Firewall correct instellen

[chth]

Hallo

Ik probeer in mijn firewall alles te blokkeren van buiten België.
Mijn situatie geschetst zoals het nu is:
Ik heb 2 firewallregels:
1) zoveel mogelijk poorten weigeren, protocol alles, bron-IP alles, actie weigeren
2) noodzakelijke poorten toestaan, protocol alles, bron-IP alles, actie toestaan

Indien niet voldaan aan de regels: weigeren.

Wanneer ik nu bij de regel die toegelaten is enkel België selecteer krijg ik de melding: "de computer van de systeembeheerder werd geblokkeerd wegens een recent aangemaakte firewallregel..."

Dus dacht ik van ik maak een extra regel aan die alles blokkeert van het buitenland maar hiervoor kan je per regel maar 15 landen selecteren..

Als ik nu een 3e regel aanmaak die alleen de nodige poorten toestaat voor België en ik plaats deze regel op plaats 2, zijn dan effectief alle andere landen geblokkeerd of kunnen deze dan nog via de 3e regel binnen die alles toelaat voor de nodige poorten?

Dank bij voorbaat
Met vriendelijk groet

[Babylonia]

Voorbeeld   (kan enigszins afwijken afhankelijk van gebruikte services / packages):

DSM -----> Configuratiescherm -----> Connectiviteit / Beveiliging -----> 2e tab Firewall

Twee in te vullen / aan te maken regels:

1e regel:
De volgende opties aan te vinken voor regio België          (of Nederland, indien van toepassing)
- WebDav                                 poort 5006 (https)
- Web Station, Photo Station.... poort 443
- Web Station, Photo Station.... poort 80
- Synology Assistant......            poort 1234, 9997, 9998, 9999
- Beheer gebruikersinterface.....  poort 5001
- Beheer gebruikersinterface.....  poort 5000
  Onderaan het aparte invulschermpje ----> Actie: Toestaan


2e regel:
Voor het interne netwerk, een bepaald IP-bereik op te geven bijv. voor 99  IP-nummers:
- Alle poorten open
  Onderaan het aparte invulschermpje ----> Actie: Toestaan


Algemeen onderaan 
Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels:  Rondje aangevinkt bij "Toegang weigeren".


Dus feitelijk net andersom als je eigen benadering zoals opgegeven bij regel 1.
Twee regels om iets toe te staan.
(België voor een beperkt aantal poorten + toegang voor alles binnen het lokale netwerk).
De rest uitsluiten.

---------------------------------------------------------------------------------------------------------------------------------------------
Aanvulling: 
De laatste keuze-optie   "Algemeen onderaan"   Indien niet voldaan wordt aan de regels:......

Is in   DSM 5.2   vervallen. Op die plek staat nu een tekst:

"Als geen regels in "Alle interfaces" overeenkomen, worden alle regels in elke interface op elkaar afgestemd."

Realiseer dat het NIET dezelfde werking heeft als eerder die optie hierboven benoemd. (Is met grondig uittesten gebleken).

Men kan echter wel dezelfde functionaliteit krijgen als voorheen door een extra Firewall regel  als laatste onderaan  toe te voegen
met de volgende keuzes in het sub-menu om de Firewall-regel samen te stellen:

Poorten: Alles  ----->  Bron IP: Alles -----> Actie: Weigeren

Zie dat als een vergelijkbaar alternatief voor de laatste functie zoals die eerder gold.
Voor meer uitleg met plaatjes zie reactie verder in de draad < HIER >

---------------------------------------------------------------------------------------------------------------------------------------------

Babylonia@

[Briolet]

Wanneer ik nu bij de regel die toegelaten is enkel België selecteer krijg ik de melding: "de computer van de systeembeheerder werd geblokkeerd wegens een recent aangemaakte firewallregel..."

Dat is ook heel logisch. De regels worden op volgorde getest. Als een regel voldoet, is hij klaar. Elke verbinding voldoet aan regel 1, dus na regel 1 is de firewall klaar met checken. Dus alles wordt geblokkeerd.

Of in wiskundige termen gesproken: de regels zijn allen via een logische OR bewerking aan elkaar gekoppeld.

[Briolet]

@Babylonia:
Sommige verbindingen moet je wel ruimer open zetten. b.v. poort 53 (DNS) Ziggo heeft die server in Nederland staan, maar bij OpenDNS verbind je vanuit Oost Nederland met een Duitse server.
In België kan die server ook buiten de grenzen liggen.

