Hoe firewall instellen in de router.

[trebor]

Hallo allen,

Ben in het bezit van een Synology Router en heb een vraag over het instellen van de firewall.
Mijn firewall is ingesteld zoals in de bijlage is te zien.(dit is door de router zo ingesteld bij installatie)
Ik ben een redelijke leek hier in dus is mijn vraag wat is een goede instelling voor mijn firewall.

alvast bedankt voor jullie reactie.

[Babylonia]

Dat is alleen maar om de gebruiksinterface van de router ook van buiten uit te benaderen. Op deze manier "vanuit de hele wereld".  Lijkt me geen goed plan.
Sinds de update naar firmware 1.1 zijn er een aantal zaken in veranderd, die wat verwarrend zijn, en in mijn ogen zeker nog bijstelling behoeven door het Synology software ontwikkelteam. Nu zou je wat "trucjes" moeten gebruiken om het op een betere manier in te stellen.

Ik zit nu op een externe locatie, en vanaf een tablet met beperkte mogelijkheden.
Wil er op een later tijdstip komende week (na woensdag) wel op terugkomen.
Maar je kunt enigszins de methodiek bestuderen in de werking bij het volgende draadje  < HIER >.
Let op dat de Firewall van de router iets anders is van opzet, en werking als die van een NAS,
die op haar beurt ook al weer is aangepast in de loop van de tijd.

In grote lijnen is de basis echter wel vergelijkbaar.
Belangrijk punt om te onthouden is dat Port Forwarding in de router boven die van Firewallregels gaan. Ofwel die hebben een hogere prioriteit.
Praktisch houdt dat in, dat alles wat je aan services doorstuurt naar apparaten achter de Synology router, Firewallregels daar NIET voor gelden.
Daarvoor moet je in de achterliggende apparaten (zoals een NAS) een goede Firewall voor instellen.

Sinds firmware 1.1. heeft men er tevens een andere "schil" bijgehaald, die IMO alleen maar meer verwarrend is, en ingewikkelder maakt, en niet nodig zou zijn geweest als men de basis-opzet van de Firewall daarin verandert, om Firewall regels een hogere prioriteit te geven nog voor Port Forwarders.

[trebor]

Hallo Babylonia,

Sorry voor mijn trage reactie, maar bedankt voor je uitleg. ik zal me er even in proberen te verdiepen.
ik laat mijn vorderingen wel even weten.

groet Trebor

[Babylonia]

Ik zit nu op een externe locatie, en vanaf een tablet met beperkte mogelijkheden.

Ik ben inmiddels weer terug zal later op de avond wat schermafbeeldingen geven, heb je een beter startpunt voor de Synology router.

[trebor]

ok, thanks, dan hou ik dat even in de gaten.
groet.

[Babylonia]

Sinds de update naar firmware 1.1 zijn er een aantal zaken in veranderd, die wat verwarrend zijn, en in mijn ogen zeker nog bijstelling behoeven door het Synology software ontwikkelteam. Nu zou je wat "trucjes" moeten gebruiken om het op een betere manier in te stellen.

En dan gaat het alleen nog om de aanpassingen met de firewall zoals die ervoor werd gebruikt in voorgaande firmware versies.

Vreemd is dat Synology afwijkende principes hanteert voor de firewall zoals die in de router wordt toegepast, en zoals die bij een NAS. Gebruik je alle twee de producten van Synology kan dat erg verwarrend zijn, als je alleen de hoognodige regels in zou stellen, omdat er dan verschillende regels worden opgenomen voor de router of een NAS om tot eenzelfde werking te komen.

Om voor mezelf een meer consistent gebruik van beide firewalls met evenwaardige instellingen te gebruiken, vul ik wel eens extra Firewall regels in, die voor de router eigenlijk helemaal niet nodig zijn, maar voor het begrip tegenover die welke in de NAS zijn ingevuld dan wel gelijkwaardig van opzet zijn. Op die wijze houd ik het "in het begrip" gelijk, en heb ik beter overzicht met wat er in de router is ingesteld en wat in de NAS.

