Ondanks firewall blokkade, toch een poging tot inloggen

[HenkGroen]

Ik kreeg vannacht het volgende mailtje:

Beste gebruiker
Het IP-adres [178.128.87.175] heeft 3 mislukte pogingen gedaan om aan te melden bij SSH die wordt uitgevoerd op DS412Plus binnen 9500 minuten, en werd geblokkeerd om Thu Aug 15 01:46:08 2019.

Ik heb echter mijn Firewall op de DSM goed ingesteld dacht ik. (zie bijlage)
Ik gebruik 2FA en de default 'admin' is uitgeschakeld.

Iemand een idee waarom ik ze dan toch krijg. (is overigens de 1e weer sinds maanden)
Het bovengenoemde IP-Adres komt uit Singapore, dus die zou geblokkeerd moeten worden bij de laatste regel in de DSM Firewall

[Birdy]

Het aankloppen blijft gewoon gebeuren echter, ze komen niet binnen.

[HenkGroen]

Hmm. ik zou verwachten dat ze eerst langs de DSM firewall moeten (en dat zou met regel 4 niet lukken)
Blijkbaar mogen ze eerst 'connecten', en dan pas worden de DSM firewal regels doorlopen.
Moet ik het zo zien ?

[Babylonia]

Volgorde van Firewall regels is niet juist.  (Firewall regels worden van boven naar beneden afgewerkt).

Je eerste regel weiger je specifiek een bepaald extern IP-bereik voor "alle poorten".
Wat er niet aan voldoet, mag dan dus nog wel allemaal doorgelaten worden "op alle poorten".
            Voor zover ze in de router zijn geport forwarded en bij de NAS aankomen.
            Kennelijk heb je ook SSH poort 22 doorgestuurd, want komt bij de NAS aan.  (Is dat wel handig ??).

Daar kan het IP-adres uit Singapore dan ook onder vallen.  En wordt dan alsnog opgevangen door de andere beveiliging.

Pas daarna ga je restricties maken voor toegang alleen voor Nederland.
Dat heeft dan niet meer zoveel zin.

Volgorde zou moeten zijn:
1. Toegang intern voor je eigen thuis sub-net
2. Toegang extern alleen voor bepaalde services binnen de regio Nederland
3. Nog eens extra beperking op een bepaald IP bereik.
            Waarvan ik dan uitga, dat het een IP-bereik is binnen Nederland.
            (Anders is het helemaal overbodig die regel te gebruiken).
4. Voor de rest alles weigeren.

[Briolet]

Blijkbaar mogen ze eerst 'connecten', en dan pas worden de DSM firewal regels doorlopen?

Nee, met die firewall regels komt er alleen een eerste datapakketje van ca 40 bytes binnen. Op grond van dat datapakketje besluit de firewall vervolgens om er niet op te reageren. (Met darkstat zie je dat b.v. mooi gebeuren).

Ik snap het ook niet met die 4 regels. Als ik dat IP in de blokkeringslijst invul, zie ik ook dat hij bij dsm bekend is als niet-nederlands.

Het bovengenoemde IP-Adres komt uit Singapore,

Volgens DSM dus uit Griekenland.

[Babylonia]

Volgens een IP whois lookup website uit Singapore:
http://whois.domaintools.com/178.128.87.175

Er zit in de database van regio's kennelijk dus ook nog iets fout?

[HenkGroen]

@Babylonia : Ik ga de Firewall regels eens omdraaien zoals je aangeeft, waarvoor dank !

Ik heb bewust een extra IP-Bereik uit NL geblokkeerd, want daar heb ik uit het verleden heel veel aanvallen uit gehad.

en mbt. tot poort 22 (daar ga ik even achteraan waarom ik deze 'bewust' opengezet hebt, wat dat heb ik volgens mij niet nodig)
(wordt vervolgd mbt. poort 22)

@Briolet : Ik maak gebruik van https://db-ip.com/ en volgens hun is het Singapore.
Maar goed. Dit geeft Babylonia ook al aan

[Briolet]

Het gaat er natuurlijk niet om hoe anderen dat IP zien, maar hoe DSM dat in zijn database heeft staan. Volgens mij gebruikt DSM een gratis database die sinds 1 januari 2019 niet meer geupdate wordt. (Zie de help waar de database bron genoemd wordt) De makers hebben wel een v2 versie van de database.

Maar volgens beiden ligt het IP niet in Nederland en zou dus geen inlog mogelijkheid moeten krijgen met die 4 regels.

[HenkGroen]

@Babylonia
Toch nog even over de regels. (ik heb ze wel op advvies omgedraaid.)
Maar,
Het effect blijft toch hetzelfde. ?

'oude situatie'
Iemand uit Singapore komt aan, en voldoet niet aan een specifiek IP-Reeks uit NL
en gaat dus door naar de 2e regel. Daar voldoet hij ook niet aan, want hij komt niet uit NL
Vervolgens voldoet hij ook niet aan mij 3e (interne lan) rule, en gaat door naar de 4e regel.
En dat is weigeren.

'Nieuwe situatie'
Hij voldoet niet aan de 1e rule (interne lan|), en ook niet aan de 2e rule (NL), en ook niet aan de 3e rule (NL specifieke reeks)
Dan komt hij toch ook bij de 4e uit : Weigeren.

Ik probeer dus te begrijpen wat het verschil maakt in de nieuwe situatie tov. de oude situatie

[Briolet]

Is geen verschil. De volgorde was al goed.

[Babylonia]

Volgorde maakt wel degelijk uit.
Heb er ooit eens een inzichtelijk "Jip & Janneke" uitleg aan gegeven met boodschappen in een boodschappentas:
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887

Als je twijfelt of Firewall regels goed zijn opgesteld kun je dat zelf uittesten met de volgende website in Amerika:
https://www.grc.com/x/ne.dll?bh0bkyd2

Test dan op specifieke poorten van de services die jezelf gebruikt.
Omdat de server in USA is gelegen zou alles "Stealth" moeten zijn, als je regio blocking hebt ingesteld,
waarbij alles buiten Nederlands wordt geblokt.

Voorbeeld van een vergelijkbaar resultaat m.b.t. de Firewall regels voor de Synology router, wat verder naar onderen
(Die wat uitgebreider is dan de Firewall voor een NAS, maar een vergelijkbare basis opzet heeft).
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/

[HenkGroen]

@Babylonia : Ik ga vanavond eens die test met de Amerika website doen vanuit huis (ben nu op werk)

Ik heb je tekst gelezen, en die is qua boodschappen wel helder.
Maar, als ik naar mijn 4 regels kijk, dan zie ik nog niet in, wanneer Singnapore in de oude vs. nieuwe situatie geblokkeerd wordt.
Ik ben benieuwd naar jou uitleg

[Babylonia]

Verdere uitleg om daar tijd in te steken of het wel of niet voldoet heeft niet zoveel zin.
Test het gewoon vanavond uit met "Shields Up".  Dat geeft meteen uitsluitsel.

[HenkGroen]

Ga ik vanavond zeker doen. Wordt vervolgd

[Briolet]

Ik zou gewoon de help lezen, want daar staat het goed uitgelegd. Zoals ik al scheef was het in het screenshot juist goed ingesteld en als je de volgorde veranderd zullen de regels juist niet meer werken. De eerste regel mag echt als eerste staan. In elk geval moet hij voor de Nederland regel staan.

Ik zie alleen niet waarom er toch een inlogpoging vanaf [178.128.87.175] heeft kunnen zijn.