Auteur Topic: Blokkeert firewall uitgaand verkeer?  (gelezen 1571 keer)

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Blokkeert firewall uitgaand verkeer?
« Gepost op: 12 april 2024, 12:21:58 »
Daar ben ik weer. Ik hoop dat jullie me niet vervelend gaan vinden, maar het knutselen met de (voor mij) nieuwe 2600 en dan met name de firewall blijft wel even zoeken hoor. Dit ondanks de geweldige uitleg/handleidingen van Babylonia....

Ik heb een cloudserver draaien op mijn NAS 192.168.2.4 en daarheen een portforwarding ingesteld + de afgebeelde firewall regels: alleen vanuit Nederland te benaderen.

Op mijn andere NAS 192.168.2.3 draait de agenda en de contacten. Ook daarheen een portforwarding met een firewall regel.

Alles wat daaraan niet voldoet wordt door de laatste regel geblokkeerd.

Maar.....waarom kan ik vanuit onze PC's het internet nu niet meer bereiken? Is de laatste regel te streng om moet bij bron alleen "internet" staan ? Houdt deze regel nu alles tegen ook verkeer vanuit mij eigen LAN richting internet?

Dank weer, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #1 Gepost op: 12 april 2024, 15:16:40 »
Veel routers kunnen geen uitgaand verkeer blokkeren. De Synology router kan dat wel. Ik gebruik het b.v. door al het uitgaande verkeer via poort 53 te blokkeren, met uitzondering vanaf de nas. Op die manier kan geen enkel device mijn DNS server omzeilen. (Volgens de teller in de firewall zijn het inmiddels ruim 1000 pogingen om de DNS server die via dhcp voorgeschreven wordt, te negeren)

 Je zult dus een regel moeten toevoegen met als bron je lokale netwerk en als doel alle en dit ook toestaan.

Of

Onderaan de radiobutton aanklikken dat al het andere verkeer vanaf de WAN kant geblokkeerd moet worden. (Dit is de simpelste keuze)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #2 Gepost op: 12 april 2024, 15:27:52 »
Off-topic.

Nu ik naar mijn firewall kijk, zie ik dat er 100.000 keer doorgestuurd is naar de webserver, 300.000 keer naar OpenVPN (poort 1194) en 40.000 keer naar poort 22.  En ik had alle tellers onlangs gereset. Het tellertje voor uitgaand DNS verkeer haalt de 20.000 nog niet.

Ik schrik toch van die getallen. De blokkade gebeurd bij mij op de nas en die blokkeert al het externe verkeer op poort 22. Maar dit tellertje in de router houdt wel mooi bij hoe vaak men die poort bezoekt. En van OpenVPN schrik ik helemaal, want dat gebruik ik eigenlijk zelden. Dus dat is ook onbekend verkeer. Ik wist niet dat dit zo vaak aangevallen werd.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #3 Gepost op: 12 april 2024, 16:45:37 »
Ik schrik toch van die getallen.
Nuance, er zijn vele onderzoeksteams, b.v. op universiteiten maar ook vanuit bedrijven die onderzoek doen naar open poorten en welke services daar luisteren.
Daar heb je niet perse iets van te vrezen.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #4 Gepost op: 12 april 2024, 18:16:41 »
Citaat
Je zult dus een regel moeten toevoegen met als bron je lokale netwerk en als doel alle en dit ook toestaan.
Ja, ik snap het. Ik begin het door te krijgen.

Citaat
Onderaan de radiobutton aanklikken dat al het andere verkeer vanaf de WAN kant geblokkeerd moet worden. (Dit is de simpelste keuze)
Die button zie ik dan weer even niet ....

Maarrre, bedankt weer zover  :thumbup:

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 118
  • Berichten: 753
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #5 Gepost op: 12 april 2024, 21:12:09 »
Als DNS echt wil blokken kan je beter ook even TCP/853 meenemen, dat is DNS-over-TLS en is tegenwoordig ook dikwijls gebruik door oa Android clients etc.
Ik blokkeer hier ; klassiek DNS (53) , dns-over-tls (tcp/853) , dns-over-quic (udp/8853) en nog wat andere varianten (dns-crypt-udp , dns-crypt-tcp, dns-over-https) en dat laatste is wat lastiger en doe ik via een destination-ACL waarin allerlei gekende "DOH" (DNS-over-HTTPS) servers staan.
Op 20dagen (router heeft update gekregen dus reboot) toch wel 3300 hits op die laatste en een 2900 hits op de dns-over-tls variant.

