Bericht door: Babylonia op 11 februari 2019, 13:54:15
Die worden besproken bij een ander onderwerp m.b.t. functionaliteiten van de RT6600ax < HIER > (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656).
De achterliggende basisprincipes zijn hetzelfde. Echter door de vele extra functies van SRM 1.3.x -ook in de firewall zelf-
komt het verder af te staan tegenover SRM 1.2.x en vooral ook zoals een firewall gebruikt in een Synology NAS.
De uitleg hier kan mogelijk dan (nog steeds) beter als leidraad dienen, voor tevens ook het begrip van firewall functies van een NAS.
Onderaan deze eerste reactie - specifieke verwijzingen naar voorbeelden van Firewall regels voor een NAS.
Het stukje tekst onder de dubbele lijn vanaf: Belangrijk !!
Introductie:
In dit Synology "router" deel van het forum lees ik geregeld moeilijkheden die mensen tegenkomen bij het aanmaken van Firewall regels.
Omdat in de loop van de tijd het een en ander is aangepast door Synology, hier wat verdere uitleg op de stand van zaken nu.
De Firewall die in de Synology router wordt toegepast, is wat verder uitgebreid, dan die welke in een NAS is geïntegreerd.
Tevens worden soms net wat andere principes aangehouden, waardoor instellingen niet altijd duidelijk zijn
of mogelijk verwarrend als je de firewall van een NAS gewend bent of ermee vergelijkt.
Aanvullingen door Synology:
Sinds SRM 1.2.x heeft Synology "voor het gemak" nog een aantal aanpassingen doorgevoerd
om "geautomatiseerd" firewall regels toe te voegen, bij het instellen van port forwarders.
Die geautomatiseerde firewall regels gelden echter voor toegang vanuit "alle regio's / IP adressen uit de hele wereld".
M.b.t. veiligheid is dat vaak niet de keuze die de gebruiker zelf zou ambiëren in zijn instellingen.
De vervelende eigenschap van die geautomatiseerd toegevoegde firewall regels is dat je ze niet kunt aanpassen,
of in volgorde kunt veranderen. Om externe toegang tot slechts één, of enkele regio's' (of IP bereiken) te beperken,
zijn er gelukkig wel trucjes om de nadelen van die IMO slechte implementatie door Synology te omzeilen.
Die trucjes worden in de volgende uitleg verder uit de doeken gedaan, zodat je de Firewall kunt instellen zoals je het zelf het beste uitkomt.
Verschillen Firewall router vs. NAS:
Enkele principiële verschillen met de firewall zoals die in een NAS wordt gebruikt.
Voor de router is het op zichzelf niet nodig het eigen netwerk (of het gast netwerk) op te nemen in een firewall regel.
Bij een NAS doet men dat doorgaans juist wel. Om de basis tussen die apparaten zoveel mogelijk gelijk te houden,
pas ik die firewall regel voor het eigen netwerk echter ook toe op router niveau.
En gezien het aantal „hits“ heeft het eenmaal ingesteld, wel degelijk zijn functie.
Het verschil zit hem daarin, dat de firewall voor een NAS alleen inkomend verkeer regelt.
De Firewall voor de router zowel inkomend verkeer als uitgaand data-verkeer.
Nog een belangrijk verschil met de firewall in de router tegenover die in de NAS.
Voor apparaten in hetzelfde netwerk, is de toegang tot andere apparaten niet uit te sluiten op basis van firewall regels.
(Alle apparaten hebben connectie tot andere apparaten in het LAN, afgezien van de login-gegevens van die apparaten zelf).
Wel zijn er blokkades in te stellen voor andere (lokale) netwerken, bijv. bij een NAT achter NAT set-up,
en vanuit het tweede sub-net „terugkijken“ naar het eerste sub-net.
Houd verder in gedachte, dat regels van boven naar beneden worden afgewerkt.
IPv4 vs IPv6 - tabblad "Service":
In de router wordt bij de firewall onderscheid gemaakt tussen IPv4 vs IPv6
(Bijv. Port Forwarding heeft bij IPv6 geen functie, dus zijn feitelijk niet van toepassing voor IPv6).
Omdat ikzelf nog helemaal geen gebruik maak van IPv6, stel ik alles in het gemeenschappelijk menu in (IPv4 + IPv6),
geen aparte instellingen voor de afzonderlijke secties. (Die worden automatisch aangevuld vanuit het gecombineerde menu).
Onder "Netwok Center" ----> Security ----> 2e tab "Service" vindt je tevens automatisch aangemaakt instellingen.
Die kunnen eventueel wel aangepast worden, maar heb ze persoonlijk eerlijk gezegd nooit afwijkend ingesteld.
Met wat ikzelf wilde bereiken in het hoofdmenu van de Firewall, heb ik tot nog toe alles naar eigen wens kunnen aanpassen.
(Het maakt het ook minder overzichtelijk als men ook nog eens een keer in dat menu een en ander afwijkend gaat instellen).
Eerste „afwijkende“ basis instelling (zoals persoonlijk door mij toegepast) onder „Control Panel“:
Ik maak o.a. van de optie gebruik om via externe toegang direct te kunnen inloggen op de SRM gebruiksinterface.
Bij de basis-instellingen onder „Control Panel“ kun je een optie inschakelen om van remote access gebruik te kunnen maken.
Daarbij worden in de Firewall echter „niet aan te passen regels“ aangemaakt (vergelijkbaar zoals met Port Forwarders),
die toegang tot het SRM-beheer geven voor "alle regio’s“ in de hele wereld. Ik wil dat echter beperken tot enkel Nederland
(of de regio waar ik op vakantie ben). Hierbij is die functie gelukkig uit te schakelen.
Dus schakel daarbij die optie voor „Allow external access to SRM“ UIT.
