeurd. Dus daarmee zeg je dat het een bug is want bij een bug werkt iets niet zoals zou moeten.

Ik zeg juist dat het juist wel werkt zoals je zou verwachten.

Nogmaals: de firewall werking kun je heel simpel in twee regels samenvatten.

1) De firewall regels worden van boven naar beneden in volgorde gecontroleerd.
2) Is er een treffer dan wordt de betreffende regel uitgevoerd en stopt verdere evaluatie van erna volgende regels.

Door hele verhalen tekst te gebruiken, maak je het alleen maar gecompliceerder voor mensen die het proberen te begrijpen.

[Babylonia]

Je schrijft wel dat het een bug is. Je schrijft nml:

Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn.

Aangevuld met:
Let wel in de gedachte dat de latere functie van DSM 5.2 daarin hetzelfde zou uitpakken als eerder in DSM 5.0 met de keuze helemaal onderin van het scherm.
Mijn gedachte dus, die verkeerd bleek te zijn.

Gaan we nu op elke slak zout leggen?  Sorry @Briolet, Dat lijkt me niet de juiste manier van reageren.
Hou daar alsjeblief mee op! Ik wil gebruikers alleen maar ten dienste staan. Niets meer niets minder.

[HDamy]

Ik kom er niet uit mensen.
Heb nog een oude DS210j staan voor gebruik als off-site backup (DSM 5.2)
Ik wil dat deze alleen voor NL benaderbaar is (en intern). Alle overige landen moeten worden geblokkeerd.

In de bijlage een screendump van hoe ik de instellingen heb. Ik krijg echter iedere keer de melding (na opslaan) dat de systeembeheer wordt geblokkeerd.
Wat zie ik over het hoofd?

[Birdy]

Volgens mij werkt de Firewall van beneden naar boven dus, in de 3e blokkeer je alles.

Lees deze anders ook even, om je een idee te geven.

[Pippin]

Van boven naar beneden, First match wins en dan de toestaan/blokkeer regel op de interface (dropdown rechtsboven)

[HDamy]

Die heb ik inderdaad gelezen en ook geprobeerd, maar krijg daar hetzelfde probleem.
Ik heb de instellingen zoals hierboven te zien ook op dezelfde manier toegepast in mijn DS214play en daar krijg ik geen foutmeldingen.
Het enige verschil tussen de twee servers is dat de Play in mijn thuisnetwerk zit en dat ik de DS201j configureer op afstand. Kan dat er mee te maken hebben?