Firewall instellingen Synology router - SRM 1.2.x

[GerardR]

@Babylonia dank voor de heldere uitleg. Nooit goed begrepen.

[Jerengina]

Super dank voor deze heldere uitleg.
Tutorial heb ik geprobeerd te volgen. Ik werd een beetje nerveus van alle hits en beveiligingsmeldingen met de instellingen zoals hier beschreven staan in dit toppic, slaap ik iets rustiger..

[Jerengina]

Nog een vraagje over de firewall.
Ik heb de regels zoals in de tutorial goed toegepast.
De ip-adressen van de “hits” die ik ontvangen heb, plaatste ik in de zwarte lijst van de firewall. Desondanks blijf ik meldingen krijgen van ip-adressen die ik in de lijst heb staan. Zie bijlage.
Iemand een idee hoe dit kan en hoe ik dit kan verhelpen?

[Babylonia]

Tja, (op de valreep met Nieuwjaar),
is o.a. afhankelijk van firewall regels zelf die je hebt ingesteld  +  aanvullende instellingen.
Zolang het niet bekend is wat je specifiek hebt ingesteld, is het koffiedik kijken.   

[Jerengina]

Volgend jaar post ik wel een overzicht van mijn regels.
Beste wensen allemaal.

[Jerengina]

Bij deze mijn firewallregels van mijn Synology router:

Edit: zie dat de lijst toestaan/blokkeren bij automatisch blokkeren (Netwerkcentrum->Beveiliging->Automatisch blokkeren) te maken heeft met aanmeldingen. Heeft waarschijnlijk niets met de firewall te maken. Indien dit zo is, toppic splitsen of mijn vraag wissen.

[Briolet]

Tja, dat IP l94.102.51.28 is volgens een whois lookup (Who is) geregistreerd op de seychellen, maar is volgens de lookup tabel die Synology gebruikt, gewoon een Nederlands IP:

Code: [Selecteer]

$ whois 94.102.51.28
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

refer:        whois.ripe.net

inetnum:      94.0.0.0 - 94.255.255.255
organisation: RIPE NCC
status:       ALLOCATED

whois:        whois.ripe.net

changed:      2007-07
source:       IANA

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '94.102.51.0 - 94.102.51.255'

% Abuse contact for '94.102.51.0 - 94.102.51.255' is 'abuse@ipvolume.net'

inetnum:        94.102.51.0 - 94.102.51.255
netname:        NET-4-51
descr:          IPV NETBLOCK
country:        NL
geoloc:         52.370216 4.895168
org:            ORG-IVI1-RIPE
admin-c:        IVI24-RIPE
tech-c:         IVI24-RIPE
status:         ASSIGNED PA
mnt-by:         IPV
mnt-lower:      IPV
mnt-routes:     IPV
created:        2019-02-04T13:25:18Z
last-modified:  2019-02-04T13:25:18Z
source:         RIPE

organisation:   ORG-IVI1-RIPE
org-name:       IP Volume inc
org-type:       OTHER
address:        Suite 9
address:        Victoria, Mahe
address:        Seychelles
abuse-c:        IVNO1-RIPE
mnt-ref:        IPV
mnt-by:         IPV
created:        2018-05-14T11:46:50Z
last-modified:  2019-01-31T14:39:36Z
source:         RIPE # Filtered

role:           IPV
address:        Suite 9
address:        Victoria, Mahe
address:        Seychelles
nic-hdl:        IVI24-RIPE
mnt-by:         IPV
created:        2018-05-16T13:28:41Z
last-modified:  2019-01-31T21:21:20Z
source:         RIPE # Filtered

% Information related to '94.102.51.0/24AS202425'

route:          94.102.51.0/24
origin:         AS202425
remarks:        +-----------------------------------------------
remarks:        | For abuse e-mail abuse@ipvolume.net
remarks:        | We do not always reply to abuse.
remarks:        | But we do take care your report is dealt with!
remarks:        +-----------------------------------------------
mnt-by:         IPV
created:        2019-02-08T16:09:55Z
last-modified:  2019-02-08T16:09:55Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.99 (WAGYU)
Het is waarschijnlijk een block IP adressen die fysiek op een Nederlandse server staan, maar eigendom zijn van een (brievenbus)firma op de Seychellen. In de whois lookup staat "Country NL", met ook de coördinaten. Zo te zien lijken me die coördinaten ook in Nederland te liggen. In het code stuk hierboven staat deze info op ongeveer ⅓. (Even scrollen)

Edit:
Overigens zijn je regel 2, 3, 4, 9 en 10 overbodig. Deze worden al door de 1e regel afgedekt. Daarom krijgen die regels ook geen 'hits'.

[Babylonia]

Edit: zie dat de lijst toestaan/blokkeren bij automatisch blokkeren (Netwerkcentrum->Beveiliging->Automatisch blokkeren) te maken heeft met aanmeldingen. Heeft waarschijnlijk niets met de firewall te maken. Indien dit zo is, toppic splitsen of mijn vraag wissen.

