Firewall WAN blokkeren en lokaal toelaten hoe???

[berndh]

Misschien is dit al wel eens gevraagd, maar kan met firewall in deze rubriek geen info vinden vandaar dat ik het probeer:

Hoe kan ik het eigen subnet 192.168.2.* toelaten in de firewall setting? Bij firmware voor 4.2 was dit mogelijk door 192.168.2.0 te kiezen als ip adres, maar nu geeft 4.2 aan dat dit een ongeldige waarde is.

Als ik het adres van mijn router invul (192.168.2.254) dan lijkt het wel redelijk goed te gaan, omdat de meeste devices aan het net een dyn IP krijgen van de router. Maar verkeer van het internet komt ook via de router en dus via het 192.168.2.254 binnen. Hoe weet ik nu zeker dat hij al het lokale verkeer toelaat en het WAN verkeer tegenhoud?

[Briolet]

Bij firmware voor 4.2 was dit mogelijk door 192.168.2.0 te kiezen als ip adres, maar nu geeft 4.2 aan dat dit een ongeldige waarde is.

Ik weet het ook niet precies, maar liep tegen hetzelfde probleem aan. Als je 192.168.2.1/255.255.255.0 i.p.v. 192.168.2.0/255.255.255.0 kiest wordt het wel geaccepteerd. De waardes die er oorspronkelijk met een nul op het end stonden staan bij mij nog gewoon in de firewall, maar op het moment dat ik ze edit worden de enties ongeldig.

Maar met de mask laat je toch alle waarden op het end toe zodat het volgens mij niet uitmaakt welk getal je invoert.

Misschien dat iemand met meer ervaring dit weet: is dit een bug in DSM 4.2 of heeft deze verandering een goede reden?

[Rizgar]

Je moet tegenwoordig inderdaad een 1 (of iets anders t/m 254) in plaats van de 0 gebruiken. Schijnt "by design" te zijn.
Zoals briolet al opmerkte: door de 0 in het subnet mask maakt het eigenlijk niet uit wat er op die plaats in het IP-adres staat.
Zie ook het Engelstalige forum: http://forum.synology.com/enu/viewtopic.php?f=145&t=65362

[Robert Koopman]

Als je in je router geen poorten openzet richting de NAS ben je toch al een aardig eind op weg?

[peeweesyn]

Als je in je router geen poorten openzet richting de NAS ben je toch al een aardig eind op weg?

Reden waarom mijn firewall gewoon uit staat (zelfs ondanks geforwarde poorten 5001, 443, 1723 etc).

Automatich blokkeren IP staat aan, maar daar heb ik nog nooit een blokkade gehad. En natuurlijk staat de firewall in de router aan om sync floods, ddos etc tegen te houden.

[Briolet]

@Robert Koopman: Dat zou zo moeten zijn. De vraagsteller had echter de IP van zijn router ingevuld in plaats van de 0 en toen werkte alles. Hij dacht dat het aan dat specifieke adres lag, maar gewoon alles behalve de 0 had gewerkt.

Ik zelf heb niet een range interne adressen open gezet, maar gewoon alle poorten vanaf twee specifieke computers. Ik wil het router adres niet in de range hebben. Ik heb al een paar keer in mijn log gezien dat de 'inbraak pogingen' vanaf mijn eigen externe IP en vanaf mijn interne router adres kwamen. Geen idee hoe ze dat voor elkaar kregen.

Maar omdat de router eigenlijk* nooit een bron adres mag zijn, kun je in de firewall eerst een regel maken dat alle toegang vanaf dat IP blokkeert en daarna een regel die de hele range interne adressen voor de diverse toepassingen opent. (De firewall regels zijn volgorde gevoelig)

*: uitgezonders dingen als syslog berichten etc.

[Basalt]

Ik weet het ook niet precies, maar liep tegen hetzelfde probleem aan. Als je 192.168.2.1/255.255.255.0 i.p.v. 192.168.2.0/255.255.255.0 kiest wordt het wel geaccepteerd. De waardes die er oorspronkelijk met een nul op het end stonden staan bij mij nog gewoon in de firewall, maar op het moment dat ik ze edit worden de enties ongeldig.

Ik ben vandaag van 4.1 naar 4.2-3211 overgegaan. Firewall rule stond en staat op .0, ook wijzigen is mogelijk.
Misschien dat het gefixt is in 3211?

Erik.

[Briolet]

@Basalt: Ik kan bevestigen dat ik mijn 1-tjes nu ook weer terug kan zetten naar 0. Was blijkbaar toch een bug en geen bewuste keuze.

[berndh]

Idd, ook ik kan mijn 1-tjes weer omzetten naar x.x.x.0 adressen.