Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Ray308 op 19 augustus 2022, 21:01:54
-
Ik heb een DS918+ staan in mijn LAN achter een dubbele NAT. (Dit kan niet anders, omdat het Ziggo netwerk nodig is voor anderen, dus bridge is geen optie)
Router Ziggo -> OpenWRT router -> LAN
Op de router van Ziggo staat de openWRT in de DMZ zone en tevens alle poorten geforward die ik ook op de OpenWRT router en de NAS open heb staan.
Op deze manier functioneert verder alles met de firewall op de NAS uit.
Normaal met enkele NAT op bijvoorbeeld mij backup NAS staan de settings zo:
[attachimg=1]
Dat werkt prima.
Op de locatie (thuis) met de dubbele NAT moet de regel waar Nederland/ isle of man staat, op ' alles" staan anders kan bijvoorbeeld de mail niet worden opgehaald van de Mailserver op de NAS. Dus het is een firewall setting, maar geen idee welke. En " alles" aanzetten is volgens mij hetzelfde als de firewall op de NAS uitzetten. (En alle zelfde poorten zijn op de eerste router de tweede router en op de NAS open)
Iemand een idee?
-
De eerste regel zou je eens goed moeten bekijken, hier staat dat alleen in je LAN de router (denk ik) met IP 192.168.178.1 toegang heeft tot je NAS, en niet een eventuele client met een ander IP adres in dezelfde subnet.
Als je dat veranderd in IP-bereik (dus 192.168.178.1 - 192.168.178.255 bijvoorbeeld) kun je vanuit diezelfde lan ook met andere machines in je NAS terecht.
Verder werkt de firewall de regels in volgorde af: (@experts, graag bevestigen of dit klopt of niet, dacht van wel...)
Regel 1, Is deze regel van toepassing?? Nee, dan door naar regel 2
Regel 2, Is deze regel van toepassing?? Nee, dan door naar regel 3
Regel 3, Is deze regel van toepassing?? Ja, dan stop verdere checks
regel 4, .... (enz tot het einde)
(Overigens zou ik de laatste regel alle applicaties, alle protocollen en alle IP adressen op weigeren zetten, maar alleen als aller laatste regel!)
-
De eerste regel is een subnet, moet eigenlijk 192.168.178.0/24 zijn. Even aangepast. Het is echter een screenshot van mijn backup NAS en die werkt prima.
Het is zo raar dat mijn NAS thuis, dus achter dubbele nat niet werkt met die instellingen. En ik werk al jaren met dubbele nat, soms is dat best wel een dingetje.
-
Dubbel nat is hier geen issue omdat je dmz gebruikt. De firewall van de nas ziet deze situatie niet eens.
Verder lijkt me de firewall veel te veel open te laten. Je blokkeert nu wel een aantal specifieke poorten, maar de niet genoemde poorten blijven dus open. (Dit hangt wel af wat je bij de specifieke interfaces ingesteld hebt)
-
Verder werkt de firewall de regels in volgorde af: (@experts, graag bevestigen of dit klopt of niet, dacht van wel...)
Regel 1, Is deze regel van toepassing?? Nee, dan door naar regel 2
Regel 2, Is deze regel van toepassing?? Nee, dan door naar regel 3
Regel 3, Is deze regel van toepassing?? Ja, dan stop verdere checks
regel 4, .... (enz tot het einde)
Als regel 3 voldoet aan een voorwaarde, dan is het absoluut niet zo, dat verdere checks (navolgende regels) daarmee stoppen !
Afhankelijk van wat de voorwaarden van de firewall regels inhouden, zou te volgen data erna nog aan andere regels kunnen voldoen,
-of juist niet-, en afhankelijk daarvan juist hun kracht aan functionaliteit kunnen ontlenen.
Als datgene wat je beweert "waar" zou zijn.
Zou een "laatste" firewall-regel waarmee je alles verbiedt, wat niet voldoet aan de voorgaande regels, namelijk geen zin hebben.
Het is juist bij de gratie van die laatste regel dat de werking van alle firewall regels erboven hun kracht ontlenen.
En omdat het de laatste regel is, daarmee ook aangetoond, dat een firewall helemaal tot aan het eind wordt afgewerkt.
(Bij de firewall van een Synology router (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) -die daarin sterk verwant is- heeft men een extra kolom "hits",
wat aangeeft of een firewall regel op dat moment actief wordt aangedaan. Die laatste regel heeft absoluut het hoogste aantal hits).
Verder met het voorbeeld van @Ray308 en de opmerking van @Briolet
Het klopt dat er veel teveel open staat vanuit toegang van "buiten".
Nu wordt er wel bij verteld dat het afhankelijk is welke interfaces zijn ingesteld.
