Firewall instellingen Synology router - SRM 1.2.x

[Briolet]

Vanwege dat automatisch opschonen kies ik altijd 999 dagen als vervalperiode.

Ik heb die van 'altijd' er ook een keer uitgegooid en heb dat vast niet handmatig gedaan. Lang geleden, maar ik verwacht dat ik alles geëxporteerd heb en dan weer geïmporteerd. (Bij mij staan er > 10.000 in en dat heb ik echt niet handmatig verwijderd)

Bij het importeren moet je opnieuw een vervaltijd opgeven.  Alles heeft dan een nieuwe vervaltijd. Als je dan 999 dagen opgeeft, is de file nog niet opgeschoond, maar zijn ze wel over 3 jaar weg.

In mijn geval bij de nas, maar dat zal bij SRM identiek werken.

[GerardR]

@Briolet dank voor de snelle reactie. In het menu zit geen exportfunctie. Alleen import.

[Briolet]

Dan wordt het lastig. Je kunt met ssh inloggen en moeizaam zoeken waar die lijst intern opgeslagen is.

[GerardR]

Ik heb ook nog even in de NAS gekeken. Daar is wel en een exportfunctie.

[Briolet]

Als je een beetje thuis bent met sqlite programmering, kun je proberen het volgende script aan te passen. Dat script haalt een tor blocklist van het internet en voegt dat toe aan de blocklist op de nas.

Omdat hij dat een-voor-een doet per IP adres, is hij daar wel een uur mee bezig. Ik ben er zelf al eens bezig geweest om dit om te schrijven tot een operatie om dit als één blok in te lezen. (Want dsm voegt dit ook in een paar seconden toe.) Mijn kennis van qslite was echter te slecht om dit script efficiënter te herschrijven.

Code: [Selecteer]

#!/bin/ash
#
# version 0.1
# Script import IP's from blocklist.de
# by Ruedi61, 15.11.2016
#
# DSM 6.0.3 AutoBlockIP Table:
# CREATE TABLE AutoBlockIP(IP varchar(50) PRIMARY KEY,RecordTime date NOT NULL,ExpireTime date NOT NULL,Deny boolean NOT NULL,IPStd varchr(50) NOT NULL),Type integer NOT NULL, Meta varchar(256) NULL;

# Download from www.blocklist.de
# Select Typ: {all} {ssh} {mail} {apache} {imap} {ftp} {sip} {bots} {strongips} {ircbot} {bruteforcelogin}
# source: https://www.synology-forum.de/showthread.html?80679-Automatischer-Import-einer-Blockliste

# Modified by Briolet to use a tor list and the new db format with 7 columns, 11.02.2020

BLOCKLIST_TYP="bruteforcelogin"

# Delete IP after x Day's OR use 0 for permanent block
DELETE_IP_AFTER="90" 

# Show Time this Script need at the bottom; 0=no 1=yes
SHOW_TIME="1"


###############################################################################################################
# Do NOT change after here
UNIXTIME=`date +%s`
UNIXTIME_DELETE_IP=`date -d "+$DELETE_IP_AFTER days" +%s`
# wget -q "https://lists.blocklist.de/lists/$BLOCKLIST_TYP.txt" -O /tmp/blocklist.txt

echo "Start loading tor blocklist"
wget -q "https://www.dan.me.uk/torlist" -O /tmp/blocklist.txt

cat "/tmp/blocklist.txt" | while read BLOCKED_IP
do
    # Check if IP valid
    VALID_IPv4=`echo "$BLOCKED_IP" | grep -Eo "^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$" | wc -l`

    if [[ $VALID_IPv4 -eq 1 ]]; then
        # Convert IPv4 to IPv6 :)
        IPv4=`echo $BLOCKED_IP | sed 's/\./ /g'`
        IPv6=`printf "0000:0000:0000:0000:0000:FFFF:%02X%02X:%02X%02X" $IPv4`
        CHECK_IF_EXISTS=`sqlite3 /etc/synoautoblock.db "SELECT DENY FROM AutoBlockIP WHERE IP = '$BLOCKED_IP'" | wc -l`
        if [[ $CHECK_IF_EXISTS -lt 1 ]]; then
            INSERT=`sqlite3 /etc/synoautoblock.db "INSERT INTO AutoBlockIP VALUES ('$BLOCKED_IP','$UNIXTIME','$UNIXTIME_DELETE_IP','1','$IPv6','0','NULL')"`
            echo "IP added to Database!   -->  $BLOCKED_IP"
        else
            REPLACE=`sqlite3 /etc/synoautoblock.db "REPLACE INTO AutoBlockIP VALUES ('$BLOCKED_IP','$UNIXTIME','$UNIXTIME_DELETE_IP','1','$IPv6','0','NULL')"`
            echo "IP already in Database, updating! -->  $BLOCKED_IP"
        fi
    else
    echo "Invallid IP : $BLOCKED_IP"
    fi
done

rm /tmp/blocklist.txt

if [[ $SHOW_TIME -eq 1 ]]; then
    END=`date +%s`
    RUNTIME=$((END-UNIXTIME))
    echo "Finish after $RUNTIME Seconds"
fi
exit 0
Dit script is niet wat je zoekt, maar iets dergelijks kun je ook schrijven om alles in te lezen en dan terug te schrijven met een andere datum.

