Synology-Forum.nl
Overige software => Overige software => Topic gestart door: chth op 17 september 2014, 14:30:34
-
Hallo
Ik probeer in mijn firewall alles te blokkeren van buiten België.
Mijn situatie geschetst zoals het nu is:
Ik heb 2 firewallregels:
1) zoveel mogelijk poorten weigeren, protocol alles, bron-IP alles, actie weigeren
2) noodzakelijke poorten toestaan, protocol alles, bron-IP alles, actie toestaan
Indien niet voldaan aan de regels: weigeren.
Wanneer ik nu bij de regel die toegelaten is enkel België selecteer krijg ik de melding: "de computer van de systeembeheerder werd geblokkeerd wegens een recent aangemaakte firewallregel..."
Dus dacht ik van ik maak een extra regel aan die alles blokkeert van het buitenland maar hiervoor kan je per regel maar 15 landen selecteren..
Als ik nu een 3e regel aanmaak die alleen de nodige poorten toestaat voor België en ik plaats deze regel op plaats 2, zijn dan effectief alle andere landen geblokkeerd of kunnen deze dan nog via de 3e regel binnen die alles toelaat voor de nodige poorten?
Dank bij voorbaat
Met vriendelijk groet
-
Voorbeeld (kan enigszins afwijken afhankelijk van gebruikte services / packages):
DSM -----> Configuratiescherm -----> Connectiviteit / Beveiliging -----> 2e tab Firewall
Twee in te vullen / aan te maken regels:
1e regel:
De volgende opties aan te vinken voor regio België (of Nederland, indien van toepassing)
- WebDav poort 5006 (https)
- Web Station, Photo Station.... poort 443
- Web Station, Photo Station.... poort 80
- Synology Assistant...... poort 1234, 9997, 9998, 9999
- Beheer gebruikersinterface..... poort 5001
- Beheer gebruikersinterface..... poort 5000
Onderaan het aparte invulschermpje ----> Actie: Toestaan
2e regel:
Voor het interne netwerk, een bepaald IP-bereik op te geven bijv. voor 99 IP-nummers:
- Alle poorten open
Onderaan het aparte invulschermpje ----> Actie: Toestaan
Algemeen onderaan :!:
Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels: Rondje aangevinkt bij "Toegang weigeren".
Dus feitelijk net andersom als je eigen benadering zoals opgegeven bij regel 1.
Twee regels om iets toe te staan.
(België voor een beperkt aantal poorten + toegang voor alles binnen het lokale netwerk).
De rest uitsluiten.
---------------------------------------------------------------------------------------------------------------------------------------------
Aanvulling: :!:
De laatste keuze-optie "Algemeen onderaan" Indien niet voldaan wordt aan de regels:......
Is in DSM 5.2 vervallen. Op die plek staat nu een tekst:
"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."
Realiseer dat het NIET dezelfde werking heeft als eerder die optie hierboven benoemd. (Is met grondig uittesten gebleken).
Men kan echter wel dezelfde functionaliteit krijgen als voorheen door een extra Firewall regel als laatste onderaan toe te voegen
met de volgende keuzes in het sub-menu om de Firewall-regel samen te stellen:
Poorten: Alles -----> Bron IP: Alles -----> Actie: Weigeren
Zie dat als een vergelijkbaar alternatief voor de laatste functie zoals die eerder gold.
Voor meer uitleg met plaatjes zie reactie verder in de draad < HIER > (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg174462/#msg174462)
---------------------------------------------------------------------------------------------------------------------------------------------
Babylonia@
-
Wanneer ik nu bij de regel die toegelaten is enkel België selecteer krijg ik de melding: "de computer van de systeembeheerder werd geblokkeerd wegens een recent aangemaakte firewallregel..."
Dat is ook heel logisch. De regels worden op volgorde getest. Als een regel voldoet, is hij klaar. Elke verbinding voldoet aan regel 1, dus na regel 1 is de firewall klaar met checken. Dus alles wordt geblokkeerd.
Of in wiskundige termen gesproken: de regels zijn allen via een logische OR bewerking aan elkaar gekoppeld.
-
@Babylonia:
Sommige verbindingen moet je wel ruimer open zetten. b.v. poort 53 (DNS) Ziggo heeft die server in Nederland staan, maar bij OpenDNS verbind je vanuit Oost Nederland met een Duitse server.
