Firewall instellingen Synology router - SRM 1.2.x

[reinos]

Inmiddels het probleem gevonden

F-G = Eigen gebruikte LAN en (VLAN) IP sub-netwerken.
          Zoals eerder bij de verschillen tussen router en NAS aangegeven, niet perse noodzakelijk.
          Maar omdat ze wel degelijk „hits“ krijgen, hebben ze eenmaal ingesteld, wel degelijk hun functie.

Aangezien er stond dat dit niet perse noodzakelijk was, heb ik die regel niet toegevoegd. Echter is die wel noodzakelijk omdat je hier aangeeft welk subnet (engelse artikel maakt zelfs 3 subnets, bedankt voor de link; erg interessant!) je subnet toegang geeft tot het internet.

(sorry voor mijn onkunde, maar al doende leert men :-))

[Babylonia]

Die opmerking "toen" (Febr. 2019) had vanuit die vergelijking en opgenomen voorbeelden met name betrekking op het interne netwerk.
Bij de firewall voor de NAS ben je verplicht een dergelijke regel op te nemen voor het LAN netwerk,
anders sluit je jezelf uit bij toegang vanuit dat interne netwerk, indien men dat niet heeft meegenomen.

De NAS firewall werkt slechts vanuit één richting = toegang tot de NAS.  De firewall van de router werkt echter naar twee richtingen toe.
Was me "indertijd" bij het opstellen van die handleiding mogelijk minder bewust van die filtering ook "naar buiten toe".
Dus die tekst van toen kan enigszins verwarrend zijn?  (Lopende de verstreken tijd doet men continue nieuwe ervaring op,
en past men vervolgberichten daarop aan, indien de connecties naar "die andere kant toe = naar internet zelf" belangrijk wordt).

Dat belangrijke verschil router vs NAS, bij de router heb je vanuit het "actieve" LAN sub-net altijd toegang.
Ook al neem je geen firewall regel daarvoor op.
Met uitzondering van aangrenzende "andere" delen van een sub-net in een bereik groter dan 254 Clients.
(Bij gebruik van bijv. sub-net masks   255.255.254.0   of    255.255.252.0 ).

[Briolet]

De NAS firewall werkt slechts vanuit één richting = toegang tot de NAS.  De firewall van de router werkt echter naar twee richtingen toe.

Als je het heel strikt ziet, filtert de router ook alleen verkeer naar binnen toe, want het geblokkeerde verkeer dat er uit gaat, is niiet verkeer dat in de router zelf gegenereerd wordt, maar eerst vanuit de lan naar binnen gaat. Als je je dat realiseert, lijken de werkingen al weer meer op elkaar.

[Babylonia]

...want het geblokkeerde verkeer dat er uit gaat, is niet verkeer dat in de router zelf gegenereerd wordt.

Dat kan wel degelijk.  De router heeft bijv. mogelijkheden om een VPN Client in te zetten direct "op router niveau".
Is niet achterliggend vanuit het LAN.  Idem bijv. "Download Station"  m.b.t. direct aangekoppelde USB harddisks aan de router.
(Die twee bij elkaar zouden eenmaal ingesteld zelfstandig kunnen draaien, zonder dat ook maar één apparaat via het LAN connectie heeft).

Maar het is eigenlijk best wel een complex geheel om daar een voorstelling van te kunnen maken van alle data streams,
waar je rekening mee moet houden in een paar "schematisch opgestelde" firewall regels.
Dat begrip komt vooral als je met de verschillende opties experimenteert en met vallen en opstaan daar praktische ervaring mee opdoet.

[spiceagent11]

Mod edit: Engelse tekst weggehaald. Dit is een Nederlandstalig forum.