Natuurlijk heeft dat er nog steeds wel mee te maken.  Je vindt die regels toch bij de Firewall?
Voor betere controle probeer ik in mijn uitleg echter alle automatisch aangevulde regels te vermijden.
(Die automatisch aangemaakte regels houden namelijk geen rekening met beperkingen per regio).
Heeft betrekking op het eerste plaatje < van die uitleg > - uitvinken en die regels zijn weg.

Voor de rest zit er een regel in je firewall die een aantal andere regels daarmee eigenlijk volledig overbodig maken.

Regels worden van boven naar beneden afgewerkt.

In je bovenste regel geef je aan dat je voor de regio "Nederland" toegang verleent voor alle services / poorten.
Dan hebben die andere 5 stuks "Nederland" regels eronder geen effect meer met daar nog eens apart vernoemde services / poorten.
Want je heb met die eerste regel dat reeds toegestaan voor alle services / poorten.
Vanuit veiligheidsoverwegingen zou ik die eerste regel dan ook helemaal niet gebruiken (dus weggooien).
Alleen de poorten openen voor die paar services die je van buiten ook werkelijk wilt bereiken. Niets meer.

In verband met de volgorde kun je om die reden het eerst beginnen met die lokale LAN IP sub-net bereiken.
Waarbij ik in jou situatie "VPN" gerelateerde virtuele netwerken zie die beginnen met    172.21.x.x    en     172.22.x.x
Waar staat dat    10.0.4.x    netwerk voor?

[Jerengina]

Bedankt voor de reacties! De 1e regel had ik vandaag als experiment toegevoegd. Hiermee maakte ik inderdaad de overige regels overbodig.
Het netwerk 10.0.4.x is het gastnetwerk. Deze is overigens niet actief. Dus ontvangt ook geen hits. Net zoals de beide VPN (standaard openvpn en Openvpn SSL) die momenteel niet actief zijn. (Heb Surfshark naar mijn tv doorgelinkt voor Netflix. )

Als de blokkade van IP-adressen toch mogelijk is, dan begrijp ik niet goed dat ik een hit krijg van een IP dat ik geblokkeerd is, zoals te zien is in mijn vorige post.

[Babylonia]

Dat IP-adres blokkeren, is dat een functie van je smartphone?
Ik zie daar een regel "Deblokkeren na dagen" staan  -----> Altijd.
Moet dat dan niet zijn "Nooit"?    (Nooit deblokkeren / vrij geven).

Betreffende je Firewall, met het getoonde plaatje (vanmorgen) had je nog steeds die automatische regels aanstaan,
voor toegang "Management SRM  /  File Station" van je router.
Die regels gelden voor de hele wereld (niet gebonden aan een regio).

[Briolet]

dat ik een hit krijg van een IP dat ik geblokkeerd is,

Firewall regels en IP blokkade zijn twee verschillende dingen.

1) De IP blokkade verbied alleen het inloggen vanaf dat IP. Je krijgt b.v. bij DSM nog steeds een inlogscherm te zien.

2) De firewall blokkeert alles. Ook weer niet correct, want hij moet eerst een tiental bytes doorlaten. Maar hij reageert niet op de binnenkomende data door een verbinding op te bouwen.

Dat laatste zie je b.v. met een tool als Darkstat. Ik heb poort 22 wel geforward in de router, maar de firewall blokkeert alles op een paar expliciete IP adressen na. Ik zie wel steeds een tiental bytes binnenkomen vanaf een IP die de firewall tegenhoud. (Zie plaatje)

[Babylonia]

2) De firewall blokkeert alles. Ook weer niet correct, want hij moet eerst een tiental bytes doorlaten.
Maar hij reageert niet op de binnenkomende data door een verbinding op te bouwen.

.....Ik heb poort 22 wel geforward in de router, maar de firewall blokkeert alles

Je haalt nu de firewall van je NAS door elkaar met die welke gebruikt in een Synology router.
Met port forwarden in de router is de firewall in de router in ieder geval dan open gezet, andere heb je niks aan port forwarding.

Dat maakt het er in de uitleg of begrip daarin niet overzichtelijker op.

Verder als je in Firewall regels in een Synology router (of NAS) een keuze hebt gemaakt voor alleen toegang binnen een bepaalde regio.
Krijg je geen aanmeldingen voor een te blokkeren IP buiten die regio.   (Hooguit vanuit aanroepen binnen die regio).

[Jerengina]

Dat IP-adres blokkeren, is dat een functie van je smartphone?

Ja, ik krijg per email een bericht van een Thread Prevention. Daar staat het IP-adres in. Deze kan ik via mijn iphone snel via de app DS Router in de blocklist voeren. De optie 'Altijd' is goed. Daarmee blokkeert de router het IP altijd.

[Babylonia]

Ik gebruik de DS router app eigenlijk niet.  Voor de gelegenheid even geïnstalleerd.
Maar interface onder Android is dan toch weer anders als voor Apple.
Zie een dergelijke melding met dat wat kromme Nederlands hier niet als zodanig terug.

[GerardR]

Op de blokkeringslijst bij automatisch blokkeren staan bij mij veel (oude) IP adressen met als vervalperiode "altijd" blokkeren.
Ik wil deze lijst opschonen. Is daar een eenvoudige methode voor anders dan selecteren en via de knop "verwijderen"?