En voeg bij de Firewall handmatig de eigen firewall regels toe, om toegang te verkrijgen tot SRM op regio-niveau.
[attach=1]
Firewall - Firewall regels:
De navolgende beschrijvingen hebben betrekking op een afbeelding van de Firewall,
waarbij regels zijn gemarkeerd in gekleurde blokken en ingedeeld in secties.
Secties gemarkeerd als blauw A-B-C = firewall regels niet actief.
Kan onder bepaalde omstandigheden tijdelijk worden geactiveerd voor testen of toegang verlenen voor Synology Support (Taiwan).
D-E = beperkte toegang tot bepaalde regio's voor services op routerniveau (SRM)
F-G = Eigen gebruikte LAN en (VLAN) IP sub-netwerken.
Zoals eerder bij de verschillen tussen router en NAS aangegeven, niet perse noodzakelijk.
Maar omdat ze wel degelijk „hits“ krijgen, hebben ze eenmaal ingesteld, wel degelijk hun functionaliteit.
Dat zit hem in de mogelijkheden van de firewall op router niveau dat het tevens ook "uitgaand" dataverkeer regelt.
(Bijv. toestemming naar het internet toe, en naar (alle) andere LAN netwerken dan het "eigen LAN").
Secties H - I - J heeft betrekking tot Port Forwarding:
Bij het maken van port forwarding regels (in ander menu),
worden zoals eerder opgemerkt automatisch firewall regels toegevoegd
= groen gemarkeerde regels "I" voor "ALLE" regio's.
Om deze automatisch gebruikte functies te stoppen, voegt u een regel toe net boven die regels
= regel J
Sectie H:
Boven die regel J, uw eigen aangemaakte regels
om toegang te hebben tot services waar port forwarders actief zijn voor een kleinere regio,
(of bijv. slechts enkele IP-bereiken) = sectie H
Sectie K:
K = In het verleden deed dit deel min of meer al wat regel "J" nu doet.
Als u alle automatisch toegevoegde regels overslaat die door Synology nu zijn toegevoegd,
was het niet nodig geweest dat te corrigeren met regel "J". Deze instellingen "K" deden feitelijk al hetzelfde.
Alleen "K" is afgestemd op inkomend verkeer. Regel "J" zowel inkomend als uitgaand data-verkeer.
[attach=2]
Opmerking:
De manier waarop Synology deze automatische functies heeft geïmplementeerd, is IMO niet logisch.
Het is nu ingewikkelder geworden dan nodig was om onze eigen keuzes te kunnen maken.
Verder geldt deze uitleg uiteraard slechts als leidraad wat je voor jezelf zou kunnen instellen.
Situaties kunnen voor ieder verschillend zijn, en naar eigen behoefte worden ingevuld.
AANVULLING: 5 maart 2019
Met de eerdere vervelende eigenschap van die extra aan te maken automatische firewall regels,
benoemd in sectie "I" en een work-around om dat met een extra regel "J" te corrigeren,
is er kennelijk op veler verzoek van gebruikers vanaf firmware versie SRM 1.2.1-7779
daar toch een extra optie voor gekomen, om dat uit te schakelen.
Dan vervalt die hele sectie "I", en zou je regel "J" ook niet meer hoeven aan te maken.
Die regel "J" heeft echter nog steeds wel zijn functie. Dus helemaal de oude situatie van "vroeger" is het niet.
Daar komen we iets verder nog op terug.
[attach=3]
Uitvinken + OK en die extra automatisch aangemaakte regels "I" zijn verdwenen:
[attach=4]
En beter ook de algemene UPnP activatie uit te schakelen vanuit algemene internet / netwerk veiligheidsoverwegingen:
[attach=8]
Regel "J" heeft nog steeds zijn functie:
(Het is dus nog steeds zinvol om die regel "J" aan het eind te gebruiken).
Ondanks de onderdelen bij sectie "K" allen op "deny" staan. Dat regelt echter alleen data-verkeer van buiten naar binnen.
Regel "J" heeft zowel betrekking op in- als uitgaand data-verkeer. Een klein, maar niet onbelangrijk verschil.
Om dat aan te tonen gebruiken we de test website "Shields UP" (https://www.grc.com/x/ne.dll?bh0bkyd2) (waarvan de server in USA is ondergebracht).
Klik dan verder op de knop in het midden "Proceed".
Je komt dan aan een webpagina waarbij het mogelijk is de eigen gebruikte poorten te testen waarvoor je port forwarders
en/of rechtstreekse services in de router hebt ingesteld voor externe connectie.
Bij regio blocking met alleen toegang voor "Nederland", zou bij een test alles als "Stealth" moeten worden aangemerkt.
Vul de actieve gebruikte poorten in, en klik op de knop "User Specified Custom Port Probe"
[attach=5]
Indien je port forwarders hebt ingesteld voor een beperkte regio naar een achterliggend apparaat,
maar dat apparaat staat "UIT" (niet ingeschakeld), en men voert een "port scan" uit, zonder regel "J".
Krijgt men het volgende resultaat te zien voor de services van dat apparaat (in mijn geval een DS415+):
[attach=6]
Laat men die regel "J" als laatste zelf aangemaakte regel wel staan, is het resultaat:
[attach=7]
Belangrijk !!
Buiten de instellingen van Firewall regels zelf, instellingen waar nog extra rekening mee te houden / aan te passen.
Aanbevelingen van Synology (voor hun routers): Snelstartgids voor beveiligingsmaatregelen. (https://kb.synology.com/nl-nl/SRM/tutorial/Quick_Start_Security_Router)
Vergelijkbare aanbevelingen "voor een NAS": Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren? (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS)
NAS: Specifieke situatie beschreven < HIER > (https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722) voor een NAS. Maar geldt vergelijkbaar ook voor een Synology router.
