Auteur Topic: Firewall Geo blok  (gelezen 4928 keer)

Offline jacobus

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 48
  • -Ontvangen: 9
  • Berichten: 301
Firewall Geo blok
« Gepost op: 25 maart 2017, 18:23:31 »
Ik las net een artikel over veiligheid voor de Nas, wat is Geo blok en hoe stel je dat in bij in firewall  firmware 6.1.2
  • Mijn Synology: DS216Play
  • HDD's: 2x WD Red 216SE BUP
  • Extra's: Mac Mini met SSD

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Firewall Geo blok
« Reactie #1 Gepost op: 25 maart 2017, 19:09:04 »
Geo blokkade is een firewall regel, waardoor mensen vanuit een aan te geven land/regio geen toegang meer kunnen krijgen tot de NAS.

In configuratiescherm, beveiliging, Firewall (er van uitgaand, dat je die wel ingeschakeld hebt) kan je via de knop "Regels bewerken" naar de geldende firewallregels. Daar kan je een nieuwe regel maken. selecteer "alle poorten" en een bron-IP in landen, die je kunt selecteren in een uitklaplijst en dan als actie "weigeren".

Ik heb China, India, Turkije en Oekraine geblokkeerd, wat een hoop ongewenste inlogpogingen onderdrukt.

Let er wel op, wanneer je een of meer commerciële sites beheert (webwinkels en zo), EU-regels verbieden, dat er een geo-blokkade voor EU-landen op staat...
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline jacobus

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 48
  • -Ontvangen: 9
  • Berichten: 301
Re: Firewall Geo blok
« Reactie #2 Gepost op: 25 maart 2017, 19:12:00 »
Dank je wel voor de uitleg, ik snap het nu helemaal
  • Mijn Synology: DS216Play
  • HDD's: 2x WD Red 216SE BUP
  • Extra's: Mac Mini met SSD

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Firewall Geo blok
« Reactie #3 Gepost op: 25 maart 2017, 20:57:48 »
Let er wel op, wanneer je een of meer commerciële sites beheert (webwinkels en zo), EU-regels verbieden, dat er een geo-blokkade voor EU-landen op staat...

Nederlandse regels verbieden het ook. Dit is namelijk discriminatie op grond van ras. In het 'minder-minder' proces heeft een rechter bepaald dat het uitsluiten van inwoners van een land ook discriminatie op grond van ras is.  En racisme is in Nederland strafbaar.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Re: Firewall Geo blok
« Reactie #4 Gepost op: 25 maart 2017, 20:59:25 »
Ik heb China, India, Turkije en Oekraine geblokkeerd, wat een hoop ongewenste inlogpogingen onderdrukt.

Vanwaar deze blokkade, wil je wel dat mensen uit bijvoorbeeld Irak, Rusland en Amerika toegang hebben?
Ik heb alle landen toegang verboden behalve Nederland.
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline mchp92

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 62
  • -Ontvangen: 290
  • Berichten: 1.467
Re: Firewall Geo blok
« Reactie #5 Gepost op: 25 maart 2017, 21:04:46 »
Ik zou dan argumenteren dat je alleen maar de pcs uit een belaald land uit sluit. Die hebben een ip nr. Personen niet ;-)


Sent from my iPhone using Tapatalk
  • Mijn Synology: DS213j
  • HDD's: 2x Seagate 4TB

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Firewall Geo blok
« Reactie #6 Gepost op: 25 maart 2017, 22:28:33 »
De keuze voor deze landen is gekomen na bestudering van de bloklist vanuit het automatisch blokkeren, wat ik heb staan op "nooit er weer in na 3 foute pogingen in 20 minuten". 

In de loop van de tijd was dat een hele lijst geworden (echt honderden, meer dan 1000), en die moet dus bij elk verzoek gecontroleerd worden, wat toch wel een beetje van de performance afsnoepte.

Na blokkade van de genoemde landen kon ik de lijst schoonmaken tot een stuk of 30, wat nu in een jaar tijd nog maar tot 40 groeide.

Zou ik nu in een volgende controle weer bepaalde landen wat erg vaak zien, gaan die er ook uit. Ik kan vanwege de redelijk internationaal georiënteerde (o.a. genealogie) site die ik draai niet overgaan tot "alleen Nederland".
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Firewall Geo blok
« Reactie #7 Gepost op: 26 maart 2017, 00:34:37 »
Citaat
… bloklist  … een hele lijst geworden (echt honderden, meer dan 1000)

Bij mij is die blocklist zeker over de 10.000 entries groot. Ook bij die hoeveelheid merk je er niets van, want dat aantal is niets voor de rekenkracht van een cpu.

Bovendien zal hij echt niet elke entry nalopen. Je mag er van uit gaan dat de blocklist gesorteerd wordt en er dan een slim zoekalgotitme op los gelaten wordt waarbij de lijst na elk vergeleken IP nummer gehalveerd wordt. Na controle van 15 nummers heb je dan al de totale lijst van 10.000 nummers gecontroleerd. (2^14 = 16.384)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Firewall Geo blok
« Reactie #8 Gepost op: 26 maart 2017, 06:41:13 »
Ik kan vanwege de redelijk internationaal georiënteerde (o.a. genealogie) site die ik draai niet overgaan tot "alleen Nederland".