Mijn firewall is echter Mikrotik, geen idee hoe flexibel Synology-firewalls/routers zijn met betrekking tot het binnenhalen van block-lists etc.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #6 Gepost op: 14 april 2024, 06:13:31 »
@dirklammers

De Firewall van een Synology router regelt zowel in- als uitgaand dataverkeer.
Omdat je plaatje in je eerste reactie ook velden voor  Bron- en Doel- interfaces  bevatten, maak je in ieder geval gebruik van SRM 1.3.x
(Altijd belangrijk te weten welke SRM versie men gebruikt.  Bijv.  @Briolet  gebruikt een RT1900ac.  Die gaat niet verder dan SRM 1.2.5
En biedt minder functies / velden in die Firewall).


In mijn handleiding begin ik mijn Firewall regels standaard ALTIJD met toegang voor de thuis gebruikte LAN netwerken.
In principe ga ik er vanuit dat de verbindingen die je voor jezelf vanuit het thuisnetwerk opzet daarin geen restricties wilt leggen.
In ieder geval niet naar buiten toe (internet), ook niet van terugkomend verkeer vanuit internet van websites die jezelf benadert,
NAT loopback, en VPN verbindingen die je mogelijk nog wilt opzetten (eerdere info).  Vandaar in de Firewall  "Alle interfaces".

Die eerste regel zie ik bij jou helemaal niet vermeld.

In combinatie met de laatste regel die je hebt ingesteld, wat alles blokkeert wat niet voldoet aan de voorafgaande regels.
Blokkeer je daarmee zowel in- als uitgaand internetverkeer. Met uitzondering van je clouddiensten, agenda en contacten.


Regels voor je cloud services.
Om het wat overzichtelijker te houden kun je aan elkaar gerelateerde functies combineren binnen één firewall regel.
Voor poorten 80 en 443 zou ik dat zelf bijv. wel doen.   De andere functies m.b.t. Agenda en Contacen ook - poorten 20003, 30000.

(En dan de eindregel, die alles blokkeert).



Gebruikte  DoH  DNS services, met daarin mogelijke extra functies die DNS services bieden met bijv. tegenhouden malware,
en het afdwingen van de door jou gebruikte DoH instellingen boven die van web browsers, stel je bij een Synology router in via eigen menu's.
(Het is geen Microtik).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #7 Gepost op: 14 april 2024, 13:46:17 »
Nu ik naar mijn firewall kijk, zie ik dat er 100.000 keer doorgestuurd is naar de webserver, 300.000 keer naar OpenVPN (poort 1194) en 40.000 keer naar poort 22.

Ik schrik toch van die getallen.

Van die getallen schrik ik ook.  "Tellers" m.b.t. VPN, tellen bij mij nauwelijks op.
Kan het nu niet expliciet controleren naar achterliggende VPN services, want ben op dit moment allemaal met router testen bezig.
Maar doorgaans lopen die tellers alleen op, als ik VPN zelf gebruik vanuit een verbinding van buiten.
Ofwel in loop van weken mogelijk slechts "enkele tientallen".

Omdat jij een RT1900ac gebruikt met SRM 1.2.5
Kijk eens wat meer naar beneden bij een handleiding van de Firewall voor SRM 1.2.5

Vanaf:    Regel  "J"  heeft nog steeds zijn functie:
En zie de test via een Amerimaanse test website:   "Shields UP"

Volgens mij gebruik je die laatst benoemde regel "J" helemaal niet?
Die regel heeft functionaliteit naar twee richtingen toe, ingaand en uitgaand verkeer.
Omdat ICMP  met die laatste regel is uitgeschakeld, (eerder is die in die voorbeelden namelijk niet als firewall regel opgenomen als "toestaan").
Is het WAN IP adres van buitenaf niet te pingen, terwijl services die men thuis heeft draaien wel gewoon bereikbaar zijn.
Ben je voor internet aanzienlijk meer verborgen / "incognito" aanwezig.  Maar krijg je dus aanzienlijk minder aandacht van buiten.