Verwijzingen naar een aantal voorbeelden voor instellen Firewall regels voor "een NAS":
1. < meest eenvoudige set-up zonder externe toegang > (https://www.synology-forum.nl/file-ftp-nfs-and-samba-server/kan-geen-verbinding-met-mijn-mediaplayer/msg321080/#msg321080)
2. < voorbeeld 2 > (https://www.synology-forum.nl/firmware-algemeen/er-wordt-paar-x-per-uur-geprobeerd-om-root-acsess-te-krijgen-via-ssh/msg319564/#msg319564) "Firewall regels eenvoudig beschreven:"
3. < voorbeeld 3 met OpenVPN > (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310)
4. < voorbeeld 4 met OpenVPN + NFS protocol t.b.v. "Kodi" > (https://www.synology-forum.nl/file-ftp-nfs-and-samba-server/nas-benaderen-via-openvpn-voor-kodi/msg320798/#msg320798)
(Evt. nog een extra regel tussenvoegen voor poort 80 m.b.t. een 3-maandelijkse "Let's Encrypt" certificaat verlenging).
Bericht door: Tim__ op 13 februari 2019, 22:06:36
Bericht door: Babylonia op 14 februari 2019, 00:45:46
Bericht door: Tim__ op 16 februari 2019, 21:51:19
Bericht door: Babylonia op 17 februari 2019, 13:05:03
Contact via persoonlijk bericht.
Bericht door: Babylonia op 05 maart 2019, 07:44:01
(Inmiddels boven in de eerste reactie gezet. Staat alles bij elkaar):
Met de eerdere vervelende eigenschap van die extra aan te maken automatische firewall regels,
benoemd in sectie "I", is er kennelijk op veler verzoek van gebruikers vanaf firmware versie SRM 1.2.1-7779
daar toch een extra optie voor gekomen, om dat uit te schakelen. Dan vervalt die hele sectie I
[attach=1]
Uitvinken + OK en die extra automatisch aangemaakte regels zijn verdwenen:
[attach=2]
Bericht door: Birdy op 05 maart 2019, 08:17:39
Bericht door: GerardR op 05 maart 2019, 08:56:45
Nog even een vraagje. Welke doelpoorten kan ik bij een buitenlandse reis het beste wel en niet openzetten? De bron IP wordt beperkt tot het land waar ik naar toe ga.
Bericht door: Babylonia op 05 maart 2019, 09:30:05
Doelpoorten blijven gewoon dezelfde poorten die gekoppeld zijn aan de services die je wilt bereiken.
Wil je alleen VPN gebruiken, alleen die services die daar betrekking op hebben (bijv. poort 1194 voor OpenVPN).
Bericht door: GerardR op 18 oktober 2019, 10:07:49
Zie ook de bijlage.
Bericht door: Babylonia op 18 oktober 2019, 10:24:07
Misschien dat dit het verschil maakt?
Die virtuele netwerken zijn bij mij benoemd bij sectie "G" en kun je o.a. vinden onder VPN Plus, onder het menu "Object".
(En daar evt. je eigen gekozen VPN IP bereiken opgeven / aanpassen).
Bericht door: GerardR op 18 oktober 2019, 12:03:23
Staan abusievelijk niet in het plaatje. Sorry.
Waar ik nu wel achter gekomen ben, is dat bij het verbinding maken een ip adres wordt gebruikt die buiten de (standaard) range valt in VPN plus.
Er staat bijvoorbeeld bij local vpn 10.1.5.0/24 of bij default 172.21.0.0/24.
Er wordt nu bij de verbinding een ip adres gekozen dat hoger ligt dan deze range. Ik begrijp niet waarom dat nu zo is.
Door in de firewall niet te stoppen bij 24 maar bij 154 lijkt het probleem opgelost.
Bericht door: Babylonia op 18 oktober 2019, 20:04:28
Waar ik nu wel achter gekomen ben, is dat bij het verbinding maken een ip adres wordt gebruikt die buiten de (standaard) range valt in VPN plus.
Apart?
Kun je eens kijken of mogelijk je gast WiFi netwerk in een bereik zit wat overeenkomt met je virtuele VPN netwerk?
Of wordt hetzelfde virtuele netwerk voor een paar VPN protocollen gebruikt?
(Voor elk VPN protocol heb ikzelf een apart virtueel sub-net ingesteld. ---> Uitgegeven VPN IP adressen vallen altijd binnen het IP-bereik).
Bericht door: GerardR op 18 oktober 2019, 22:30:14
Ik gebruik alleen SSL VPN. Standaard client IP bereik in VPN plus (local VPN) is 10.1.5.0/24 De verbinding wordt gemaakt op …. 154
Bericht door: Babylonia op 19 oktober 2019, 04:17:40
Standaard client IP bereik in VPN plus (local VPN) is 10.1.5.0/24 De verbinding wordt gemaakt op …. 154
Geen wonder dat ik je eerder beschreven ervaring "apart" vond?
Met dit voorbeeld wat het uitgegeven VPN IP-adres wordt, heb je een verkeerd idee van het IP sub-net bereik zelf.
In de schrijfwijze van een sub-net mask met zo'n "breukstreepje" (= prefix).
(In de plaats van een volledig uitgeschreven sub-net mask ----> 255.255.255.0 ).
Een IP subnet met een sub-net mask bereik van 10.1.5.0/24 loopt van IP 10.1.15.1 t/m IP 10.1.15.254
(met IP 10.1.15.255 voor het broadcast IP adres).
Dus als er een IP adres wordt uitgegeven van 10.1.15.154 valt dat gewoon binnen het opgegeven IP sub-net bereik.