Maar je kunt voor meer efficiency waarschijnlijk wel makkelijker "andersom" werken door alleen de landen toe te staan die je juist wel wilt bereiken.  Dat lijkt me een kleiner lijstje om in te vullen dan landen die je wilt weren.

Het is een afweging. Als je maar in het achterhoofd houdt dat er dus ook een mogelijkheid is "om het andersom te doen".

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Firewall Geo blok
« Reactie #9 Gepost op: 26 maart 2017, 11:04:09 »
Het weren van landen is veel rekenintensiever dan de gewone blocklist. Er zit geen echte logica in de IP ranges die aan landen toebedeeld zijn. En soms zijn bepaalde ranges weer doorverkocht aan bedrijven in andere landen. Per land moet hij dan heel veel lijsten doorlopen. Dat zal ook wel de reden zijn dat er een limiet zit in het kiezen van 15 landen. Wil je meer landen, dan moet je een nieuwe regel aanmaken.

Qua rekenkracht is het veel gemakkelijker om, samen met de poorten, te bepalen welke landen die poorten mogen gebruiken.

En wat betreft de EU regels tot vrije markt bij een webshop: Je kunt gewoon de poorten 80/443 wereldwijd toelaten, maar voor de andere poorten wel een geo blok toepassen. Dat doe ik ook op die manier.

Denk er wel aan dat als je een mailserver gebruikt, de 3 SMTP poorten ook wereldwijd bereikbaar moeten blijven. (ik heb daar alleen een paar landen op de blocklist staan)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline jacobus

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 48
  • -Ontvangen: 9
  • Berichten: 301
Re: Firewall Geo blok
« Reactie #10 Gepost op: 26 maart 2017, 11:07:05 »
Ik heb wel veel los gemaakt met mijn vraag, ik had ook niet beseft dat dat onderwerp nog best wel complex was. Heel interessant om dit allemaal te lezen. Erg leuk dus
  • Mijn Synology: DS216Play
  • HDD's: 2x WD Red 216SE BUP
  • Extra's: Mac Mini met SSD

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Re: Firewall Geo blok
« Reactie #11 Gepost op: 26 maart 2017, 13:02:42 »
Denk er wel aan dat als je een mailserver gebruikt, de 3 SMTP poorten ook wereldwijd bereikbaar moeten blijven. (ik heb daar alleen een paar landen op de blocklist staan)

Ik heb dit nu zo ook ingesteld voor de mailserver maar ik vraag me af of dit wel nodig is. Het blokkeren van landen in de mailserver lijkt mij bedoelt voor de inlogtoegang en niet voor het aankomende van e-mails.

Maar dit weet ik niet zeker, en zou ik graag een keer nog willen gaan testen.
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Firewall Geo blok
« Reactie #12 Gepost op: 26 maart 2017, 13:22:54 »
Nee, dat heeft niets met inloggen alleen te maken.
Ook daar waar de mailserver staat.
Ik blokte ooit een Oostenrijk als proef.
En prompt kreeg ik geen enkele mail meer van UPC klanten.
De mailserver van UPC stond in ..... Oostenrijk  :)
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Firewall Geo blok
« Reactie #13 Gepost op: 26 maart 2017, 14:45:42 »
De IMAP en POP poorten gebruik je persoonlijk vanuit je cliënt en kun je van een regioblok voorzien. Mailservers van over de hele wereld werken met de SMTP poorten voor onderling contact en hebben toegang nodig om de mail te kunnen afleveren op je nas. Bij iCloud (Apple), hotmail (Microsoft,) Gmail (Google) weet je echt niet in welk land hun server staat.

GMail komt bij mij b.v.. steeds binnen uit diverse adressen in het 209.85.128.0/17  of 74.125.0.0/16 blok, welke in de VS ligggen. Ook al is het mailtje vanuit Nederland verzonden.
Fysiek kan zo'n server nog steeds in Nederland staan, ook al is het een buitenlands IP. Google doet dat ook met het IP adres 8.8.8.8. Dat is geregistreerd in de VS, maar in de buurt van Schiphol staat ook een DNS server van google waar al het Nederlandse IP verkeer richting 8.8.8.8 naar toe gaat. De nas kent echter alleen het registratie adres.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Re: Firewall Geo blok
« Reactie #14 Gepost op: 26 maart 2017, 15:20:39 »
En wat als je een relay met de serviceprovider hebt? Geldt dit dan nog?
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen


 

firewall & UDP Broadcast

Gestart door aliazzzBoard Synology Router

Reacties: 19
Gelezen: 1658
Laatste bericht 13 mei 2024, 10:54:39
door Babylonia
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1863
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 4143
Laatste bericht 27 december 2013, 11:30:03
door TonVH
Synology firewall LOGS router?

Gestart door NoFateBoard Synology Router

Reacties: 24
Gelezen: 5857
Laatste bericht 03 maart 2019, 22:35:17
door Babylonia
Firewall logs??

Gestart door paheveBoard Synology Router

Reacties: 6
Gelezen: 987
Laatste bericht 03 januari 2024, 15:09:16
door Birdy