Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: jackcybre op 15 maart 2014, 00:53:49
-
Mijn FTP word met grote regelmaat aangevallen door voornamelijk chinezen en een handjevol andere landen. Nu heb ik een 3 strike out ingesteld, maar ik krijg dagelijks 3 tot 6 meldingen dat er iemand probeert in te loggen.
Is hier wat aan te doen ? ik word een beetje naar van die gasten !
-
Hahaha nee das standaard, zorgen dat je machine goed beveiligt blijft. Firewall instellen op enkel Europese ip's etc. of alleen bekende ip's toestaan
>> as deus was cas, wah sas nog meer <<
-
Firewall instellen op enkel Europese ip's etc.
Dat is wel een hoop intikwerk. Begin maar met de Nederlandse IP adressen (http://www.nirsoft.net/countryip/nl.html). En compleet is die lijst ook niet.
Dus maak regels die deze ranges toestaan voor poort 21 en daarna een regel die poort 21 blokkeert. Als het IP dan niet in de toegestane ranges komt, krijgt de 'inbreker' ook geen inlogoptie te zien.
En als je dan een keer vanuit het buitenland wilt inloggen moet je eerst via DSM het IP waar je dan zit ook toevoegen.
-
Gebruik sterke wachtwoorden en laat gebruikers ook sterke wachtwoorden gebruiken (DSM -> Configuratiescherm -> Gebruiker -> geavanceerd).
Ook "Automatisch blokkeren" kun je streng zetten (bijvoorbeeld bij 3 foute aanmeldpogingen in 5 minuten automatisch blokkeren).
-
Je kan eens kijken of SFTP niet iets voor je is. Deze kan je in de interface ook op een poort zetten die jij wilt. Als je dan een hoge poort pakt dan zal je zien dat ze het niet zo vaak meer proberen.
-
Ook "Automatisch blokkeren" kun je streng zetten (bijvoorbeeld bij 3 foute aanmeldpogingen in 5 minuten automatisch blokkeren).
Wat is streng?
Is 3 foute pogingen in 24 uur niet veel strenger?
Daar valt immers 3 keer in 5 minuten ook onder.
-
Excuses voor de late reactie. Ik heb hem al op 3 pogingen staan, dat werkt. Ook heb ik een sterk wachtwoord.
Ik zal eens kijken naar SFTP, wat dat inhoud.
In mijn voorstelling kan ik heel China wel blokkeren maar een hacker kan zich ook voordoen uit iemand uit een ander land.
Onlangs heb ik de boel al opnieuw voorzien van wachtwoorden en zwakke joomla sites platgegooid omdat er ineens in de webroot mallware geplaatst was. Vervelend allemaal.
-
Ik heb het zo ingesteld staan dat alles geblokkeerd wordt, behalve Nederland en lokale adressen. Zijn dan maar 2 regels en werkt prima.
Overigens: Mocht je een mailserver draaien, vergeet dan niet om die poorten wel open te laten staan. Anders komen de mails niet meer binnen !
-
2 regels? ben geïnteresseerd. draai nu wekelijks een iptable script die alle nl ip ' s update. (en de spammers in een black list zet)
-
Voorbeeld van twee in te vullen regels < HIER > (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496)
-
+1
Dank, nu snap ik hem. Syno heeft blijkbaar tegenwoordig een soortgelijke functie in dsm. Goede zaak!
-
Ik heb het zo ingesteld staan dat alles geblokkeerd wordt, behalve Nederland en lokale adressen. Zijn dan maar 2 regels en werkt prima.
Overigens: Mocht je een mailserver draaien, vergeet dan niet om die poorten wel open te laten staan. Anders komen de mails niet meer binnen !
Dit geldt toch alleen voor poort 25?
En moet die voor de hele wereld open staan, of kan deze nog iets krapper worden gesteld?
-
Waarom zou het alleen voor poort 25 gelden?
Doorgaans stel je het in voor alle poorten die met bepaalde services zijn open gezet.
De 2 regels waar je naar verwijst impliceren juist voor de hele wereld gesloten, behalve vanuit Nederland.
Wil je voor bepaalde services de Firewall wel ruimer, kun je dat altijd regelen. (Bijv. voor mail zoals aangegeven).
-
Het is niet alleen poort 25 die voor de gehele wereld open moet staan, maar alle 3 de SMTP poorten. GMail levert b.v. op poort 587 af.
Ik had eens per ongeluk poort 25 in de router niet geforward en poort 587 wel. Ziggo mail kwam niet binnen op mijn domein en GMail wel. Het kan best zijn dat GMail terugvalt op poort 25 als de beveiligde poorten dicht zitten, maar eigenlijk wil je dat alle smtp servers de poorten 587 en 465 gaan gebruiken en 25 negeren.
-
Het is niet alleen poort 25 die voor de gehele wereld open moet staan, maar alle 3 de SMTP poorten. GMail levert b.v. op poort 587 af.
Als je Gmail naar je NAS zou willen doorsluizen, gaat het slechts om een IP-adres in Amerika.
