firewall regel maken om enkel lokale toegang toe te laten

[riji]

Is dit een goede opgave om te bekomen dat uitsluitend toestellen binnen het lokale netwerk toegang hebben tot de syno:
Poorten: alles
IP: IP-bereik van 192.168.1.0  tot 192.168.1.255
Actie: toestaan

[Basalt]

Ik heb het met een subnet mask gedaan:

Ports:
 (*) All

Source IP:
(*) Specific IP => [Select]

     (*) Subnet
     IP address: 192.168.1.0
     Mask: 255.255.255.0

Action:
(*) Allow

[Lampje]

Als je nas niet is open gesteld / ingesteld voor verbinding van buiten af. Is het ook niet nodig om een firewall in te stellen.
Wand dan kan je alleen maar lokaal inloggen.

[Basalt]

Een NAS zonder verbindingen "van buitenaf" is weinig zinvol 

De router bepaalt in hoeverre je NAS van buiten het LAN toegankelijk is, bijv door port forwarding.
Firewall regels geven aanvullende bescherming.

[Birdy]

Een NAS zonder verbindingen "van buitenaf" is weinig zinvol

Voor mij niet hoor, heb 3 Nassen zonder verbindingen "van buitenaf" het enige wat ik wel eens doe is testen (t.b.v het Forum), maar daar heb ik de DS111 voor met een 80 GB schijfje die ik bijna elke week opnieuw installeer 
 

[Basalt]

Ja ok, tis maar net wat je van buitenaf noemt. Zoals Lampje het verwoordde leek het net alsof de NAS dat bepaalt, maar voor de NAS is zo'n beetje alles "van buitenaf", vandaar mijn opmerking 

[riji]

Afgezien van de discussie of de bedoeling zinvol is,
kan iemand bevestigen dat de wijze waarop ik het doe technisch correct is,
of is de wijze waarop Basalt de regel opbouwde misschien beter?
 

[Birdy]

@Basalt ah, dan snap ik het 

[Basalt]

Zoals zo vaak zijn er meerdere wegen naar Rome.
Volgens mij is een range opgeven in jouw geval net zo goed.
Met een mask kan je nog andere truuks uithalen, maar die heb je (denk ik) niet nodig.

BTW: altijd goed om te controleren of je beveiliging werkt zoals bedoeld. Je zou bijv in je router een port forwarding kunnen inschakelen en kijken of je wel/niet verbinding krijgt "van buitenaf".

[Briolet]

Als je nas niet is open gesteld / ingesteld voor verbinding van buiten af. Is het ook niet nodig om een firewall in te stellen.…

Dat klopt maar ten dele. Als alles werkt zoals het gepland is, klopt dat. Maar beveiliging is een kwestie van laagjes. Je moet er van uit gaan dat er bugs in apparatuur zitten en daarom toch een volgende beschermingslaag inbouwen. Zeker als die firewall er toch al is, is het dom om hem niet in te stellen.

Hetzelfde geld voor het niet gebruiken van wachtwoorden op apparatuur die niet toegankelijk is vanuit het internet.

[Babylonia]

Is dit een goede opgave om te bekomen dat uitsluitend toestellen binnen het lokale netwerk toegang hebben tot de syno:
Poorten: alles
IP: IP-bereik van 192.168.1.0  tot 192.168.1.255
Actie: toestaan

Aanvullend:

Algemeen onderaan 
Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels:  Rondje aangevinkt bij "Toegang weigeren".

(Naar aanleiding van volgende draadje < HIER > )

[riji]

@Babylonia
"Algemeen onderaan 
Buiten de aparte schermen van de individuele Firewall regels om:
Indien niet voldaan wordt aan de regels:  Rondje aangevinkt bij "Toegang weigeren"."

Ik zie die mogelijkheid niet bij mijn firewall instelscherm; wellicht is die keuze enkel beschikbaar als je meerdere regels ingeeft.

[Babylonia]

Ik kan het niet controleren (ik gebruik 3 regels, maar ben niet van plan regels te verwijderen voor een test).

In de Help-file wordt aangegeven:

"U kunt ook kiezen uit Toegang toestaan of Toegang weigeren onderaan in de lijst met regels om toegang,
waarvoor geen regels zijn ingesteld, toe te staan of te weigeren."

Ik maak gebruik van DSM versie 5.0   Misschien is het net wat anders bij versie DSM 5.1  ??

[riji]

dank voor je vlugge reactie

[Briolet]

Indien niet voldaan wordt aan de regels:  Rondje aangevinkt bij "Toegang weigeren"."

Ik zie die mogelijkheid niet bij mijn firewall instelscherm;

Die zou er toch echt moeten zijn. Maar niet getreurd, want echt nodig is die optie niet. Ik zelf maak altijd als laatste regel:

Code: [Selecteer]

-Alle poorten
-alle IP adressen
Actie: toegang weigeren.

Op die manier komt hij nooit bij dat rondje en maakt het niet uit hoe die staat