[GerardR]

Dat is voor mij iets te ingewikkeld. Veel van de geblokkeerde ip adressen staan zowel op mijn NAS als router doordat ik ook gebruik maak van https://www.dan.me.uk/torlist/.
Door de lijst van de NAS te exporteren en opnieuw te importeren (overschrijven) zowel in de NAS als router met een vervalperiode van dagen en niet met "altijd" bespaart het mij veel werk.
Dank voor het meedenken.

[Babylonia]

Je kunt heel gemakkelijk zelf een bloklijst samenstellen en importeren.
Of exporteren vanuit de NAS, aanpassen en inladen in de router.

Het te importeren bestand is een eenvoudig "tekst-bestand"  maar in "UTF-8"  tekst indeling.

Samen te stellen / aanpassen met bijv.   Notepad ++    Elk apart IP-adres in een nieuwe regel onder elkaar.

[Briolet]

Mijn eerdere suggestie om dit te exporteren (of aan te passen) via een sqlite3 commando werkt ook niet. Ik had me niet gerealiseerd dat de router alleen busybox commando's gebruikt in de shell. (zoals het bij dsm 4 en ouder ook was.) Je kunt dus het sqlite3 commando niet even zo gebruiken.

[reinos]

Zojuist heb ik mijn firewall regels ingesteld. Daarbij heb ik ook regel J getest. (de Deny all regel die je helemaal onderaan plaatst). Echter als ik die actief zet, werkt geen internet pagina meer. Nu weet ik dat ik wat gedoe heb gehad met de DNS server. Daarom heb ik deze ook uitgezet, maar ook na het uitzetten kan ik nog steeds geen pagina bereiken. De hits op die regel J schieten ook omhoog!

Ik heb daarna, nadat ik de regel weer verwijderd heb, een test gedaan op alle poorten bij Shields Up. Het resultaat was gewoon netjes waarbij alle poorten op Stealth stonden.

Mijn vermoeden is dan ook dat regel J overbodig is?

Kan iemand dat ook bevestigen?

[Briolet]

Zonder die regel bij J te bekijken, kan ik zeggen dat die zeker goed is. Een firewall moet altijd eindigen met een 'deny all".

Als je alles ervoor goed ingesteld hebt, komt hij nml nooit aan de laatste regel toe bij verbindingen die je wilt toelaten.

Edit: Ik heb even naar die tabel gekeken. Zonder regel J wordt alles wat erboven staat zinloos.

[reinos]

Thanks voor je antwoord.

Een firewall moet altijd eindigen met een 'deny all".

Mijn firewall staat bij K, zoals ook in de eerste post omschreven netje op Deny. Alle 4 de opties.

Volgens de eerste post:

Regel  "J"  heeft nog steeds wel zijn functie:
(Het is dus nog steeds wel zinvol om die regel  "J"  aan het eind te gebruiken).
En dat ondanks de onderdelen bij sectie  "K"  allen op "deny" staan.

De poortscan resultaat is gelijk aan de screenshot die de auteur heeft gemaakt na handmatig de regel "Deny all" toe te voegen.

Daarom was mijn vraag ook of iemand dit kan bevestigen, dus ook kan testen of dit klopt. Maar ook kan bevestigen, dat wanneer die regel "Deny all" zelf wordt toegevoegd het internet weg is.

[Briolet]

Daarom was mijn vraag ook of iemand dit kan bevestigen, dus ook kan testen of dit klopt.

Ik heb het even getest. En het klopt. Met de regel J kan ik geen mail meer versturen vanaf mijn laptop. (gmail en icloud mail)  Ik heb binnen 30 seconden wel een paar honderd blokkades op die regel. 

Maar ik heb mijn firewall ook niet ingericht volgens die regels. (Met name de regel F mist bij mij) Ik heb alleen staan dat mijn laptop onbeperkt bij de router mag komen. Ik heb geen regel dat de laptop onbegrenst naar buiten mag.

[Babylonia]

Daarom was mijn vraag ook of iemand dit kan bevestigen, dus ook kan testen of dit klopt. Maar ook kan bevestigen, dat wanneer die regel "Deny all" zelf wordt toegevoegd het internet weg is.

Indertijd heb ik die handleiding geschreven en uitvoerig getest, en ook de scenario's als die regel er niet bij staat.
Bij mij staat die regel er al jaren bij, en internet is niet weg (anders had ik al jaren geen internet gehad).

Maar er is natuurlijk wel een samenhang in de wijze hoe je de regels erboven inricht.

De basis vanuit mijn opzet is dat de Firewall in eerste instantie "leeg is", je nog niets hebt.
Van daaruit stukje bij beetje "toegang" geeft tot de services die je zelf gebruikt en van buitenaf benaderbaar moeten zijn.
Alles wat daar niet onder valt, blok je aan het eind nog eens af door al het andere te blokkeren.