Ook als je een mailserver runt, wil je die poorten waarschijnlijk globaal open zetten.

[Babylonia]

Standaard is die poort 53 (of een DNS server als in te stellen toepassing) niet opgenomen in de te kiezen regels voor de Firewall. (Vandaar wellicht over het hoofd gezien). Die heb ik hier tot nu toe dan ook niet ingesteld.
Heb nog niet eerder merkbare problemen daarmee ondervonden (ik benader de NAS voor 99% van buitenaf).

Wat zou het "positieve" effect ervan moeten zijn om het wel in te schakelen??

Voor wat betreft een mailserver geldt mijn eerdere opmerking:
(kan enigszins afwijken afhankelijk van gebruikte services / packages):

[Favreleuba]

In de post van Briolet staat beschreven:

Dat is ook heel logisch. De regels worden op volgorde getest. Als een regel voldoet, is hij klaar.

Op deze website  lees ik:

Wanneer er iemand verbinding probeert te maken met je NAS, dan zullen alle regels langsgelopen worden. Je Firewall checkt als eerste de bovenste regel, wanneer deze niet van toepassing is, dan gaat de tweede regel tellen, en zo verder.

Als laatste zou worden gekeken naar wel/niet voldoen aan de regels, om vervolgens toe te staan of te weigeren.

Ergens klinkt het simpel, maar ik denk volgens mij te moeilijk en verzand een beetje. Hoe moet ik dit lezen? Is de volgorde van de regels belangrijk of niet? Met andere woorden: moet je eerst een regel aanmaken voor het interne netwerk (alles toestaan), moet deze juist als laatste komen, of maakt het niet uit. Ik lees verschillende adviezen.

Op het Engelse forum staat ook een topic over de firewall hierover.

Ik zelf zit te denken aan het idee zoals Babylonia het heeft weergegeven. Intern alles toestaan en in een andere regel toepassingen selecteren en deze toestaan voor Nederland.  Verder wat niet voldoet weigeren. Ik draai (voorlopig?) geen mailserver (van belang i.v.m. servers in andere landen las ik op het forum) en gebruik de externe toegang puur voor eigen gebruik in NL. Mocht dit te strak zijn, of als ik naar het buitenland ga, kan ik altijd nog een land toevoegen of het omdraaien dat ik (per regel) 15 landen, of de 'top hacklanden', selecteer zoals beschreven op deze pagina.

Wat is jullie mening/advies in deze en hebben jullie nog overige tips? Geen externe toegang is natuurlijk de meeste veilige weg, maar ik wil graag wel externe toegang. Voorgaande wel op de meeste veilige manier. Het standaard admin/guest account uitschakelen, sterke wachtwoorden, SSL certificaat en auto blokkering heb ik voor elkaar.

[Babylonia]

Het klinkt niet alleen simpel maar lijkt het ook als zodanig te zijn.

Met de firewallregels zoals ik die boven als voorbeeld heb gegeven (maar dan 3 regels voor Nederland en België als toegang + LAN), functioneert hier prima, in de zin dat "pogingen om binnen te komen" niet eens zo ver lijken te komen met die keuze aan firewallregels.
Ik krijg namelijk geen log-bestanden meer uit Azië die IP's blokt als die meer dan 5 inlogpogingen hebben gedaan binnen een bepaalde tijd.
Wat eerder wel het geval was. Zie lijst van geblokte IP's < HIER >
Die laatste beveiliging zit dus kennelijk "achter" de firewall als "tweede vangnet" (en niet vóór de firewall).

[Favreleuba]

Heb je voor NL en BE andere toepassingen geselecteerd? Anders kan dat toch op één regel? Beide landen selecteren, toepassingen toestaan en klaar, of mis ik iets?

De volgorde van de regels, eerste intern, dan extern, of andersom, maakt dus niet uit?

[Babylonia]

Verschillende services voor beide landen. België beperkter.

Volgorde intern of extern maakt volgens mij niet uit. Als je het beredeneert in volgorde, kom je namelijk niet in een conflict. Intern heeft niets te maken met extern. Het staat echt los van elkaar, heeft dan ook voor deze specifieke keuzes geen invloed op die volgorde.

[Briolet]

Is de volgorde van de regels belangrijk of niet?