Vergelijk eens wat opgaven met de schrijfwijze van een sub-net met zo'n "breukstreepje":
http://jodies.de/ipcalc?host=10.1.5.0&mask1=24&mask2= Het opgegeven IP-bereik loopt van "HostMin" t/m "HostMax"
http://www.subnet-calculator.com/ ----> "Mask Bits" van 24 Vergelijk dan "Host Address Range"
https://mxtoolbox.com/subnetcalculator.aspx
https://www.iplocation.net/subnet-calculator
https://www.tunnelsup.com/subnet-calculator
Bericht door: GerardR op 19 oktober 2019, 06:17:23
Bericht door: Jerengina op 23 december 2020, 21:32:27
Tutorial heb ik geprobeerd te volgen. Ik werd een beetje nerveus van alle hits en beveiligingsmeldingen met de instellingen zoals hier beschreven staan in dit toppic, slaap ik iets rustiger..;)
Bericht door: Jerengina op 31 december 2020, 18:37:17
Ik heb de regels zoals in de tutorial goed toegepast.
De ip-adressen van de “hits” die ik ontvangen heb, plaatste ik in de zwarte lijst van de firewall. Desondanks blijf ik meldingen krijgen van ip-adressen die ik in de lijst heb staan. Zie bijlage.
Iemand een idee hoe dit kan en hoe ik dit kan verhelpen?
(https://uploads.tapatalk-cdn.com/20201231/bd0531a3d4baee9d3fa1e49ff8300bed.jpg)
Bericht door: Babylonia op 31 december 2020, 21:52:09
is o.a. afhankelijk van firewall regels zelf die je hebt ingesteld + aanvullende instellingen.
Zolang het niet bekend is wat je specifiek hebt ingesteld, is het koffiedik kijken. :o
Bericht door: Jerengina op 31 december 2020, 22:26:56
Beste wensen allemaal.
Bericht door: Jerengina op 01 januari 2021, 10:16:32
Edit: zie dat de lijst toestaan/blokkeren bij automatisch blokkeren (Netwerkcentrum->Beveiliging->Automatisch blokkeren) te maken heeft met aanmeldingen. Heeft waarschijnlijk niets met de firewall te maken. Indien dit zo is, toppic splitsen of mijn vraag wissen. :)
Bericht door: Briolet op 01 januari 2021, 10:40:01
[attachimg=1]
Code: [Selecteer]
$ whois 94.102.51.28
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object
refer: whois.ripe.net
inetnum: 94.0.0.0 - 94.255.255.255
organisation: RIPE NCC
status: ALLOCATED
whois: whois.ripe.net
changed: 2007-07
source: IANA
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '94.102.51.0 - 94.102.51.255'
% Abuse contact for '94.102.51.0 - 94.102.51.255' is 'abuse@ipvolume.net'
inetnum: 94.102.51.0 - 94.102.51.255
netname: NET-4-51
descr: IPV NETBLOCK
country: NL
geoloc: 52.370216 4.895168
org: ORG-IVI1-RIPE
admin-c: IVI24-RIPE
tech-c: IVI24-RIPE
status: ASSIGNED PA
mnt-by: IPV
mnt-lower: IPV
mnt-routes: IPV
created: 2019-02-04T13:25:18Z
last-modified: 2019-02-04T13:25:18Z
source: RIPE
organisation: ORG-IVI1-RIPE
org-name: IP Volume inc
org-type: OTHER
address: Suite 9
address: Victoria, Mahe
address: Seychelles
abuse-c: IVNO1-RIPE
mnt-ref: IPV
mnt-by: IPV
created: 2018-05-14T11:46:50Z
last-modified: 2019-01-31T14:39:36Z
source: RIPE # Filtered
role: IPV
address: Suite 9
address: Victoria, Mahe
address: Seychelles
nic-hdl: IVI24-RIPE
mnt-by: IPV
created: 2018-05-16T13:28:41Z
last-modified: 2019-01-31T21:21:20Z
source: RIPE # Filtered
% Information related to '94.102.51.0/24AS202425'
route: 94.102.51.0/24
origin: AS202425
remarks: +-----------------------------------------------
remarks: | For abuse e-mail abuse@ipvolume.net
remarks: | We do not always reply to abuse.
remarks: | But we do take care your report is dealt with!
remarks: +-----------------------------------------------
mnt-by: IPV
created: 2019-02-08T16:09:55Z
last-modified: 2019-02-08T16:09:55Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.99 (WAGYU)Het is waarschijnlijk een block IP adressen die fysiek op een Nederlandse server staan, maar eigendom zijn van een (brievenbus)firma op de Seychellen. In de whois lookup staat "Country NL", met ook de coördinaten. Zo te zien lijken me die coördinaten ook in Nederland te liggen. In het code stuk hierboven staat deze info op ongeveer ⅓. (Even scrollen)
Edit:
Overigens zijn je regel 2, 3, 4, 9 en 10 overbodig. Deze worden al door de 1e regel afgedekt. Daarom krijgen die regels ook geen 'hits'.
Bericht door: Babylonia op 01 januari 2021, 11:20:02
Edit: zie dat de lijst toestaan/blokkeren bij automatisch blokkeren (Netwerkcentrum->Beveiliging->Automatisch blokkeren) te maken heeft met aanmeldingen. Heeft waarschijnlijk niets met de firewall te maken. Indien dit zo is, toppic splitsen of mijn vraag wissen. :)
Natuurlijk heeft dat er nog steeds wel mee te maken. Je vindt die regels toch bij de Firewall?
Voor betere controle probeer ik in mijn uitleg echter alle automatisch aangevulde regels te vermijden.
(Die automatisch aangemaakte regels houden namelijk geen rekening met beperkingen per regio).