In België kan die server ook buiten de grenzen liggen.
Ook als je een mailserver runt, wil je die poorten waarschijnlijk globaal open zetten.
-
Standaard is die poort 53 (of een DNS server als in te stellen toepassing) niet opgenomen in de te kiezen regels voor de Firewall. (Vandaar wellicht over het hoofd gezien). Die heb ik hier tot nu toe dan ook niet ingesteld.
Heb nog niet eerder merkbare problemen daarmee ondervonden (ik benader de NAS voor 99% van buitenaf).
Wat zou het "positieve" effect ervan moeten zijn om het wel in te schakelen??
Voor wat betreft een mailserver geldt mijn eerdere opmerking:
(kan enigszins afwijken afhankelijk van gebruikte services / packages):
-
In de post van Briolet staat beschreven:
Dat is ook heel logisch. De regels worden op volgorde getest. Als een regel voldoet, is hij klaar.
Op deze website (http://mysynology.nl/de-synology-firewall-instellen/) lees ik:
Wanneer er iemand verbinding probeert te maken met je NAS, dan zullen alle regels langsgelopen worden. Je Firewall checkt als eerste de bovenste regel, wanneer deze niet van toepassing is, dan gaat de tweede regel tellen, en zo verder.
Als laatste zou worden gekeken naar wel/niet voldoen aan de regels, om vervolgens toe te staan of te weigeren.
Ergens klinkt het simpel, maar ik denk volgens mij te moeilijk en verzand een beetje. Hoe moet ik dit lezen? Is de volgorde van de regels belangrijk of niet? Met andere woorden: moet je eerst een regel aanmaken voor het interne netwerk (alles toestaan), moet deze juist als laatste komen, of maakt het niet uit. Ik lees verschillende adviezen.
Op het Engelse forum staat ook een topic over de firewall (http://forum.synology.com/enu/viewtopic.php?f=19&t=85557) hierover.
Ik zelf zit te denken aan het idee zoals Babylonia het heeft weergegeven. Intern alles toestaan en in een andere regel toepassingen selecteren en deze toestaan voor Nederland. Verder wat niet voldoet weigeren. Ik draai (voorlopig?) geen mailserver (van belang i.v.m. servers in andere landen las ik op het forum) en gebruik de externe toegang puur voor eigen gebruik in NL. Mocht dit te strak zijn, of als ik naar het buitenland ga, kan ik altijd nog een land toevoegen of het omdraaien dat ik (per regel) 15 landen, of de 'top hacklanden', selecteer zoals beschreven op deze pagina (http://mysynology.nl/bepaalde-landen-blokkeren-via-de-synology-firewall/).
Wat is jullie mening/advies in deze en hebben jullie nog overige tips? Geen externe toegang is natuurlijk de meeste veilige weg, maar ik wil graag wel externe toegang. Voorgaande wel op de meeste veilige manier. Het standaard admin/guest account uitschakelen, sterke wachtwoorden, SSL certificaat en auto blokkering heb ik voor elkaar.
-
Het klinkt niet alleen simpel maar lijkt het ook als zodanig te zijn.
Met de firewallregels zoals ik die boven (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496) als voorbeeld heb gegeven (maar dan 3 regels voor Nederland en België als toegang + LAN), functioneert hier prima, in de zin dat "pogingen om binnen te komen" niet eens zo ver lijken te komen met die keuze aan firewallregels.
Ik krijg namelijk geen log-bestanden meer uit Azië die IP's blokt als die meer dan 5 inlogpogingen hebben gedaan binnen een bepaalde tijd.
Wat eerder wel het geval was. Zie lijst van geblokte IP's < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119768/#msg119768)
Die laatste beveiliging zit dus kennelijk "achter" de firewall als "tweede vangnet" (en niet vóór de firewall).
-
Heb je voor NL en BE andere toepassingen geselecteerd? Anders kan dat toch op één regel? Beide landen selecteren, toepassingen toestaan en klaar, of mis ik iets?
De volgorde van de regels, eerste intern, dan extern, of andersom, maakt dus niet uit?
-
Verschillende services voor beide landen. België beperkter.
