In de firewall zie ik diverse regels waar ik vragen of opmerkingen over heb, en binnen de instellingen een aantal fouten.
Van boven naar beneden.
Regel 1, dat SSH, is zoals het nu is ingesteld bedoeld om vanuit het lokale netwerk een terminal (?) op de router te kunnen benaderen.
Die regel is feitelijk overbodig, omdat bij:
Regel 5, je voor het lokale netwerk reeds vanuit elk lokaal IP-adres voor
alle mogelijke services en UDP/TCP reeds toestemming geeft. Dus ook voor SSH.
Regel 2, OpenVPN, de service verwijst naar alle IP's in het netwerk, maar "Destination IP" moet specifiek naar "SRM" verwijzen (daar draait VPN Plus).
En is het de bedeoeling dat die service vanuit elke plek in de wereld aangeroepen moet kunnen worden, of slechts een beperkte regio? (m.b.t. veiligheid).
Regel 3, geen opmerkingen. (Je ziet bij het kolommetje "Hits" dat die ook actief wordt gebruikt).
Regel 4, ICMP Is die ping belangrijk voor een
virtueel LAN IP-range van OpenVPN? Wil je dat inzetten, Source Port en Destination Port zijn niet ingesteld.
Regel 6, ICMP Idem zelfde opmerkingen voor de gewone LAN IP-range.
Maar feitelijk zijn die regel 4 en 6 niet nodig om binnen je netwerk je apparaten te kunnen pingen.
Zelf heb ik die regels niet ingesteld, en heb zojuist via VPN, met het Netwerktool van de router naar mijn Denon receiver gepingt. Dat wordt gewoon gezien.
Regel 7, ICMP voor de NAS. Dezelfde opmerkingen als voor regel 4 en 6. Dus haal die ook maar weg.
Regel 8. Je hebt voor alle verkeer uit de hele wereld toegang verschaft voor alle protocollen en services die er maar te bedenken zijn voor je NAS.
Als je graag gehackt wilt worden is dit de beste insteling die je hackers kunt geven. (Afgezien van gebruikers inlog info).
Onvoorziene veiligheidslekken met poorten en services, worden op deze wijze het snelst ingevuld. Lijkt me niet de bedoeling.
WEG DIE REGEL Die regel heb je ook helemaal niet nodig, omdat je vanuit VPN vanuit een externe locatie juist via de VPN-tunnel met je apparaten in je thuis netwerk gewoon contact kunt leggen. Dus ook met je NAS.
Advies om de eerdere uitleg van de Firewall regels nog eens heel goed door te nemen en voor jezelf te recapituleren wat je wilt en doet.
Wat je nu hebt ingesteld lijkt het er in ieder geval op dat je het helemaal nog niet hebt begrepen.
De basis in mijn eerdere voorbeeld met de Firewall is om intern binnen het eigen thuisnetwerk geen restricties op te leggen.
Voor externe connectie daarentegen, moet je je beperken tot hooguit die services en regio's (of nog beperkter via strikte IP-adressen), om enkel die poorten open te zetten die je minimaal benodigd hebt de services te kunnen bereiken.
Echter beslist niet meer dan noodzakelijk !!