Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: TonVH op 28 september 2017, 12:05:38
-
Heb complete firewallinstelling gedaan, zie afbeelding.
[attach=1]
Maar zodra regel "... alle andere IP's & poorten. dan weigeren. " wordt toegevoeg, vervolgens OK klik dan wordt de sessie afgesloten, automatisch opnieuw ingelogd en blijkt die laatste regel verdwenen te zijn. (waardoor voor mijn gevoel de hele FW zinloos is).
Vreemde is dat ik elders een identieke instelling (uiteraard andere IP's) wel goed werkt. De opgegeven IP's zijn die van het systeem zelf en een backup.
-
En als je dit via een andere browser doet?
Ik had dit met Hyperbackup, kon ik niets aanpassen.
Crasht steeds en moet je opnieuw inloggen.
Andere browser en het lukte wel.
-
"(waardoor voor mijn gevoel de hele FW zinloos is)."
Ik vind het wel erg ruime regels met hetgeen je doorlaat.
Dat heeft IMO op zichzelf dan al niet veel zin om een firewall in te zetten.
Het gaat er om, om alleen die data / services door te laten waar je gebruik van maakt en van buitenaf wilt bereiken.
Al het andere blokkeren.
Zie een lijstje naar verwijzingen m.b.t. firewall instellingen < HIER > (https://www.synology-forum.nl/firmware-algemeen/ip-adres-geblokkeerd-viassh/msg203461/#msg203461)
-
De ruime regels vallen wel mee.
Zelf stel ik wel poorten in, maar normaal houdt de router alle ongewenste poorten al tegen doordat je alleen de noodzakelijke poorten forward.
-
Veiligheidslekken (die je niet kunt voorzien), net een vergissinkje in de instellingen in de router wat je ervoor hebt, maken de NAS met die instellingen eveneens kwetsbaar.
-
Ik heb geleerd om altijd met een BLOCK-ALL regel te beginnen.
Vervolgens ga je de poorten/sources openzetten die je door wil laten.
-
Regel, regel, dan pas "BLOCK ALL "zie hier (https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496).
-
Nou @Bealeo , die blokregel zou ik niet mee beginnen maar mee eindigen als "Indien niet wordt voldaan aan de regels: Toegang toestaan" is aangevinkt. Wanneer "Toegang weigeren" is aangevinkt hoeft die laatste blokregel niet aangemaakt te worden, dat resulteert anders tot dubbele entries in de INPUT en/of FORWARD Chain, zinloos dus.
Op de NAS is de default policy ACCEPT voor alle Chains en die laat zich via de GUI niet wijzigen.
-
Jullie hebben gelijk heren. Ik bedoelde het andersom. Dus niet mee beginnen maar mee eindigen :lol:
-
Het eindigen met een block-all regel is ook wat hier gebeurd. Altans, niet kunnen toevoegen van die regel is de kern van dit topic.
-
Dat is een tamelijk goede implementatie van Synology.
De regels worden van boven naar beneden afgewerkt en als je dus bovenaan een "block all" regel zet, is je NAS volledig geblocked.
Dan zou je er niet meer in je NAS kunnen, dus DSM weigert zo'n firewall profile op te slaan.
Je moet eerst regels hebben die je toegang geven tot je NAS als je onderaan block all wilt zetten.
-
@TonVH : Kan het het zijn dat er per ongeluk nog andere firewall regels actief zijn op individuele interfaces? Dat kun je controleren door rechtsboven een andere interface dan "Alle interfaces" te kiezen.
-
Geen andere regels aanwezig.
Maar "sla mij maar lek". Ik heb de regel "... toestaan Nederland ..." uitgeschakeld, vervolgens opgeslagen, regel "blokkeer verder iedereen" erbij gezet, OK, geen probleem. Werkt.
Vervolgens weer de regel " ...toestaan Nederland ..." ingeschakeld en de FW blijft gewoon werken.
-
Wat bedoel je met de firewall blijft gewoon werken?
Als het doet met wat je wilt, is het toch goed?
Maar al eerder aangegeven dat ik het vreemd opgezette firewall regels vind.
Om LAN IP-adressen toe te staan met 255x255 sub-nets (met ieder weer 255 IP-adressen) = ruim 16,5 miljoen LAN IP-adressen,
lijkt me overdreven "ruim" voor een thuis situatie. (Met bovendien reeksen buiten het officiële bereik wat als "thuis netwerk" geldt).
https://en.wikipedia.org/wiki/IP_address
Doorgaans gebruik je in een thuis situatie één netwerk, met hooguit nog een gast netwerk.
(Ofwel 2 sub-nets). Idem nog een 3e virtueel netwerk erbij.
-
10... & 192.... zijn adressen binnen het lokale netwerken.
Het is vreemd dat het werkt want blijkbaar is de volgorde van ingeven erg gevoelig. En dat is niet logisch te noemen.
-
Maar om daar ruim 16,5 miljoen adressen voor je thuissituatie "als toegang" te reserveren,
kun je net zo goed de firewall uitschakelen, want dat heeft zo geen enkele zin.
(Bovendien is een deel ervan wel degelijk buiten de reeks wat als LAN wordt aangemerkt).
Je opgave en indeling van de regels zelf is niet logisch. Vandaar de "voor jou" vreemde onberekenbare werking.
Bestudeer nog eens heel goed de voorbeelden waar eerder in de draad naar is verwezen.
-
Kreeg van de week spam binnen uit de 192.3.137.xxx serie en dat was toch echt niet lokaal.
Ik zou die range dan ook zeker niet zo wijd openzetten.
-
Wat lokaal is wordt in RFC 1918 (https://nl.wikipedia.org/wiki/RFC_1918) bepaald.
-
Staat ook in de verwijzing van eerder bericht vorige pagina:
https://en.wikipedia.org/wiki/IP_address (wat verder naar beneden scrollen).
-
Bij die link staat niet wat er in de link staat. Dat weet je pas als je hem opent. En dan zit het private deel nog ergens verstopt in dat engelstalige artikel, dat over IP adressen in zijn algemeen gaat. Waarom die link niet naar het deel laten wijzen waar het om gaat.
Van jou ben ik een betere link (https://en.wikipedia.org/wiki/IP_address#Private_addresses) gewend. ;)
-
Ben het wel met Babylonia eens om all die 10 en 168 netwerken open te zetten je een beetje het nut van zo'n firewall weghaalt.
Als je het goed doet weet je gewoon welke IP-adressen er in je lan leven en die geeft je toegang en zet de rest gewoon helemaal dicht.
Iets minder goed is dat je DHCP ergens gebruikt, maar dan zet je een beperkte reeks open.
Iedereen weet best hoeveel potentiele devices van DHCP gelijktijdig gebruik maken.
Mijn idee is, gebruik overal mac-address - ip-adress linking voor je eigen devices en een heel klein subnet voor gasten die je toegang wilt geven via dhcp en wifi.
En de vraag is of je de gasten wel toegang tot je Nas wilt geven.