Heeft betrekking op het eerste plaatje < van die uitleg > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/msg265310/#msg265310) - uitvinken en die regels zijn weg.
Voor de rest zit er een regel in je firewall die een aantal andere regels daarmee eigenlijk volledig overbodig maken.
Regels worden van boven naar beneden afgewerkt.
In je bovenste regel geef je aan dat je voor de regio "Nederland" toegang verleent voor alle services / poorten.
Dan hebben die andere 5 stuks "Nederland" regels eronder geen effect meer met daar nog eens apart vernoemde services / poorten.
Want je heb met die eerste regel dat reeds toegestaan voor alle services / poorten.
Vanuit veiligheidsoverwegingen zou ik die eerste regel dan ook helemaal niet gebruiken (dus weggooien).
Alleen de poorten openen voor die paar services die je van buiten ook werkelijk wilt bereiken. Niets meer.
In verband met de volgorde kun je om die reden het eerst beginnen met die lokale LAN IP sub-net bereiken.
Waarbij ik in jou situatie "VPN" gerelateerde virtuele netwerken zie die beginnen met 172.21.x.x en 172.22.x.x
Waar staat dat 10.0.4.x netwerk voor?
Bericht door: Jerengina op 01 januari 2021, 12:12:38
Het netwerk 10.0.4.x is het gastnetwerk. Deze is overigens niet actief. Dus ontvangt ook geen hits. Net zoals de beide VPN (standaard openvpn en Openvpn SSL) die momenteel niet actief zijn. (Heb Surfshark naar mijn tv doorgelinkt voor Netflix. ;) )
Als de blokkade van IP-adressen toch mogelijk is, dan begrijp ik niet goed dat ik een hit krijg van een IP dat ik geblokkeerd is, zoals te zien is in mijn vorige post.
Bericht door: Babylonia op 01 januari 2021, 12:28:26
Ik zie daar een regel "Deblokkeren na dagen" staan -----> Altijd.
Moet dat dan niet zijn "Nooit"? (Nooit deblokkeren / vrij geven).
Betreffende je Firewall, met het getoonde plaatje (vanmorgen) had je nog steeds die automatische regels aanstaan,
voor toegang "Management SRM / File Station" van je router.
Die regels gelden voor de hele wereld (niet gebonden aan een regio).
Bericht door: Briolet op 01 januari 2021, 12:30:01
Citaat
dat ik een hit krijg van een IP dat ik geblokkeerd is,
Firewall regels en IP blokkade zijn twee verschillende dingen.
1) De IP blokkade verbied alleen het inloggen vanaf dat IP. Je krijgt b.v. bij DSM nog steeds een inlogscherm te zien.
2) De firewall blokkeert alles. Ook weer niet correct, want hij moet eerst een tiental bytes doorlaten. Maar hij reageert niet op de binnenkomende data door een verbinding op te bouwen.
Dat laatste zie je b.v. met een tool als Darkstat. Ik heb poort 22 wel geforward in de router, maar de firewall blokkeert alles op een paar expliciete IP adressen na. Ik zie wel steeds een tiental bytes binnenkomen vanaf een IP die de firewall tegenhoud. (Zie plaatje)
[attachimg=1]
Bericht door: Babylonia op 01 januari 2021, 12:38:53
2) De firewall blokkeert alles. Ook weer niet correct, want hij moet eerst een tiental bytes doorlaten.
Maar hij reageert niet op de binnenkomende data door een verbinding op te bouwen.
.....Ik heb poort 22 wel geforward in de router, maar de firewall blokkeert alles
Je haalt nu de firewall van je NAS door elkaar met die welke gebruikt in een Synology router.
Met port forwarden in de router is de firewall in de router in ieder geval dan open gezet, andere heb je niks aan port forwarding.
Dat maakt het er in de uitleg of begrip daarin niet overzichtelijker op.
Verder als je in Firewall regels in een Synology router (of NAS) een keuze hebt gemaakt voor alleen toegang binnen een bepaalde regio.
Krijg je geen aanmeldingen voor een te blokkeren IP buiten die regio. (Hooguit vanuit aanroepen binnen die regio).
Bericht door: Jerengina op 01 januari 2021, 12:42:58
Dat IP-adres blokkeren, is dat een functie van je smartphone?Ja, ik krijg per email een bericht van een Thread Prevention. Daar staat het IP-adres in. Deze kan ik via mijn iphone snel via de app DS Router in de blocklist voeren. De optie 'Altijd' is goed. Daarmee blokkeert de router het IP altijd.
Bericht door: Babylonia op 01 januari 2021, 13:06:16
Maar interface onder Android is dan toch weer anders als voor Apple.
Zie een dergelijke melding met dat wat kromme Nederlands hier niet als zodanig terug.
Bericht door: GerardR op 19 maart 2021, 09:24:27
Ik wil deze lijst opschonen. Is daar een eenvoudige methode voor anders dan selecteren en via de knop "verwijderen"?
Bericht door: Briolet op 19 maart 2021, 09:32:31
Ik heb die van 'altijd' er ook een keer uitgegooid en heb dat vast niet handmatig gedaan. Lang geleden, maar ik verwacht dat ik alles geëxporteerd heb en dan weer geïmporteerd. (Bij mij staan er > 10.000 in en dat heb ik echt niet handmatig verwijderd)
Bij het importeren moet je opnieuw een vervaltijd opgeven. Alles heeft dan een nieuwe vervaltijd. Als je dan 999 dagen opgeeft, is de file nog niet opgeschoond, maar zijn ze wel over 3 jaar weg.
In mijn geval bij de nas, maar dat zal bij SRM identiek werken.