Verder gebruik ik voor schermafdrukken even de Engelstalige interface, want zo kan ik met diezelfde afbeeldingen over dit onderwerp tevens op het internationale forum van Synology erover schrijven en vragen stellen.


Twee Firewall regels zijn gekoppeld met een instelling elders in het Configuratiescherm.
En dan gaat het om de SRM interface wel- of niet van buiten uit te kunnen benaderen.




EDIT 4 oktober 2016:
Er zijn een aantal nieuwe settings vanaf firmware 1.1 en 1.1.1 die eerder ontbraken, waarbij een aantal kritiekpunten en wensen van gebruikers ten aanzien van de werking van de firewall kennelijk nu zijn meegenomen. De functionaliteit wordt daarmee verder verbeterd.
Met name ten aanzien van achterliggende apparaten om services van buiten uit te benaderen, waarvoor port forwarders zijn ingesteld.
Die extra functionaliteit had ik eerder nog niet opgemerkt.  De uitleg is aangepast aan die nieuwe functionaliteit.


Die instelling van de afbeelding hierboven schakelt de twee regels van de firewall uit of in (met vinkje) bij Firewall-regels 1.




Firewall-regels 1.
Als je goed kijkt zijn de teksten van die twee regels iets grijziger van tint.  Sinds firmware SRM 1.1 kun je die twee regels op zichzelf niet meer aanpassen.  Ze zijn ofwel uitgeschakeld (zoals in de schermafbeelding), ofwel ingeschakeld.  Echter ingeschakeld heb je geen enkele mogelijkheid daarin nuances in aan te brengen voor bepaalde IP-bereiken of expliciete IP-adressen van waar je vandaan de mogelijkheid wilt geven van buiten uit in te loggen. Inschakeling betekent gelijk toegang "vanuit de hele wereld".  Zeer onbevredigend.

Firewall-regels 2.
Door met een trucje handmatig diezelfde regels vanuit 1. extra aan te vullen, kan ik die nuance wel aanbrengen.
In dit geval alleen voor toegang vanuit de regio Nederland.
Werkt alleen goed samen met de instelling helemaal onderaan rechts.  "If IPv4 WAN to SRM traffic matches no rules:  Deny access"
Als ik zou willen zou ik de voorwaarden ervoor m.b.t. poorten 8000 en 8001 ook in één firewall-regel kunnen samenvatten/instellen, maar om aan te sluiten in de stijl van de twee door Synology zelf aangevulde regels, heb ik dat ook in twee regels vastgelegd.

Firewall-regels 3.
Deze regel om toegang vanuit je eigen LAN thuisnetwerk mogelijk te maken voor alle protocollen en services.
Hier zit de inconsequentie van Synology in hun filosofie tegenover het gebruik van firewallregels bij een NAS.
Bij een NAS is het mogelijk jezelf buiten te sluiten als je die regel er niet bijzet en onderaan rechts "Deny access" aanvinkt.
(Dat is wel afhankelijk welke versie DSM,  en op welk niveau  je firewall regels instelt of de optie van "Deny access" wel of niet aanwezig is).
Voor de router kan die regel gewoon worden weggelaten. Vanuit je eigen LAN kun je altijd in de router komen.
Maar zoals eerder uitgelegd, om niet in verwarring te worden gebracht met de wijze zoals het bij een NAS werkt, heb ik het hier ook ingevuld.

Firewall-regels 4.
In mijn situatie heb ik een VPN-server package geïnstalleerd op de router en ingesteld voor alle VPN-protocollen.
Vergelijkbaar zoals bij regels 3. maar nu voor alle virtuele  VPN  IP-bereiken.
In dit geval PPTP wel ingesteld, maar uitgeschakeld. (Geldt ook voor de VPN-server in het PPTP protocol zelf die is uitgeschakeld).
PPTP is namelijk het minst veilige VPN-protocol. Beter om het normaal niet te gebruiken.
In mijn situatie wordt het alleen gebruikt voor test-doeleinden, en kan het op deze wijze makkelijk in- en uitschakelen.