Die Radio buttons helemaal onderaan is alleen voor inkomend verkeer.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #8 Gepost op: 14 april 2024, 18:08:41 »
Citaat
Die eerste regel zie ik bij jou helemaal niet vermeld.
Klopt, want alles zit bij mijn in één netwerk en onderling verkeer bereikt de firewall dus niet eens. Ik ben al blij dat de nieuwe router werkt en dat de firewall nu goed is ingesteld. Nu eens nadenken of ik het netwerk beter in kan richten en welk voordeel dat eigenlijk geeft.

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #9 Gepost op: 14 april 2024, 19:03:23 »
Dat heeft op zichzelf niet eens zozeer met onderling verkeer van meerdere thuisnetwerken te maken,
want dat is al op ander wijze afgedekt binnen standaard instellingen van de router.
(Er is naast een primair netwerk overigens ook nog een gast netwerk, ofwel tweede netwerk).

Maar wel met functies LAN versus internet verkeer, en samenhang met andere wel gebruikte firewall regels.
Waarom ben je anders dit onderwerp gestart??   In je eerste openingsreactie van dit onderwerp schreef je:

Maar.....waarom kan ik vanuit onze PC's het internet nu niet meer bereiken?

Dus hoe zit het nu, kun je nu wel of niet het internet op met die PC's ??
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #10 Gepost op: 14 april 2024, 19:43:25 »
Ja het werkt nu zoals ik verwacht en ik kan de buitenwereld bereiken. De firewall is nu ingesteld zoals op bijgaande afbeelding.
Ik dacht door de laatste regel te wijzigen en als bron-interface "internet" te kiezen alle ongewilde aanroepen vanuit het internet geblokkeerd worden. Goed gedacht?
Ja, ik ben nog een newbie hoor wat routergebruik betreft, dus tips zijn welkom. Het samenvoegen van poorten bij ik bij de VPN-regel al wél gedaan, bij de andere dus nog niet.

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #11 Gepost op: 15 april 2024, 04:43:15 »
....De firewall is nu ingesteld zoals op bijgaande afbeelding.

Ja, je kunt het ook op die wijze afstemmen.

Er zijn meerdere wegen naar Rome.  Het is een andere benaderingswijze dan welke ikzelf gebruik.
Het aanpassen van de laatste firewall regel,  -om alleen het overige dataverkeer vanuit internet te blokkeren-
heeft dan geen invloed meer op uitgaande data, of op andere thuisnetwerken nu niet expliciet benoemd / weergegeven in de firewall.
(Als totaal overzicht van alle mogelijk gebruikte "test" netwerken houd ik zelf wel graag het overzicht binnen het firewall menu).

Dat is op jou wijze ingesteld een equivalent van de functies met "radio buttons" helemaal onderaan bij het menu van de firewall,
als je die openklapt.  Als die allen op "Weigeren" staan.   Alleen met die extra eindregel "nu" met de weergave van treffers erbij.
(Je zou die laatste regel dan ook weg kunnen laten).

In hoeverre je dan nog wel traceerbaar bent voor ongenode gasten, heb ik in die vorm nooit uitgeprobeerd.
(Zie mijn verwijzing bij het antwoord gegeven bij Briolet).

De meeste mensen die een Synology router gebruiken, zijn (eerder) ook al gebruikers van een Synology NAS.
De functies van de firewall van een NAS verschillen fundamenteel met die van een router.
In die zin, dat bij een NAS de firewall alleen voor binnenkomend data verkeer geldt.  Bij een router zowel in- als uitgaand dataverkeer.