Volgorde intern of extern maakt volgens mij niet uit. Als je het beredeneert in volgorde, kom je namelijk niet in een conflict. Intern heeft niets te maken met extern. Het staat echt los van elkaar, heeft dan ook voor deze specifieke keuzes geen invloed op die volgorde.
-
Is de volgorde van de regels belangrijk of niet?
In beide teksten die je quote staat dat de volgorde belangrijk is, dus waarom de vraag? DSM loopt ze, van boven naar beneden, net zo lang door totdat hij een match heeft. Alle regels die erna komen worden niet meer getest.
-
Briolet, als je hem zo stelt is het een overbodige vraag. De reden dat ik hem gesteld hebt staat echter in dezelfde alinea voor en na de betreffende zin. Ik wil het graag goed instellen en tevens ook begrijpen, vandaar mijn vragen hierover.
Het antwoord van Babylonia heeft mij meer inzicht gegeven. Interne en externe regels staan dus volledig los van elkaar. In dat geval kan ik de volgorde/match begrijpen waar jij over spreekt en zie ik ook het belang/gevaar van de conflicterende regels in. Weer iets geleerd.
-
In die zin, een Firewallregel bedoeld voor je interne netwerk waarbij je expliciet een bereik opgeeft van interne IP-adressen die je openstelt, heeft geen effect op IP-adressen die erbuiten vallen (zijnde je externe adressen maar bijv. ook andere interne netwerk gateways). Je zegt in die regel alleen iets specifiek over je gebruikte interne netwerk adressen.
Een regel met een keuze voor een "regio" om die open te stellen, gaat het expliciet om externe IP-adressen.
Dat heeft op haar beurt geen effect op interne IP-adressen, want je zegt in die Firewallregel daarin alleen iets over die regio.
Die twee regels zul je dan ook kunnen uitwisselen qua volgorde.
Waar de volgorde wel belangrijk is, is bijvoorbeeld indien je een regio blokkeert, je erna niet bij een nieuwe Firewallregel uit diezelfde regio een specifiek IP-adres dan weer wel toegang zou willen verlenen, omdat je die complete regio ervoor al hebt geblokkeerd.
Gewoon logisch nadenken, dan kun je er zo uitkomen wat bedoeld wordt.
Misschien een meer inzichtelijk voorbeeld van de eerste situatie van twee regels waarbij de volgorde niet belangrijk is.
Ik ga boodschappen doen en zet op een boodschappenlijstje die producten die ik wil kopen.
- Groene appels uit Nederland
- Rode kersen uit Spanje
Wissel het lijstje om met:
- Rode kersen uit Spanje
- Groene appels uit Nederland
In dit geval maakt het niets uit. Uiteindelijk heb ik zowel groene appels als rode kersen in de boodschappentas.
Nu een boodschappenlijstje waarbij die volgorde WEL belangrijk is in de uitvoering wat er werkelijk gebeurt, waarbij ik stel dat je het lijstje van boven naar beneden moet uitvoeren.
- Koop geen fruit uit Spanje
- Rode kersen uit Spanje
- Groene appels uit Nederland
Je snapt dat de tweede regel in conflict is met de eerste regel. Je komt alleen met groene appels thuis.
In de hieronder aangegeven volgorde van boven naar beneden is het geen probleem.
- Rode kersen uit Spanje
- Groene appels uit Nederland
- Koop geen fruit uit Spanje
Je houdt nu in ieder geval wel een boodschappentas met rode kersen en groene appels over om mee te nemen naar huis.
-
Ik zag net een mandje met gele, rode en paarse frambozen bij de Welkoop. Ik wist niet dat je die aanschaf ook met firewall regels kon bepalen. :P
Maar serieus: Wat je dus mis kunt doen is om eerste een regel te maken om Nederland toe te staan en pas in een volgende regel specifieke poorten toe te staan.
Dus:
1: Sta Nederland toe
2: Sta alleen poort 5001 toe.
Als de check bij regel 1 ziet dat het IP in Nederland zit, dan heeft hij een match en checkt niet verder. Het gevolg is dat dus alle poorten uit Nederland toegestaan worden. Dat kun je simpel voorkomen door regel 1 & 2 tot één regel te combineren zodat alleen de combinatie land met poort matcht.