In beide teksten die je quote staat dat de volgorde belangrijk is, dus waarom de vraag? DSM loopt ze, van boven naar beneden, net zo lang door totdat hij een match heeft. Alle regels die erna komen worden niet meer getest.

[Favreleuba]

Briolet, als je hem zo stelt is het een overbodige vraag. De reden dat ik hem gesteld hebt staat echter in dezelfde alinea voor en na de betreffende zin. Ik wil het graag goed instellen en tevens ook begrijpen, vandaar mijn vragen hierover.

Het antwoord van Babylonia heeft mij meer inzicht gegeven. Interne en externe regels staan dus volledig los van elkaar. In dat geval kan ik de volgorde/match begrijpen waar jij over spreekt en zie ik ook het belang/gevaar van de conflicterende regels in. Weer iets geleerd.

[Babylonia]

In die zin, een Firewallregel bedoeld voor je interne netwerk waarbij je expliciet een bereik opgeeft van interne IP-adressen die je openstelt, heeft geen effect op IP-adressen die erbuiten vallen  (zijnde je externe adressen maar bijv. ook andere interne netwerk gateways). Je zegt in die regel alleen iets specifiek over je gebruikte interne netwerk adressen.

Een regel met een keuze voor een "regio" om die open te stellen, gaat het expliciet om externe IP-adressen.
Dat heeft op haar beurt geen effect op interne IP-adressen, want je zegt in die Firewallregel daarin alleen iets over die regio.

Die twee regels zul je dan ook kunnen uitwisselen qua volgorde.

Waar de volgorde wel belangrijk is, is bijvoorbeeld indien je een regio blokkeert, je erna niet bij een nieuwe Firewallregel uit diezelfde regio een specifiek IP-adres dan weer wel toegang zou willen verlenen, omdat je die complete regio ervoor al hebt geblokkeerd.

Gewoon logisch nadenken, dan kun je er zo uitkomen wat bedoeld wordt.


Misschien een meer inzichtelijk voorbeeld van de eerste situatie van twee regels waarbij de volgorde niet belangrijk is.
Ik ga boodschappen doen en zet op een boodschappenlijstje die producten die ik wil kopen.
- Groene appels uit Nederland
- Rode kersen uit Spanje

Wissel het lijstje om met:
- Rode kersen uit Spanje
- Groene appels uit Nederland

In dit geval maakt het niets uit. Uiteindelijk heb ik zowel groene appels als rode kersen in de boodschappentas.


Nu een boodschappenlijstje waarbij die volgorde WEL belangrijk is in de uitvoering wat er werkelijk gebeurt, waarbij ik stel dat je het lijstje van boven naar beneden moet uitvoeren.
- Koop geen fruit uit Spanje
- Rode kersen uit Spanje
- Groene appels uit Nederland

Je snapt dat de tweede regel in conflict is met de eerste regel. Je komt alleen met groene appels thuis.


In de hieronder aangegeven volgorde van boven naar beneden is het geen probleem.
- Rode kersen uit Spanje
- Groene appels uit Nederland
- Koop geen fruit uit Spanje

Je houdt nu in ieder geval wel een boodschappentas met rode kersen en groene appels over om mee te nemen naar huis.

[Briolet]

Ik zag net een mandje met gele, rode en paarse frambozen bij de Welkoop. Ik wist niet dat je die aanschaf ook met firewall regels kon bepalen. 

Maar serieus: Wat je dus mis kunt doen is om eerste een regel te maken om Nederland toe te staan en pas in een volgende regel specifieke poorten toe te staan.

Dus:
1: Sta Nederland toe
2: Sta alleen poort 5001 toe.

Als de check bij regel 1 ziet dat het IP in Nederland zit, dan heeft hij een match en checkt niet verder. Het gevolg is dat dus alle poorten uit Nederland toegestaan worden. Dat kun je simpel voorkomen door regel 1 & 2 tot één regel te combineren zodat alleen de combinatie land met poort matcht.

Als je het door hebt is het logisch, maar bij te complexe regens zet je snel meer open dan je wilt. (Of juist meer dicht dan je wilt, maar dat merk je snel genoeg)

[Favreleuba]

Haha, Babylonia, een gouden uitleg!! 

Het was mij na jouw vorige uitleg al duidelijk, maar nu helemaal! Bedankt!

[wolfpins]

Goede morgen misschien een stomme vraag maar de derde regel klik ik om die te maken ook op maken en dan op alles weigeren onderaan ?  M.v.g.