Firewall-regels 5.
Idem zoals bij regels 4., maar nu voor de VPN services en poorten zelf zoals die van buiten uit worden benaderd.
In dit geval ingesteld enkel voor de regio Nederland.

Firewall-regels 6.
- Een regel voor een webserver op een achterliggende NAS
- Een regel voor benadering gebruiksinterface DSM van de NAS
LET OP !
Voorheen in oudere firmware versies waarbij voor deze achterliggende services poorten moesten worden doorgestuurd naar de achterliggende NAS, had het doorsturen van poorten een hogere prioriteit dan firewall-regels. Die twee regels kon je toen net zo goed weglaten, hadden feitelijk helemaal geen functie. Dat is nu inmiddels bijgesteld in de extra regels ondergebracht bij punt 7.

Firewall-regels 7.
Extra regels die in oudere firmwareversies niet voorhanden waren.
Hiermee kun je o.a. specifiek regelen of je services bedoeld voor achterliggende apparaten waarvoor port forwarders zijn ingesteld wel of niet met aanvullende firewall regels wilt laten gelden.

Met deze nieuwe firewall functionaliteit heb ik met bovenstaand ingevulde firewall regels exclusief connectie "vanuit Nederland",
inclusief geldend voor een achterliggend aangesloten NAS waarbij de firewall van de NAS zelf NIET is ingeschakeld.
Controle vanuit de in USA gesitueerde website "Shields Up" geeft dan een volledig "stealth" resultaat.
Precies wat de bedoeling is met deze instellingen. Slechts beperkte toegang van Nederland, verder "onzichtbaar" voor de rest van de wereld.

https://www.grc.com/shieldsup




Ter controle ook even andere instellingen gedaan voor die genoemde services op de achterliggende NAS,
waarbij de firewall-regels zijn uitgeschakeld, en de functie "Allow access" alleen is ingesteld voor WAN-to-LAN,  niet voor WAN-to-SRM....




....en typisch alleen voor de services WAN-to-LAN zijn nu toegankelijk, niet voor WAN-to-SRM




Opmerkingen - andere onderdelen m.b.t. de firewall - vragen:
De wijze van firewall instellingen zoals hiervoor een voorbeeld is gegeven is met name afgestemd voor connecties van buiten uit naar binnen.
De specifieke onderdelen erin met sub-menu's maken echter ook instellingen mogelijk om "andersom" te werken, van binnen naar buiten,
of voor onderling verkeer binnen het thuisnetwerk zelf.

Bijvoorbeeld  "Source IP"  en  "Destination ID" zijn in te vullen als een "intern LAN IP-adres"  tegenover een  "extern internet IP-adres".
Compleet met mogelijkheden om een regio te kiezen voor  "Destination ID".  Dezelfde mogelijkheden ook met poorten om die in te stellen.

Het is me niet duidelijk waarom bepaalde settings zoals ze (standaard) door de router worden ingevuld,
zijn te rijmen als juiste instelling om het correct werkend te hebben in relatie tot bepaalde services.
Bijvoorbeeld voor de connecties van buiten uit naar binnen staan de  "Source Ports"  op  "All"
Beperk ik die poorten slechts tot de expliciete waarden zoals voor de achterliggende service gebruikt, werkt de firewall-regel niet meer.
Voor de  "Destination Port"  zijn de poorten evenwel expliciet ingesteld voor die achterliggende services.
     Dus       "Source Port"  ----> ALL          versus          "Destination Port" ----> alleen specifieke poorten.    Alleen zo werkt het.


Dan heeft de router firewall nog een extra tab met aanvullende instellingen die is gekoppeld met de "firewall-regels" instellingen.



Bepaalde services die hier als "Enabled" zijn aangegeven, zijn op hun beurt weer gekoppeld met in te schakelen services op de router zelf.
De router heeft mini-NAS achtige functionaliteiten.  Daar hebben deze instellingen betrekking op, NIET op een achterliggend aangesloten NAS.
Ten aanzien van  WebDAV  is dat als functionaliteit nu niet ingesteld op de router, die staat om die reden dan op "Disabled".
Dat poorten van een WebDAV service op een achterliggende NAS worden doorgestuurd, staat daar dus los van.