Als je het door hebt is het logisch, maar bij te complexe regens zet je snel meer open dan je wilt. (Of juist meer dicht dan je wilt, maar dat merk je snel genoeg)
-
Haha, Babylonia, een gouden uitleg!! ;D
Het was mij na jouw vorige uitleg al duidelijk, maar nu helemaal! Bedankt!
-
Goede morgen misschien een stomme vraag maar de derde regel klik ik om die te maken ook op maken en dan op alles weigeren onderaan ? :oops: M.v.g.
-
Goede morgen misschien een stomme vraag maar de derde regel klik ik om die te maken ook op maken en dan op alles weigeren onderaan ? :oops: M.v.g.
Als het de bedoeling is buiten die drie regels die je hebt gemaakt om "iets toe te staan", de rest uit te sluiten, dan inderdaad.
-
Bedankt Babylonia dan gaat het goed
-
Inmiddels een hele tijd verstreken en met een nieuwere versie DSM5.2 zijn kleine veranderingen doorgevoerd in de opties bij de Firewall, die in de praktijk toch een aanpassing nodig blijkt te hebben hoe Firewall-regels samen te stellen, om dezelfde functionaliteit te waarborgen zoals die "vroeger" gold bij versie DSM5.0
Die aanpassing voor DSM wijkt bovendien op dit moment (november 2015) af van de wijze zoals de Firewall in de nieuwe router van Synology, de RT1900ac blijkt te werken. Daar lijkt de functie te zijn overgenomen zoals die vroeger voor DSM 5.0 gold. Echter niet met dezelfde uitwerking :!:
Ik stuitte op nogal wat tegenstrijdigheden. Vandaar dat ik uitvoerig testen heb gedaan, en dat voor BEIDE Firewalls apart van die apparaten zal omschrijven. Omdat we hier in de sectie zitten "Overige Software" en dat eigenlijk was omschreven voor de software die voor een NAS gold, beperk ik mij hier tot de Firewall die voor een NAS - versie DSM 5.2 geldt.
Elders in het forum-onderdeel voor de routers beschrijf ik de functionaliteit hoe gebruikt (en tot nu toe niet succesvol) voor de RT1900ac.
In de eerdere voorbeelden (dus voor de NAS) gebruikte we bij versie DSM5.0 de volgende instelling:
------------------------------------------------------------------------------------------------------------------
Algemeen onderaan :!:
Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels: Rondje aangevinkt bij "Toegang weigeren".
------------------------------------------------------------------------------------------------------------------
De laatste keuze-optie "Algemeen onderaan" Indien niet voldaan wordt aan de regels:......
Is in DSM 5.2 vervallen. Op die plek staat nu een tekst:
"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."
Dat blijkt echter NIET dezelfde werking te hebben als eerder die optie hierboven (bij DSM 5.0) benoemd.
(En eerlijk gezegd, wordt dat met die tekstregel ook niet als zodanig beweert. Onterecht ging ik echter wel van die verwachting uit.)
Ik ben echter wel tot een sluitende functionaliteit gekomen voor de Firewall van de NAS - DSM 5.2 zoals die vroeger ook functioneerde. Basis daarbij is om goed in acht te nemen dat Firewall-regels in volgorde van boven naar beneden worden afgewerkt, en je de logica van wat je instelt met wat je wel doorlaat of juist afblokt goed moet overdenken. Houdt je daar geen rekening mee, gaat het gegarandeerd verkeerd.
Om mogelijke discrepantie met de Synology RT1900ac router uit te sluiten heb ik de NAS rechtstreeks aangesloten op de eerste modem/router zoals door een internetprovider geleverd. Met daarin de juiste port forwarders en instellingen. En de RT1900ac volledig buiten schot gehouden (niet aangesloten).
De volgende basis instellingen zijn door mij gebruikt, waarbij dat is afgestemd op de situatie dat de NAS aangesloten is op de modem/router van de internetprovider, maar daarna ik geen aanpassingen hoef te doen als ik de NAS achter de Synology modem/router hang. Dus toegang voor twee verschillende LAN sub-netwerken. Alleen in de test HIER is het eerste sub-net feitelijk actief. (Hangt aan een Telfort Experiabox).