Om onderlinge verwarring in het opstellen van firewall regels tussen NAS en router zoveel mogelijk te voorkomen,
gebruik ik zoveel mogelijk een vergelijkbare firewall structuur.  (Dat leg ik bij die handleidingen ook als zodanig uit).
Dat is in de loop van de tijd ook als zodanig gegroeid om het op die wijze in te zetten.
Bij eerdere versies SRM (ouder dan SRM 1.3), had je die extra "interface" velden nog niet.
Dat geeft nu andere mogelijkheden.

(Met die "andere" benaderingswijzen geeft dat misschien ook mogelijkheden om "mijn" problemen rondom IPv6 op te lossen??)

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #12 Gepost op: 15 april 2024, 07:45:47 »
Dank voor je reactie weer Babylonia. Ik leer elke dag. Met de firewall van de NASsen was ik al aardig ervaren, de firewall van de router werkt net iets anders en uitgebreider.
Om weer zo snel mogelijk in bedrijf te zijn heb ik gekozen voor de oplossingen zoals ik die nu heb ingesteld. Volgens mij is alles nu wel veilig. Dat er andere/betere/slimmere oplossingen zijn, dat geloof ik graag. Zoals gezegd: ik leer elke dag weer wat...

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline dirklammers

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 127
  • Berichten: 1.020
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #13 Gepost op: 15 april 2024, 10:56:36 »
Ik zie nu pas dat je de onderste regel met radiobuttons kunt uitklappen.... ::)
Inderdaad maakt dat mijn laatste regel overbodig. Wel leuk om te zien hoe vaak er iets wordt geblokkeerd. Is dit normaal zo'n aantal hits ....

Groet, Dirk
DS1821+ met 8 X WD30EFZX in SHR-2 configuratie BTRFS als fileserver
DS720+ met 2 X WD30EFRX VPN/SS/Backup/Caldav/Carddav
DS118 met WD20EFRX als test-NAS
DS220+ als Cloudserver
DS220+ als backupserver

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: Blokkeert firewall uitgaand verkeer?
« Reactie #14 Gepost op: 15 april 2024, 11:26:47 »
Ik blokkeer hier ; klassiek DNS (53) , dns-over-tls (tcp/853) ,…

Ik had die poort 853 vrijdag ook opgenomen en zie nu dat er al 460 blokkades over het weekend waren op die poort. Bij poort 53 was dat over het weekend 530 keer waarvan 166 naar de google dns. 83 maal naar 8.8.8.8 en 83 maal naar 8.8.4.4.  Dat is de Android telefoon die elke keer als hij uit de slaapstand komt, eerst deze twee dns servers probeert te bezoeken, voordat hij netjes de officiële dns server van het netwerk gaat gebruiken.

Heel irritant omdat ik een eigen dns server run en de boel de mist in draait als deze genegeerd wordt. b.v. bepaalde domeinnamen werken dan niet goed bij een externe dns server.  DOH op Chrome werkt wel goed. Die herkent dat er een lokale dns server actief via een speciale setting op de server is en gebruikt dan geen DOH meer, ook al stel je dat in op Chrome.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

SABnzbd blokkeert hibernate

Gestart door AnonymousBoard SABnzbd (usenet)

Reacties: 6
Gelezen: 3193
Laatste bericht 26 juli 2010, 23:49:18
door apst
Router blokkeert 'suspicious network behavior' van mijn DS213+

Gestart door YgolonysBoard The lounge

Reacties: 2
Gelezen: 1887
Laatste bericht 16 september 2016, 21:36:16
door Ygolonys
De router blokkeert delen van het olympisch nieuws.

Gestart door BrioletBoard Synology Router

Reacties: 12
Gelezen: 1375
Laatste bericht 09 augustus 2021, 15:48:50
door stapper
Afspelen MKV bestand blokkeert. Afspelen begint weer opnieuw (loop)

Gestart door Veenhoven30Board Media Streaming mods

Reacties: 1
Gelezen: 3105
Laatste bericht 09 februari 2014, 13:38:27
door Clan1511
twee weg verificatie blokkeert inloggen

Gestart door erik@040Board Synology DSM algemeen

Reacties: 10
Gelezen: 6118
Laatste bericht 30 oktober 2015, 22:27:40
door flingle