(Tenminste in mijn geval lijkt dat hier het geval te zijn. De gegevens < HIER > (http://geoip.flagfox.net/?ip=173.194.65.17&host=mail.google.com) haal ik uit mijn connectie met Gmail).
Daarvoor zou ik de betreffende poorten voor de rest van de wereld niet open zetten.
Mail van Ziggo (server in Nederland) of andere provider doorsturen naar de NAS lijkt me vergelijkbaar, of mis ik iets?
-
Ja je mist iets. Jij kunt nml. niet weten welke providers jouw tegenpartij gebruikt. b.v. een internationale bank kan zijn mail via een server in India versturen, of waar dan ook in de wereld. De meeste mensen zullen mailtjes uit een server in Nederland krijgen maar dat is nooit een garantie, zelfs als de afzender ook in Nederland zit. Hotmail of Gmail komt nu waarschijnlijk uit de VS, maar voor het zelfde geld openen ze een centrale server in een Europees land of waar dan ook.
-
Ja je mist iets. Jij kunt nml. niet weten welke providers jouw tegenpartij gebruikt. b.v. een internationale bank kan zijn mail via een server in India versturen, of waar dan ook in de wereld.
Die mail komt vervolgens op de servers bij Gmail of Ziggo terecht.
Dus Gmail of Ziggo zouden hun servers voor de buitenwereld open moet stellen. Maar als jij alleen contact hebt met Ziggo of Gmail zijn dat de enige IP-adressen waarvan je voor mail de poort open moet hebben staan om die mail dan vervolgens over te kunnen halen van die servers naar de NAS toe.
-
Echter gebruiken Ziggo en Gmail bijvoorbeeld niet 1 ip adres, maar hele reeksen. Dus dat zal lastig worden denk ik.
-
Waarom zou een buitenlandse SMTP server hun mail naar Ziggo of GMail doorsturen, leg mij dat even uit.
Als zij een mailje voor "mijnDomein" hebben, dan vragen ze het MX record voor dat domein op en leveren het rechtstreeks op je NAS af.
EDIT: Ik heb bv. net naar de header van een mailtje van mijn bank gekeken. (ABN-Amro) Die ging rechtstreeks van hun bedrijfsserver naar mijn nas.
-
Zelf zou ik nooit de mail rechtstreeks naar mijn NAS willen hebben, maar altijd via een provider of host. Juist uit overweging van veiligheid. Zelf heb ik een paar eigen domeinen (en websites) ondergebracht bij een hostingbedrijf.
Die vangen mogelijke rotzooi en onvolkomenheden reeds behoorlijk af. De servers staan in Nederland met reeds jaren dezelfde IP-adressen. De NAS wordt hier voor alles met de buitenwereld afgesloten, met uitzondering van Nederland, en in meer beperkte mate België. In mijn geval daarom niet twee Firewall regels waar eerder over is gesproken, maar drie regels.
-
Zelf zou ik nooit de mail rechtstreeks naar mijn NAS willen hebben,
Maar het ging juist om poort 25 en als je ze niet naar de nas stuurt hoef je die niet eens voor Nederland open te zetten.
-
Zelf gebruik ik die poort ook helemaal niet. (Ik verstuur geen mail vanuit de NAS).
Maar wil iemand vanuit de NAS mail versturen (en poort 25 willen openen) kan die ook de SMTP gegevens gebruiken van de internet provider waar iemand zijn internet account heeft. Is dat Ziggo, gebruik je die gegevens. Dat is binnen Nederland. Dan zou je de rest van de wereld in de Firewall regels alsnog kunnen uitsluiten.
In mijn geval met eigen domein en serverruimte ondergebracht bij een hostingbedrijf, gebruik ik de gegevens om de mail te ontvangen (en uiteindelijk binnen te halen op mijn PC) die van het hostingbedrijf. Om mail te versturen de SMTP gegevens van mijn internet account.
Met webmail (vanaf de server van het hostingbedrijf) gaat het allemaal via de servers van dat hostingbedrijf.
Zou ik mail willen ontvangen en versturen vanuit de NAS kan ik dat naar ik aanneem vergelijkbaar instellen als wat nu gebeurt vanuit PC, zij het dat ik in dat geval de poorten voor ontvangst en verzenden van mail voor de NAS moet openzetten voor de services "binnen Nederland" (omdat zowel mijn hostingprovider als mijn internetprovider hun servers binnen Nederland hebben).
Tenminste ik denk dat het als zodanig zijn beslag heeft.
Mocht dat niet het geval zijn (ik maak tot nog toe geen gebruik van mail via de NAS), hoor ik dat graag.
-
Een configuratie waarbij de mx van je domein rechtstreeks naar je nas wijst is niet altijd handig. je hebt wel wat performance nodig ( je moet op spam gaan scannen, file server moet lekker blijven werken etc) en in principe moet smtp open staan voor iedereen (tis www ;). een configuratie waarbij je mail bij een provider wordt bezorgt en dan naar je nas voorkomt dat alles. plus bij een lokale storing blijft je mail server bereikbaar en volstaat 1 ip die toegang heeft tot smtp poort. er zijn meerdere wegen naar Rome. ...