Verder twee aparte regels voor toegang van buiten uit binnen de regio Nederland:
- Één regel voor poorten 5000 / 5001 voor benadering van de NAS via DSM
- Één regel voor poorten 80 / 443 voor het draaien van een web-server
[attach=1]
Om te testen of het functioneert heb ik de volgende aanpassingen gedaan, waarbij ik voor de regio Nederland, dat heb uitgewisseld met "Nicaragua" (net één aanvinkhokje hoger in de landenlijst). Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn. Let wel in de gedachte dat de latere functie van DSM 5.2 daarin hetzelfde zou uitpakken als eerder in DSM 5.0 met de keuze helemaal onderin van het scherm.
[attach=3]
Maar dat blijkt dus NIET het geval te zijn :!: :!:
Ik kan "vanuit Nederland" gewoon de web-server benaderen, DS File (File Station) gebruiken, DS Photo+ en DS Audio
Met de volgende extra regel helemaal onderaan heb ik het evenwel ALS TEST correct werkend kunnen krijgen.
(Toelaten voor Nicaragua, maar blokken voor de rest van de wereld, waaronder dus ook Nederland).
Poorten: Alles -----> Bron IP: Alles -----> Actie: Weigeren
[attach=6]
In het totaaloverzicht van de Firewall-regels ziet het er dan zo uit:
[attach=2]
Nu we hebben kunnen testen dat de instelling daarmee wel werkt, moeten we alleen de situatie voor de regio Nederland weer goed zetten:
(Naar Nederland dus). Op die wijze blijven alle andere landen afgeblokt, uitgezonderd Nederland.
[attach=4]
Of om het netjes in overeenstemming te brengen met de voorbeelden van het begin van deze draad, om het zo eenvoudig mogelijk op te stellen, voor één LAN sub-net, en alle functies die we willen benaderen voor connectie van buitenaf in één regel ondergebracht, in plaats van verdeeld over twee Firewall-regels.
[attach=5]
LET OP :!: :!:
Deze (of vergelijkbare) truc werkt vooralsnog NIET voor de Firewall gebruikt in de RT1900ac router
Daar komen we in een ander draadje nog op terug. (Aanvulling 26-11-2015: reactie Synology m.b.t. de Firewall in de RT1900ac router < HIER > (http://www.synology-forum.nl/synology-router/diverse-bugs-gevonden/msg174734/#msg174734) ).
-
De laatste keuze-optie "Algemeen onderaan" Indien niet voldaan wordt aan de regels:......
Is in DSM 5.2 vervallen."
Dat is afhankelijk van het model DS.
Bij mij staat er nog gewoon "Indien niet voldaan wordt aan de regels"
-
De laatste keuze-optie "Algemeen onderaan" Indien niet voldaan wordt aan de regels:......
Is in DSM 5.2 vervallen. Op die plek staat nu een tekst:
"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface met elkaar in overeenstemming gebracht."
Volgens mij is die optie er nog gewoon maar je zoekt verkeerd. Er zijn firewall regels die voor alle interfaces gelden en regels die voor specifieke interfaces gelden. Eerst worden de algemene firewall regels uitgevoerd en daarna de interface specifieke regels. Bij de algemene interface staat die optie niet onderaan omdat hij ook verder moet kijken en bij de specifieke interface wel.
Het enige verschil met DSM 5.0 is dat het scherm vroeger met de specifieke interface opende en nu met de algemene interface. De opties binnen het interface zijn niet aangepast.
Ik vind die specifieke interfaces lastig omdat ze vervallen als je een nieuwe bond maakt/verbreekt en dus zet ik alles op de 'alle interfaces' en gebruik als laatste regel "Alles blokkeren".
-
Ja, inderdaad @Briolet
Bij mij staat alles op de Bond en heb nooit verder hoeven kijken.
-
Volgens mij is die optie er nog gewoon maar je zoekt verkeerd. Er zijn firewall regels die voor alle interfaces gelden en regels die voor specifieke interfaces gelden. Eerst worden de algemene firewall regels uitgevoerd en daarna de interface specifieke regels. Bij de algemene interface staat die optie niet onderaan omdat hij ook verder moet kijken en bij de specifieke interface wel.
De beschrijving en plaatjes lijken me duidelijk.
