Firewall instellingen bij DMZ naar Diskstation

[Jozef]

Hallo allemaal, ik heb een KPN experiabox (ZTE H220N) waarvan het erg lastig is om poorten open te zetten. Nu heb ik in de experiabox de diskstation als DMZ host aangegeven. Resultaat is dat alle poorten nu standaard open staan naar de NAS. Uiteraard wil ik wel zo veilig mogelijk werken dus wil ik wat zaken aanpassen in de firewall van DSM.

Wat ik al gedaan heb is alleen IP adressen in NL toelaten, als je hier niet aan voldoet wordt je geweigerd. Admin account niet uitgeschakeld, deze heb je soms nodig maar wel 2 traps verificatie toegepast. Gast account uitgeschakeld. 1x verkeerd inloggen en je wordt voor altijd geweigerd en komt op de lijst blokkeren.

Weet iemand of het ook mogelijk is om poorten die ik niet gebruik te blokkeren in de firewall?
Ik heb als voorbeeld poort 5005 (voor bv webdav) ingevoerd in de firewall en aangegeven dat deze geweigerd dient te worden. Echter als je niet aan de regel voldoet wordt je toegestaan. Resultaat is dat ik via webdav nog steeds mijn nas kan benaderen wat dus m.i. niet toegestaan had moeten worden.

Iemand een tip of oplossing?

[Babylonia]

Admin account niet uitgeschakeld, deze heb je soms nodig maar wel 2 traps verificatie toegepast.

Je kunt beter een extra gebruiker met volledige admin beheerrechten geven, en dan de standaard user "admin" uitschakelen. Dan kun je van buitenuit altijd met die nieuwe gebruikersbeheer inloggen in DSM.

M.b.t. Firewall, zie voorbeeld:
http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496

[Briolet]

Admin account niet uitgeschakeld, deze heb je soms nodig…

Bij uitzondering heb je hem nodig, maar dan is het een bug in DSM. Desnoods zet je hem dan even aan.

Weet iemand of het ook mogelijk is om poorten die ik niet gebruik te blokkeren in de firewall?

Gewoon als laatste regel: alle poorten & alle IP's weigeren. Dat zet alle poorten op slot die niet expliciet geopend zijn.

[Robbedoes]

Als je de firewall instelt welke poorten en/of IP ranges  je wel toegang geeft kun je de firewall instellen op alles weigeren wat niet aan de voorwaarde voldoet. Die optie staat onderaan.
Zet wel eerst even je eigen PC adres (of gehele subnet) om toe te staan, want anders sluit je jezelf uit en dat staat de NAS niet toe.

Gehele subnet is bijvoorbeeld IP: 192.168.172.0 , subnet 255.255.255.0, toestaan.

[Jozef]

Bedankt allemaal voor de informatie.
Als bijlage heb ik een screenshot gemaakt van mijn instellingen.
Als ik het goed heb kan alleen een extern ipadres in NL bij de poorten die je ziet en kan ik intern overal bij.
Als je niet aan deze 2 voorwaarden voldoet wordt je geweigerd.

Klopt dit?

[Robbedoes]

Hallo Jozef,

Je kolommen zijn niet breed genoeg (kun je verslepen) dus je IP setting kan ik niet beoordelen.
Misschien even de regel van je eigen netwerk openen en een schermafdruk tonen.

Wel is het nu zo dat waarschijnlijk maar 1 PC toegang heeft (192.168.2.254), is dat je PC?.
Je laat na 1x fout inloggen (wel krap hoor) het IP blokkeren, dus dan kom je er nooit meer in.
Truuk is namelijk ip je PC even tijdelijk handmatig op een ander IP te zetten en dan kun je de blokkade herstellen. Persoonlijk zou ik ook instellen dat een blokkade na 1 (of meer) dag weer vrij komt.
Je kunt een e-mail notificatie krijgen als er fout ingelogd wordt, dus dan kun je altijd extra maatregelen nemen als dat vaker gebeurd.

Heb je ook een webserver op de NAS draaien? Anders hoef je poort 80 niet vrij te geven.
Voor het CMS hoef je alleen of 5000, of 5001 vrij te geven.
Ik neem aan dat je via https poort 5001 wilt connecten, dus dan hoeft 5000 niet vrijgegeven te worden.
Zie https://www.synology.com/nl-nl/knowledgebase/faq/299

[Jozef]

Hoi Robbedoes, het ip adres aangegeven is mijn standaard gateway adres, wat betekend dat alle uitgegeven adressen van de experiabox toegang hebben (intern netwerk).Ik laat idd na 1x fout inloggen blokkeren, waardoor ikzelf 2x "verkeerd" mag inloggen, 1x intern en 1x via mijn synology.me

Dat is direct mijn workaround als ik intern verkeerd inlog. Ik had een website op mijn NAS maar nu niet meer dus poort 80 schakel ik weet uit.

Ik wil inderdaad via HTTPS benaderen en ga dit nog instellen, bedankt voor de link.

[Robbedoes]

Hoi Robbedoes, het ip adres aangegeven is mijn standaard gateway adres, wat betekend dat alle uitgegeven adressen van de experiabox toegang hebben (intern netwerk).

Maar dus niet je lokale netwerk, als je box het niet meer "doet" dan kom je er ook niet meer op.
En gaat je lokale verkeer nu niet altijd via je box ipv dat dit door een switch afgehandeld wordt?

Ik zelf zou 192.168.2.0 genomen hebben.

Even ter info.
Om een (e-mail) notificatie van een verkeerde inlog te krijgen kun je in het Logcenter onder Meldingen de berichtregel maken bij "Trefwoord inclusief": failed to log in

[Jozef]

Hoi, wat bedoel je met box, en wat is het verschil tussen intern en lokaal netwerk?

En verder schrijf je:
Even ter info.
Om een (e-mail) notificatie van een verkeerde inlog te krijgen kun je in het Logcenter onder Meldingen de berichtregel maken bij "Trefwoord inclusief": failed to log in

Waar stel ik dat in, in configuratiescherm---->Meldingen--------geavanceerd?

[Birdy]

Waar stel ik dat in, in configuratiescherm---->Meldingen--------geavanceerd?

Nee, hier:

[Jozef]

Ok, zo juist gedaan, dank jullie wel.

[Robbedoes]

Graag gedaan.