Tot zover de uitleg. Ik hoop dat je het enigszins kunt doorgronden als nieuwe gebruiker.

Succes, Babylonia@

[trebor]

Beste Babylonia,

Bedankt voor je zeer uitgebreide uitleg(en de tijd die je er in gestopt hebt).
Zal het eerst even een paar keer doornemen en ga  het dan proberen te reproduceren in mijn eigen router.
ik laat mijn vorderingen nog wel even weten.
Groet Trebor

[Babylonia]

Reproduceren geeft mogelijk niet de juiste opties.  Ik geef je enkel een voorbeeld van mijn situatie met uitleg hoe en waarom.
Misschien gebruik jezelf andere services of geïnstalleerde packages die je wilt inzetten en van buiten uit wilt benaderen?
Dat zul je dan in de opties van in te stellen firewall-regels moeten betrekken.

[blackgoku]

er zijn al weer een aantal updates geweest, nu zijn de in het verleden de niet aan te passen firewall regels weg en kan je zelf alles naar je eigen hand zetten.
ik zie dat jij nogal veel doet met je firewall, doe je dan niks met portforwarding ?

[Babylonia]

Jawel, ik heb ook een aantal poorten doorgestuurd.  Maar dat heeft op zichzelf een andere functie dan een firewall instellen.
Als je goed naar de eerdere schermweergave kijkt, kun je overigens opmaken dat er andere apparatuur actief is.

[blackgoku]

Nou ik vraag mij af waarom je de toegang van je nas ook bij de firewall hebt ingesteld.
En hoe zit het met je VPN, beheer je deze op je router of op de NAS ?

De vorige opmerking mer dat de beheers regel er niet meer staat klopt niet, ik moest het beher van buitenaf nog aan vinken waardoor de regels er vanzelf kwamen, deze kan je dus idd niet verwijderen.

[Babylonia]

Ik wil alles zo overzichtelijk en veilig mogelijk hebben.  Met tevens de firewall ook in de NAS ingesteld, feitelijk een dubbele bescherming.
VPN-server heb ik op de router draaien.  Dat is trouwens vanuit de firewall regels op te maken, omdat de "destination" SRM  is.

Verder de door de router gebruikte beheersregels voor toegang van buitenaf voor SRM heb ik "uitgeschakeld" omdat die voor alle IP-adressen gelden zonder filtering per regio. In mijn geval heb ik extra regels erbij gezet die alleen voor Nederland gelden.

Zie de eerdere omschrijving in het bericht per onderdeel.
Het werkt in de huidige firmware SRM 1.1.3 nog steeds precies zoals het eerder is beschreven.
(Laatste edit van het bericht met beschrijving en afbeeldingen gelden vanaf 4 oktober 2016  -  SRM 1.1.1).

[blackgoku]

Ik zelf hou er ook van om alles zo overzichtelijk en veilig mogelijk in te stellen, ikzelf heb de standaard beheersregels van SRM ook uitgeschakeld in de firewall, en er een aparte regel voor aangemaakt die alleen vanuit NL te benaderen is.
Maar is het niet zo doordat je regels aan de firewall toevoegt voor de nas, je juist de werking van de portforwarding omzeilt/overneemt die je eigenlijk net zo goed in portforwarding kan instellen?

[Babylonia]

Port Forwarding regelt geen firewall functies.  Dat moet je dus apart instellen.
Alleen bij een "oudere" firmware hadden port forwarders prioriteit boven firewall regels. (Firewall regels hadden dan geen effect).
Dat kun je nu zelf regelen met wat je zelf wenst. Maar dat is hierboven allemaal uitvoerig beschreven.
Dus een kwestie van goed doorlezen en in je opnemen.

"Firewall-regels 6.
....
LET OP !
Voorheen in oudere firmware versies....."

[blackgoku]

Dat heb ik gedaan, ik heb dit echt niet zo ingesteld en heb ik de zelfde ''stealth'' resultaten als bij jou.