Ik bedoel als verschil met DSM 5.0 dus NIET deze instelling helemaal onderaan
om de individuele Firewall regels samen te stellen:
[attachimg=1]
Die benut ik juist om in de laatste Firewall regel met Alles - Alles, die laatste Actie op "Weigeren" te zetten.
(Die zal ik er voor de duidelijkheid in de voriige reactie dan nog maar even bijzetten).
En kijk nog eens bij een totaalvenster van de Firewall helemaal onderaan de tekst die ik eerder heb geciteerd, en in alle vensters te lezen.
"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."
Die verandert bij mij bij geen enkele instelling. Dat is bij mij echt een vast gegeven.
(Tenminste ik heb daar bij mij nog nooit een andere optie gezien bij DSM 5.2)
[attach=2]
Als verschil tegenover DSM 5.0 de optie helemaal onderaan in het venster van het totaaloverzicht:
[attach=3]
@MMD
Mocht er verschil zijn met hetgeen bij de ene NAS of de andere NAS wordt gebruikt in de interface bij dezelfde versie DSM 5.2,
heb je nu dan de oplossing voor die twee verschillende versies. :P ;)
Indien er wel een keuzemogelijkheid is om dat onderaan te kiezen, neem je die.
Indien die keuzemogelijkheid in de interface er niet meer is zoals bij mij (DS415+ ), kies je de optie zoals hiervoor uitgelegd.
(En voor wat betreft de Firewall voor de RT1900ac router waarbij er wel een keuzemogelijkheid is, functioneert het vooralsnog echter NIET,
maar daar kom ik in een andere draad nog op terug).
Het gaat er ten slotte om dat men een correct werkende Firewall heeft.
Maar met allemaal verschillende versies en interpretaties die Synology dan schijnbaar hanteert wordt het er mijn inziens niet overzichtelijker op.
-
Om te testen of het functioneert heb ik de volgende aanpassingen gedaan, waarbij ik voor de regio Nederland, dat heb uitgewisseld met "Nicaragua" (net één aanvinkhokje hoger in de landenlijst)…
Je suggereert dat dit niet goed werkt, maar het werkt precies zoals het moet. Als je alleen poorten toestaat, dan worden die poorten doorgelaten. Als je verder niets blokkeert, dan laat hij gewoon alles door. Dat is geen bug, maar gewoon hoe de firewall werkt. Dat werkte met mijn eerste nas onder DSM 3.2 al op dezelfde manier.
De firewall gaat gewoon op volgorde alle regels af. Heeft hij een treffer dan stopt hij met evalueren van alle volgende regels.
Wat de tekst onderaan "Alle Interfaces" vroeger was, kan ik niet meer nagaan, maar volgens mij is die ook echt niet veranderd. Dan moet iemand reageren die nog onder DSM 3.2, 4.x of 5.0 werkt. Volgens mij heeft dat er altijd gestaan en was er alleen bij de specifieke interfaces een algehele blokkering onderaan mogelijk.
-
Je suggereert dat dit niet goed werkt, maar het werkt precies zoals het moet.
Ik suggereer helemaal niet dat het een bug is. Specifiek schrijf ik in mijn eerdere reactie:
Dat blijkt echter NIET dezelfde werking te hebben als eerder die optie hierboven (bij DSM 5.0) benoemd.
(En eerlijk gezegd, wordt dat met die tekstregel ook niet als zodanig beweert. Onterecht ging ik echter wel van die verwachting uit.)
De meeste gebruikers nemen de eerdere aanwijzingen klakkeloos over zonder een controle uit te voeren.
Als ik het dan mis blijk te hebben (en door andere gebruikers verkeerd wordt overgenomen), is het alleen maar een geste van mij om gebruikers daarvan in kennis te stellen en dat op die punten bij te stellen. Lijkt mij in ieder geval de juiste weg te gaan.
Verder heb ik bij mijn vorige reactie als aanvulling er nog een totaalbeeld van het Firewall-venster van DSM 5.0 bij gedaan om het verschil te laten zien tegenover DSM 5.2 (DSM 5.0 draait hier nog op een DS213j).
Indien de optie onderaan in het totaalvenster van dat "bolletje" Toegang toestaan of Toegang Weigeren aanwezig is, gebruik je die.