Met onze conversatie eerder deze week m.b.t. de hulp voor je T-Mobile connectie, en de TeamViewer sessie die we deden.
Hebben we het uitgebreid daarover gehad, omdat met de bijzonder lange lijst aan regels wat jezelf gebruikt,
jij doorgaans precies andersom te werk gaat.  Je maakt regel voor regel aan om iets "te verbieden".
Dat is een heel andere opzet, en juist zo lang omdat je daarmee ook nogal wat zaken uitsluit of over het hoofd ziet
in de werking van de firewall.  Hoe meer regels, hoe meer het overzicht in onderlinge samenhang daarmee verloren gaat.

O.a. zag ik regels waar je heel veel regio's gaat uitsluiten van toegang (in één regel maximaal 15 benoemde landen).

Heb je toen al aangegeven dat het veel efficiënter is alleen de landen te benoemen die je "wel" toegang wilt verlenen.
De rest uit te sluiten.
Rekening houdend met mogelijke familie in het buitenland, zakenreizen en landen waar jezelf op vakantie bent,
kom je daar beslist aanzienlijk eenvoudiger mee uit om het een en ander op te zetten.

We zijn er verder toen niet te diep op ingegaan, omdat het niet het hoofddoel was van onze TeamViewer sessie.
Dat was voor je zeer uitgebreide netwerk te complex om dat door te nemen met tevens zaken die werden geblokkeerd naar buiten toe,
en ik dan je hele netwerk zou moeten kennen met alle functies wat je wel of niet voor toegang of blokkering zou willen inzetten.

Maar ik vermoed dat je in je wijze van denken nog teveel vast zit in die "oude" methode van het samenstellen van die Firewall?
Door zaken regel voor regel "te verbieden" in de plaats van "toegang te verlenen".
De volgorde van boven naar beneden zoals de firewall alles afwerkt zou je daarbij goed in de gaten moeten houden.
Nog meer als je regels wilt combineren om zaken "de andere kant uit" te blokkeren, voor apparaten die niet "het internet op mogen".
Met het aanpassen van de regels zullen daarin beslist nog wel een aantal hiaten zitten, waardoor je er nu niet goed uit komt,
en daarmee nu een andere eind uitkomst oplevert.

Mogelijk zou je de opzet van het netwerk nog anders kunnen inrichten, zodat er beter overzicht in alle functies wordt gehouden?
Mogelijkheden wat een en ander beschrijft is te vinden op het Engelstalige Synology forum < HIER > en aanvulling < HIER >.
In de knowledgebase van Synology < DEZE >

Je gebruikt o.a. het aparte DNS server package van de Synology router, wat ikzelf niet gebruik.
Mogelijk dat daar ook nog wel een aantal zaken m.b.t. aan te maken regels "voor toegang" in de firewall moet worden opgenomen??

Maar daar kan @Briolet je mogelijk wel van aanwijzingen in voorzien, omdat hij ook een DNS-server gebruikt.

[Briolet]

Een firewall moet altijd eindigen met een 'deny all".

Mijn firewall staat bij K, zoals ook in de eerste post omschreven netje op Deny. Alle 4 de opties.

Die laatste 4 regels bij K blokkeren alleen de rest van het inkomende verkeer. Ze doen niets met het uitgaande verkeer. De regel J is strikter door al het in en uitgaande verkeer te blokkeren dat je in de regels erboven niet expliciet toestaat. En in die toestemming voor uitgaand verkeer zal het fout gaan als regel J het internet blokkeert.

Zelf gebruik ik de firewall regels in de router niet uitgebreid. Allas wat mijn nas betreft had ik daar al geregeld. En uitgaande poorten blokkeren deed ik al op de router van mijn ISP voordat de synology router er tussen kwam.  Als ik alles opnieuw moest doen, zou ik idd veel meer in de SRM firewall regelen.

[reinos]

Met onze conversatie eerder deze week m.b.t. de hulp voor je T-Mobile connectie, en de TeamViewer sessie die we deden.
Hebben we het uitgebreid daarover gehad

En daarom ben ik ook opnieuw begonnen :-) (misschien was dat de moeite waard om te melden)

Ik heb 1 regel aangemaakt (overige regels allemaal weg + DNS server uit), dat is de deny all. Ik weet dat er nu geen inkomend verkeer mogelijk is, maar ik zou toch wel internet moeten hebben.

Bedankt voor de linkjes, ik zal die even doornemen en even verder stoeien met de regels. Het is tenslotte gewoon proberen vanuit de gedachten "Je zet het open en niet dicht".

Die laatste 4 regels bij K blokkeren alleen de rest van het inkomende verkeer. Ze doen niets met het uitgaande verkeer. De regel J is strikter door al het in en uitgaande verkeer te blokkeren dat je in de regels erboven niet expliciet toestaat. En in die toestemming voor uitgaand verkeer zal het fout gaan als regel J het internet blokkeert.

Bedankt voor de toelichting!