Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Spie2 op 05 december 2015, 00:22:35
-
Hallo
Welke instellingen kan je aanpassen om een volledige stealth mode te bekomen?
Met dd-wrt kreeg ik vroeger complete stealth mode, nu reageren blijkbaar een aantal poorten (weliswaar met de status 'closed').
Ik gebruik volgende tool:
https://www.grc.com/x/ne.dll?bh0bkyd2
Alvast bedankt.
Groeten
Piet
-
De stekker van het modem eruit ;)
-
@Spie2
- Heb je achter de router nog actieve apparaten (bijv. een NAS) waarbij een aantal services actief zijn?
- Welke poorten heb je mogelijk doorgestuurd?
- Welke Firewall regels heb je in de router ingesteld, en welke Firewall regels in een erachter hangende NAS?
De test bij mij geeft in ieder geval voor de nu door mij van buiten benaderbare services / poorten.
(Speciaal op die poorten getest ----> handmatig bij die test opgegeven):
[attachimg=1]
Waarbij de volgende belangrijke informatie.
In de Firewall regels van zowel de router als de NAS gebruik ik een "regio" selectieve toegang voor Nederland.
Toegang voor de rest van de wereld wordt dan uitgesloten.
Daar de server van "Shields Up" / CRG zich in Amerika bevindt, heeft die server dus geen toegang tot mijn router / NAS.
Maar.....
Deze extra informatie, het middenstuk van de tekst:
[attachimg=2]
geeft aan, dat mijn router / NAS wel een respons terug geeft.
Ik zou me kunnen voorstellen dat een melding wordt verstuurd dat geen toegang wordt verleend ?
-
Het staat me bij dat je ook stealth kunt bereiken op (sommige?) routers door de DMZ naar een niet bestaand IP te laten wijzen.
-
Da's een goeie @Briolet
Bij uitproberen DMZ doorsturen naar een "leeg" IP-adres in mijn 1e modem/router van de ISP werkt dat (met Telfort - Experia Box V8).
Als ik het instel in de RT1900ac (en in de 1e router uit), blijft het "Stealth", maar connectie extern naar de RT1900ac wordt dan verstoord.
Ik kom wel met services op de achterliggende NAS (web-server, DSM, Photo Station), maar niet meer in de SRM van RT1900ac zelf.
Ook is een VPN-verbinding dan niet meer mogelijk met de VPN-server die op de RT1900ac draait.
Dus kennelijk services die op de router zelf draaien blijven dan buiten bereik bij connectie van buitenaf.
Maar goed, met alleen de functie ingesteld in de ervoor hangende Experia Box V8 werkt het wel prima. Dat is het belangrijkste.
Als vergelijking het laatste scherm nogmaals het resultaat van de test op de website van GCR:
[attach=1]
Nog wel een belangrijke opmerking gezien de tekst van GCR.
In mijn geval worden pings ook niet beantwoord en heb ik op die wijze een volledige Stealth weergave. Dat komt omdat ik de mogelijkheid heb (en ook actief toepas) om in de 1e router van de ISP (Experia Box V8) response op Ping requests te negeren.
Schakel ik die functie in (dus er wordt op Ping requests gereageerd), zijn wel alle poorten gesloten, maar is onderstaande schermafbeelding het resultaat van de test.
[attach=2]
In de Synology router zit er geen functie om response op Pings uit te schakelen.
Dus het komt er tevens op aan hoe en welke mogelijkheden je kunt benutten om een combinatie van instellingen te maken in zowel de 1e als de 2e (Synology) router, hoe het resultaat uiteindelijk zal uitpakken. Het is zelfs belangrijk de Firewall mogelijkheden van een achterliggende NAS daarin te betrekken (zoals ook in mijn eerdere reactie vernoemd), omdat bijv. Port Forwarders die in de Synology router worden ingesteld boven die van Firewall regels gaan, en Firewall regels in de Synology router in dat geval dan geen effect hebben op de achterliggende NAS.
Babylonia@
-
Op de Ziggo routers heet het niet reageren op pings: 'blokkeren van ICMP". ICMP (https://nl.wikipedia.org/wiki/Internet_Control_Message_Protocol) is het protocol dat o.a. voor Ping gebruikt wordt.
En mooi om te horen dat DMZ werkt. Op mijn Ziggo Ubee worden nml nog sommige firewall regels op de DMZ toegepast, wat de stealth juist zou kunnen opheffen, iets wat jij ook opmerkt.
-
Bij Telfort / Experia Box V8 vergelijkbaar:
"Respond to ICMP(ping) on WAN interface"
waarbij je dan wel of geen vinkje erbij kunt zetten om het in- of uit te schakelen.
-
Finaal het probleem gevonden... stom issue achteraf gezien.
Het IP-adres voor de DMZ in mijn ISP-provider modem was met één cijfer verkeerd :oops: :oops:
Toch bedankt voor jullie reacties !