Indien het NIET aanwezig is, gebruik je de optie van die extra Firewall-regel zoals eerder uitgelegd.
Verder nog wel steeds de opmerking dat het niet als zodanig functioneert voor de RT1900ac router.
(Die heeft de optie van dat "bolletje" onderaan in het totaal Firewall-venster Toegang toestaan of Toegang Weigeren.
Maar daar werkt een vergelijkbare test met Nicaragua NIET. Daar zitten IMO echt bugs in.
Daar kom ik in een ander draadje nog op terug (eerst een boterham eten). ;)
-
Je schrijft wel dat het een bug is. Je schrijft nml:
Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn.
Je beweert dat je iets moet verwachten, maar dat het niet gebeurd. Dus daarmee zeg je dat het een bug is want bij een bug werkt iets niet zoals zou moeten.
Ik zeg juist dat het juist wel werkt zoals je zou verwachten.
Nogmaals: de firewall werking kun je heel simpel in twee regels samenvatten.
1) De firewall regels worden van boven naar beneden in volgorde gecontroleerd.
2) Is er een treffer dan wordt de betreffende regel uitgevoerd en stopt verdere evaluatie van erna volgende regels.
Door hele verhalen tekst te gebruiken, maak je het alleen maar gecompliceerder voor mensen die het proberen te begrijpen.
-
Je schrijft wel dat het een bug is. Je schrijft nml:
Met een smartphone met 3G netwerk heb ik contact gemaakt om te kijken of ik daarmee GEEN toegang zou hebben tot de NAS. Want dat zou volgens de ingestelde regels dan de verwachting zijn.
Aangevuld met:
Let wel in de gedachte dat de latere functie van DSM 5.2 daarin hetzelfde zou uitpakken als eerder in DSM 5.0 met de keuze helemaal onderin van het scherm.
Mijn gedachte dus, die verkeerd bleek te zijn.
Gaan we nu op elke slak zout leggen? Sorry @Briolet, Dat lijkt me niet de juiste manier van reageren.
Hou daar alsjeblief mee op! Ik wil gebruikers alleen maar ten dienste staan. Niets meer niets minder.
-
Ik kom er niet uit mensen.
Heb nog een oude DS210j staan voor gebruik als off-site backup (DSM 5.2)
Ik wil dat deze alleen voor NL benaderbaar is (en intern). Alle overige landen moeten worden geblokkeerd.
In de bijlage een screendump van hoe ik de instellingen heb. Ik krijg echter iedere keer de melding (na opslaan) dat de systeembeheer wordt geblokkeerd.
Wat zie ik over het hoofd?
-
Volgens mij werkt de Firewall van beneden naar boven dus, in de 3e blokkeer je alles.
Lees deze anders ook even (https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496), om je een idee te geven.
-
Van boven naar beneden, First match wins en dan de toestaan/blokkeer regel op de interface (dropdown rechtsboven)
-
Die heb ik inderdaad gelezen en ook geprobeerd, maar krijg daar hetzelfde probleem.
Ik heb de instellingen zoals hierboven te zien ook op dezelfde manier toegepast in mijn DS214play en daar krijg ik geen foutmeldingen.
Het enige verschil tussen de twee servers is dat de Play in mijn thuisnetwerk zit en dat ik de DS201j configureer op afstand. Kan dat er mee te maken hebben?
-
Van boven naar beneden
Gecorrigeerd/doorgehaald ;)
-
Ik heb de instellingen zoals hierboven te zien ook op dezelfde manier toegepast in mijn DS214play en daar krijg ik geen foutmeldingen.
Het enige verschil tussen de twee servers is dat de Play in mijn thuisnetwerk zit en dat ik de DS201j configureer op afstand. Kan dat er mee te maken hebben?
Daar zou het inderdaad wel eens mee te maken kunnen hebben?
Je hebt voor het thuisnetwerk alle poorten en protocollen op "toestaan" vastgelegd.
Voor extern verkeer voor de gebruiksinterface (DSM), File Station, (en misschien nog een ander protocol ??) "binnen Nederland".
Ik weet dat er bijv. bij Telfort (KPN?) WAN IP-reeksen worden gebruikt die bij verschillende achterliggende DNS(?)-servers worden gezien als "Belgische" IP-nummers, als het gaat om de geografische ligging van die IP-nummers.