Bericht door: GerardR op 19 maart 2021, 09:38:04
Bericht door: Briolet op 19 maart 2021, 09:41:12
Bericht door: GerardR op 19 maart 2021, 09:45:37
Bericht door: Briolet op 19 maart 2021, 09:54:12
Omdat hij dat een-voor-een doet per IP adres, is hij daar wel een uur mee bezig. Ik ben er zelf al eens bezig geweest om dit om te schrijven tot een operatie om dit als één blok in te lezen. (Want dsm voegt dit ook in een paar seconden toe.) Mijn kennis van qslite was echter te slecht om dit script efficiënter te herschrijven.
Code: [Selecteer]
#!/bin/ash
#
# version 0.1
# Script import IP's from blocklist.de
# by Ruedi61, 15.11.2016
#
# DSM 6.0.3 AutoBlockIP Table:
# CREATE TABLE AutoBlockIP(IP varchar(50) PRIMARY KEY,RecordTime date NOT NULL,ExpireTime date NOT NULL,Deny boolean NOT NULL,IPStd varchr(50) NOT NULL),Type integer NOT NULL, Meta varchar(256) NULL;
# Download from www.blocklist.de
# Select Typ: {all} {ssh} {mail} {apache} {imap} {ftp} {sip} {bots} {strongips} {ircbot} {bruteforcelogin}
# source: https://www.synology-forum.de/showthread.html?80679-Automatischer-Import-einer-Blockliste
# Modified by Briolet to use a tor list and the new db format with 7 columns, 11.02.2020
BLOCKLIST_TYP="bruteforcelogin"
# Delete IP after x Day's OR use 0 for permanent block
DELETE_IP_AFTER="90"
# Show Time this Script need at the bottom; 0=no 1=yes
SHOW_TIME="1"
###############################################################################################################
# Do NOT change after here
UNIXTIME=`date +%s`
UNIXTIME_DELETE_IP=`date -d "+$DELETE_IP_AFTER days" +%s`
# wget -q "https://lists.blocklist.de/lists/$BLOCKLIST_TYP.txt" -O /tmp/blocklist.txt
echo "Start loading tor blocklist"
wget -q "https://www.dan.me.uk/torlist" -O /tmp/blocklist.txt
cat "/tmp/blocklist.txt" | while read BLOCKED_IP
do
# Check if IP valid
VALID_IPv4=`echo "$BLOCKED_IP" | grep -Eo "^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$" | wc -l`
if [[ $VALID_IPv4 -eq 1 ]]; then
# Convert IPv4 to IPv6 :)
IPv4=`echo $BLOCKED_IP | sed 's/\./ /g'`
IPv6=`printf "0000:0000:0000:0000:0000:FFFF:%02X%02X:%02X%02X" $IPv4`
CHECK_IF_EXISTS=`sqlite3 /etc/synoautoblock.db "SELECT DENY FROM AutoBlockIP WHERE IP = '$BLOCKED_IP'" | wc -l`
if [[ $CHECK_IF_EXISTS -lt 1 ]]; then
INSERT=`sqlite3 /etc/synoautoblock.db "INSERT INTO AutoBlockIP VALUES ('$BLOCKED_IP','$UNIXTIME','$UNIXTIME_DELETE_IP','1','$IPv6','0','NULL')"`
echo "IP added to Database! --> $BLOCKED_IP"
else
REPLACE=`sqlite3 /etc/synoautoblock.db "REPLACE INTO AutoBlockIP VALUES ('$BLOCKED_IP','$UNIXTIME','$UNIXTIME_DELETE_IP','1','$IPv6','0','NULL')"`
echo "IP already in Database, updating! --> $BLOCKED_IP"
fi
else
echo "Invallid IP : $BLOCKED_IP"
fi
done
rm /tmp/blocklist.txt
if [[ $SHOW_TIME -eq 1 ]]; then
END=`date +%s`
RUNTIME=$((END-UNIXTIME))
echo "Finish after $RUNTIME Seconds"
fi
exit 0Dit script is niet wat je zoekt, maar iets dergelijks kun je ook schrijven om alles in te lezen en dan terug te schrijven met een andere datum.
Bericht door: GerardR op 19 maart 2021, 10:02:54
Door de lijst van de NAS te exporteren en opnieuw te importeren (overschrijven) zowel in de NAS als router met een vervalperiode van dagen en niet met "altijd" bespaart het mij veel werk.
Dank voor het meedenken.
Bericht door: Babylonia op 21 maart 2021, 13:15:54
Of exporteren vanuit de NAS, aanpassen en inladen in de router.
Het te importeren bestand is een eenvoudig "tekst-bestand" maar in "UTF-8" tekst indeling.
Samen te stellen / aanpassen met bijv. Notepad ++ (https://notepad-plus-plus.org/) Elk apart IP-adres in een nieuwe regel onder elkaar.
Bericht door: Briolet op 21 maart 2021, 16:13:08
Bericht door: reinos op 21 oktober 2021, 23:30:00
Ik heb daarna, nadat ik de regel weer verwijderd heb, een test gedaan op alle poorten bij Shields Up. Het resultaat was gewoon netjes waarbij alle poorten op Stealth stonden.
Mijn vermoeden is dan ook dat regel J overbodig is?
Kan iemand dat ook bevestigen?
Bericht door: Briolet op 22 oktober 2021, 00:03:42
Als je alles ervoor goed ingesteld hebt, komt hij nml nooit aan de laatste regel toe bij verbindingen die je wilt toelaten.
Edit: Ik heb even naar die tabel gekeken. Zonder regel J wordt alles wat erboven staat zinloos.
Bericht door: reinos op 22 oktober 2021, 08:30:32
Citaat
Een firewall moet altijd eindigen met een 'deny all".Mijn firewall staat bij K, zoals ook in de eerste post omschreven netje op Deny. Alle 4 de opties.