(Met het steeds schaarser worden van IPv4 adressen, vermoed ik dat KPN mogelijk hele reeksen IPv4 adressen heeft overgenomen van België, waar juist heel veel van die IPv4 adressen vrijkomen, omdat België wereldwijd gezien voorop loopt in de implementatie van IPv6 adressen).
Daar zijn op het Telfort forum diverse meldingen van bekend:
https://forum.telfort.nl/internet-267/ip-adres-verwijst-door-naar-belgische-sites-57608
https://forum.telfort.nl/internet-267/redirect-naar-belgische-site-57750
https://forum.telfort.nl/tv-338/ontvang-foutcode-403-56054
"Dit wordt veroorzaakt doordat je een IP adres hebt ontvangen dat in België staat geregistreerd.
Om dit te controleren kun je je IP adres op onderstaande link invullen.
IP Location (https://www.iplocation.net/)"
Als er een discrepantie is met de geografische ligging, kun je dus "buitengesloten" worden door die regio-blocking van de Firewall.
Kijk eens vanaf die externe locatie waar het IP-adres op wordt afgestemd? Om je eigen IP te vinden: http://www.watismijnip.nl/
Er kunnen nogal wat variaties voorkomen bij controle op verschillende geografische websites.
Doe bovenaan rechts een zoekactie voor je eigen IP:
http://www.ip2location.com/
https://db-ip.com
Klik op "Locate my IP":
https://www.eurekapi.com/IPGeolocationServiceDemo.do
http://ipinfo.io/
Deze geeft voor mij een erg bizarre locatie. Ergens in de buurt van Dronten, terwijl ik in het zuiden woon.
Een eerder IP-adres wat ik voor 3 maanden geleden nog had gaf zelfs een geografische ligging nog veel hoger in Nederland:
http://ip-whois-lookup.com/
Deze geeft -voor mij althans- de meest betrouwbare informatie (in ieder geval binnen de stad waar ik ben gevestigd):
http://geoiplookup.net/
Mocht je dus voor het externe IP-adres waarvan je vandaan de instellingen probeert te doen uitkomen op België, zet die regio er dan ook nog eens bij in de Firewall regels voor "toestaan".
-
Problem solved!
Het probleem lag er inderdaad aan dat ik vanuit het niet 'thuisnetwerk' de firewall instellingen wilde toepassen.
Dank voor alle feedback.
-
“Men kan echter wel dezelfde functionaliteit krijgen als voorheen door een extra Firewall regel als laatste onderaan toe te voegen
met de volgende keuzes in het sub-menu om de Firewall-regel samen te stellen:
Poorten: Alles -----> Bron IP: Alles -----> Actie: Weigeren
Zie dat als een vergelijkbaar alternatief voor de laatste functie zoals die eerder gold.
Voor meer uitleg met plaatjes zie reactie verder in de draad < HIER >”
Volgens mij is dit bij DSM 6.x.x niet meer van toepassing. Uit mijn test blijkt dat als je bij individuele interfaces kies voor “Deny Acces” dan bereik je het zelfde effect “(Poorten: Alles -----> Bron IP: Alles -----> Actie: Weigeren”)
Ik heb mijn Firewall nu zo geconfigureerd en getest.
(zonder de hierboven vermelde regel) als ik inlog van buitenaf met Regio op bijv. NZ (New Zealand) dan kom er niet in.
Regio terug gezet naar NL en kan gewoon inloggen.
Dus conclusie het werkt volgens mij zonder de regel toevoegen.
Uiteraard zijn jullie welkom om het zelf te testen en feedback te geven.
-
Dan is het wellicht handiger je eerdere bericht gewoon aan te passen.
Tevens de link waar je naar verwijst daar de link daadwerkelijk bij op te nemen, die nu "leeg" is, en naar niets verwijst.
Met verschillen voor Firewall instellingen voor een router en een NAS, met updates in firmware, staat infomatie inmiddels wat versnippert op het forum.
< HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203461/#msg203461) een aantal verwijzingen bij elkaar. (Ook wat jezelf nu te berde brengt is reeds eerder beschreven).
-
my bad! :)