Volgens de eerste post:
Citaat
Regel "J" heeft nog steeds wel zijn functie:
(Het is dus nog steeds wel zinvol om die regel "J" aan het eind te gebruiken).
En dat ondanks de onderdelen bij sectie "K" allen op "deny" staan.
De poortscan resultaat is gelijk aan de screenshot die de auteur heeft gemaakt na handmatig de regel "Deny all" toe te voegen.
Daarom was mijn vraag ook of iemand dit kan bevestigen, dus ook kan testen of dit klopt. Maar ook kan bevestigen, dat wanneer die regel "Deny all" zelf wordt toegevoegd het internet weg is.
Bericht door: Briolet op 22 oktober 2021, 09:20:52
Citaat
Daarom was mijn vraag ook of iemand dit kan bevestigen, dus ook kan testen of dit klopt.
Ik heb het even getest. En het klopt. Met de regel J kan ik geen mail meer versturen vanaf mijn laptop. (gmail en icloud mail) Ik heb binnen 30 seconden wel een paar honderd blokkades op die regel.
Maar ik heb mijn firewall ook niet ingericht volgens die regels. (Met name de regel F mist bij mij) Ik heb alleen staan dat mijn laptop onbeperkt bij de router mag komen. Ik heb geen regel dat de laptop onbegrenst naar buiten mag.
Bericht door: Babylonia op 22 oktober 2021, 10:12:43
Daarom was mijn vraag ook of iemand dit kan bevestigen, dus ook kan testen of dit klopt. Maar ook kan bevestigen, dat wanneer die regel "Deny all" zelf wordt toegevoegd het internet weg is.
Indertijd heb ik die handleiding geschreven en uitvoerig getest, en ook de scenario's als die regel er niet bij staat.
Bij mij staat die regel er al jaren bij, en internet is niet weg (anders had ik al jaren geen internet gehad).
Maar er is natuurlijk wel een samenhang in de wijze hoe je de regels erboven inricht.
De basis vanuit mijn opzet is dat de Firewall in eerste instantie "leeg is", je nog niets hebt.
Van daaruit stukje bij beetje "toegang" geeft tot de services die je zelf gebruikt en van buitenaf benaderbaar moeten zijn.
Alles wat daar niet onder valt, blok je aan het eind nog eens af door al het andere te blokkeren.
Met onze conversatie eerder deze week m.b.t. de hulp voor je T-Mobile connectie, en de TeamViewer sessie die we deden. (https://www.synology-forum.nl/synology-router/t-mobile-glasvezel/msg305842/#msg305842)
Hebben we het uitgebreid daarover gehad, omdat met de bijzonder lange lijst aan regels wat jezelf gebruikt,
jij doorgaans precies andersom te werk gaat. Je maakt regel voor regel aan om iets "te verbieden".
Dat is een heel andere opzet, en juist zo lang omdat je daarmee ook nogal wat zaken uitsluit of over het hoofd ziet
in de werking van de firewall. Hoe meer regels, hoe meer het overzicht in onderlinge samenhang daarmee verloren gaat.
O.a. zag ik regels waar je heel veel regio's gaat uitsluiten van toegang (in één regel maximaal 15 benoemde landen).
Heb je toen al aangegeven dat het veel efficiënter is alleen de landen te benoemen die je "wel" toegang wilt verlenen.
De rest uit te sluiten.
Rekening houdend met mogelijke familie in het buitenland, zakenreizen en landen waar jezelf op vakantie bent,
kom je daar beslist aanzienlijk eenvoudiger mee uit om het een en ander op te zetten.
We zijn er verder toen niet te diep op ingegaan, omdat het niet het hoofddoel was van onze TeamViewer sessie.
Dat was voor je zeer uitgebreide netwerk te complex om dat door te nemen met tevens zaken die werden geblokkeerd naar buiten toe,
en ik dan je hele netwerk zou moeten kennen met alle functies wat je wel of niet voor toegang of blokkering zou willen inzetten.
Maar ik vermoed dat je in je wijze van denken nog teveel vast zit in die "oude" methode van het samenstellen van die Firewall?
Door zaken regel voor regel "te verbieden" in de plaats van "toegang te verlenen".
De volgorde van boven naar beneden zoals de firewall alles afwerkt zou je daarbij goed in de gaten moeten houden.
Nog meer als je regels wilt combineren om zaken "de andere kant uit" te blokkeren, voor apparaten die niet "het internet op mogen".
Met het aanpassen van de regels zullen daarin beslist nog wel een aantal hiaten zitten, waardoor je er nu niet goed uit komt,
en daarmee nu een andere eind uitkomst oplevert.
Mogelijk zou je de opzet van het netwerk nog anders kunnen inrichten, zodat er beter overzicht in alle functies wordt gehouden?
Mogelijkheden wat een en ander beschrijft is te vinden op het Engelstalige Synology forum < HIER > (https://community.synology.com/enu/forum/2/post/139033) en aanvulling < HIER > (http://).
In de knowledgebase van Synology < DEZE > (https://kb.synology.com/en-us/SRM/tutorial/How_do_I_set_up_Wi_Fi_system_with_managed_switch)
Je gebruikt o.a. het aparte DNS server package van de Synology router, wat ikzelf niet gebruik.
Mogelijk dat daar ook nog wel een aantal zaken m.b.t. aan te maken regels "voor toegang" in de firewall moet worden opgenomen??
Maar daar kan @Briolet je mogelijk wel van aanwijzingen in voorzien, omdat hij ook een DNS-server gebruikt.
Bericht door: Briolet op 22 oktober 2021, 11:32:55
CitaatEen firewall moet altijd eindigen met een 'deny all".Mijn firewall staat bij K, zoals ook in de eerste post omschreven netje op Deny. Alle 4 de opties.
Die laatste 4 regels bij K blokkeren alleen de rest van het inkomende verkeer. Ze doen niets met het uitgaande verkeer. De regel J is strikter door al het in en uitgaande verkeer te blokkeren dat je in de regels erboven niet expliciet toestaat. En in die toestemming voor uitgaand verkeer zal het fout gaan als regel J het internet blokkeert.
Zelf gebruik ik de firewall regels in de router niet uitgebreid. Allas wat mijn nas betreft had ik daar al geregeld. En uitgaande poorten blokkeren deed ik al op de router van mijn ISP voordat de synology router er tussen kwam. Als ik alles opnieuw moest doen, zou ik idd veel meer in de SRM firewall regelen.
Bericht door: reinos op 22 oktober 2021, 19:47:42
Citaat
Met onze conversatie eerder deze week m.b.t. de hulp voor je T-Mobile connectie, en de TeamViewer sessie die we deden.
Hebben we het uitgebreid daarover gehad
En daarom ben ik ook opnieuw begonnen :-) (misschien was dat de moeite waard om te melden)
Ik heb 1 regel aangemaakt (overige regels allemaal weg + DNS server uit), dat is de deny all. Ik weet dat er nu geen inkomend verkeer mogelijk is, maar ik zou toch wel internet moeten hebben.
Bedankt voor de linkjes, ik zal die even doornemen en even verder stoeien met de regels. Het is tenslotte gewoon proberen vanuit de gedachten "Je zet het open en niet dicht".
Citaat
Die laatste 4 regels bij K blokkeren alleen de rest van het inkomende verkeer. Ze doen niets met het uitgaande verkeer. De regel J is strikter door al het in en uitgaande verkeer te blokkeren dat je in de regels erboven niet expliciet toestaat. En in die toestemming voor uitgaand verkeer zal het fout gaan als regel J het internet blokkeert.Bedankt voor de toelichting!
Bericht door: reinos op 22 oktober 2021, 20:11:47
Citaat
F-G = Eigen gebruikte LAN en (VLAN) IP sub-netwerken.
Zoals eerder bij de verschillen tussen router en NAS aangegeven, niet perse noodzakelijk.
Maar omdat ze wel degelijk „hits“ krijgen, hebben ze eenmaal ingesteld, wel degelijk hun functie.
Aangezien er stond dat dit niet perse noodzakelijk was, heb ik die regel niet toegevoegd. Echter is die wel noodzakelijk omdat je hier aangeeft welk subnet (engelse artikel maakt zelfs 3 subnets, bedankt voor de link; erg interessant!) je subnet toegang geeft tot het internet.
(sorry voor mijn onkunde, maar al doende leert men :-))
Bericht door: Babylonia op 22 oktober 2021, 21:54:52
Bij de firewall voor de NAS ben je verplicht een dergelijke regel op te nemen voor het LAN netwerk,
anders sluit je jezelf uit bij toegang vanuit dat interne netwerk, indien men dat niet heeft meegenomen.
De NAS firewall werkt slechts vanuit één richting = toegang tot de NAS. De firewall van de router werkt echter naar twee richtingen toe.
Was me "indertijd" bij het opstellen van die handleiding mogelijk minder bewust van die filtering ook "naar buiten toe".
Dus die tekst van toen kan enigszins verwarrend zijn? (Lopende de verstreken tijd doet men continue nieuwe ervaring op,
en past men vervolgberichten daarop aan, indien de connecties naar "die andere kant toe = naar internet zelf" belangrijk wordt).
Dat belangrijke verschil router vs NAS, bij de router heb je vanuit het "actieve" LAN sub-net altijd toegang.
Ook al neem je geen firewall regel daarvoor op.
Met uitzondering van aangrenzende "andere" delen van een sub-net in een bereik groter dan 254 Clients.
(Bij gebruik van bijv. sub-net masks 255.255.254.0 (https://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=23&cip=77.168.192.25&ctype=ipv4&printit=0&x=52&y=22) of 255.255.252.0 (https://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=22&cip=77.168.192.25&ctype=ipv4&printit=0&x=52&y=22) ).
Bericht door: Briolet op 22 oktober 2021, 22:16:27
Citaat
De NAS firewall werkt slechts vanuit één richting = toegang tot de NAS. De firewall van de router werkt echter naar twee richtingen toe.
Als je het heel strikt ziet, filtert de router ook alleen verkeer naar binnen toe, want het geblokkeerde verkeer dat er uit gaat, is niiet verkeer dat in de router zelf gegenereerd wordt, maar eerst vanuit de lan naar binnen gaat. Als je je dat realiseert, lijken de werkingen al weer meer op elkaar.
Bericht door: Babylonia op 22 oktober 2021, 22:32:37
...want het geblokkeerde verkeer dat er uit gaat, is niet verkeer dat in de router zelf gegenereerd wordt.
Dat kan wel degelijk. De router heeft bijv. mogelijkheden om een VPN Client in te zetten direct "op router niveau".
Is niet achterliggend vanuit het LAN. Idem bijv. "Download Station" m.b.t. direct aangekoppelde USB harddisks aan de router.
(Die twee bij elkaar zouden eenmaal ingesteld zelfstandig kunnen draaien, zonder dat ook maar één apparaat via het LAN connectie heeft).
Maar het is eigenlijk best wel een complex geheel om daar een voorstelling van te kunnen maken van alle data streams,
waar je rekening mee moet houden in een paar "schematisch opgestelde" firewall regels.
Dat begrip komt vooral als je met de verschillende opties experimenteert en met vallen en opstaan daar praktische ervaring mee opdoet.
Bericht door: spiceagent11 op 13 januari 2022, 20:54:08