Maar het bekruipt me al snel het gevoel dat als er in de router ook maar even "per ongeluk" iets verkeerd staat ingesteld,
(of er een mogelijk nieuw beveiligingslek in de firmware zit), dat op NAS niveau meteen wordt afgestraft als meteen "open" / toegankelijk.
Zou dat toch beter afstemmen, zodat bij toevallige calamiteiten op router niveau, er nog een extra "vangnet" is op NAS niveau.
-
Als regel 3 voldoet aan een voorwaarde, dan is het absoluut niet zo, dat verdere checks (navolgende regels) daarmee stoppen !
Ik heb nog steeds het idee dat jij niet weet hoe een firewall werkt. Als regel 3 voldoet heeft het nml geen zin meer om verder te controleren. Het enige wat er zou kunnen gebeuren is dat een volgende regel een tegenstrijdige opdracht oplevert.
En hoe zou je een tegenstrijdige opdracht moeten oplossen? Het meest logische zou zijn om dan de eerste treffer te laten gelden. Maar als je dat besluit, dan was dat evalueren van de regels na de 1e treffer bij voorbaat al tijdverspilling.
De firewall stopt dus met evalueren na de 1e treffer.
Eigenlijk werkt dat ook zo in programmeertaal bij OR bewerkingen. Als er een treffer is dan worden de volgende vergelijkingen ook niet meer geëvalueerd om tijd te besparen. Als programmeur maak je hier dan ook gebruik van door de statements in een optimalere volgorde uit te voeren.
-
Als ik het goed begrijp, staat bij alles open zodra het op adres uit Nederland of man komt. Als het op daar niet vandaan komt wordt alles geblokkeerd behalve een aantal poorten voor webserver en mailserver. De rest wordt geweigerd.
Dus ik zou de regel voor Nederland en man ook zo moeten instellen?
-
Ik heb nog steeds het idee dat jij niet weet hoe een firewall werkt.
Nou ja, andersom heb ik van jou nu juist het idee dat JIJ zelf degene bent die het echt absoluut niet snapt.
Als regel 3 voldoet heeft het nml geen zin meer om verder te controleren.
Zoals jij het stelt zou je überhaupt dan maar één firewall regel op hoeven te geven die aan een bepaalde voorwaarde voldoet.
Regel 1 en 2 heb je dan al niet nodig, alleen een regel 3.
Daarmee zou alles geregeld zijn. Want er heeft geen verdere controle meer plaats. Firewall is klaar !!
(Regels 4, 5, 6, 7.... voor andere zaken worden dan al niet meer doorlopen, want controle is gestopt).
Waar zijn al die voorbeelden met meerdere firewall regels dan voor bedoeld, die je op internet kunt vinden.
Die hangen er voor Piet Snot bij?
-
Als je een web-server gebruikt, worden poorten 80 en 443 daarvoor gebruikt.
(De enige poorten die je daarvoor open zou moeten zetten).
Wil je die openstellen voor de hele wereld, of slechts bepaalde regio's?
Mail-server, ook die gebruikt bepaalde poorten. Kijk welke je daarvan gebruikt en neem alleen die op in een firewall.
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services#x_anchor_id8
-
Zoals jij het stelt zou je überhaupt dan maar één firewall regel op hoeven te geven die aan een bepaalde voorwaarde voldoet.
Regel 1 en 2 heb je dan al niet nodig, alleen een regel 3.
Natuurlijk zijn er meerdere regels nodig want de meesten zullen geen treffer opleveren. Alleen stopt de evaluatie als er een treffer is. En de volgorde van de regels is ervoor om te zorgen dat de treffer ook de gewenste reactie oplevert. Verdiep je toch eens beter in hoe een firewall werkt. Het stoort me als hier onzin verteld wordt. Vooral als dit door iemand gebeurd waarvan iedereen verwacht dat hij het wel weet.
-
Ok, het werkt, alles verwijderd en de regels even opnieuw aangemaakt, even vanaf schratch..
[attachimg=1]
Regel 1 Alles open voor lan. (Wellicht ook niet nodig?)
Regel 2 mailserver plus en webserver poorten (gelijk aan open poorten router)
Regel 3 poorten voor communicatie tussen mijn NAS en mijn backup nas (beide in NL)
Regel 4 Weigeren als je niet aan bovenstaande regels voldoet.
-
Natuurlijk zijn er meerdere regels nodig want de meesten zullen geen treffer opleveren. Alleen stopt de evaluatie als er een treffer is.
De evaluatie van Firewall regels gaat door tot aan de laatste firewall regel, ondanks eerdere treffers,
en services die helemaal niet worden aangedaan / of niet actief zijn.
Zie bijgaand voorbeeld van de firewall in de router (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/?action=dlattach;ts=1551883982;attach=44297;image) die de daadwerkelijke treffers weergeeft.
Het stopt niet na de eerste treffer met wat je beschrijft, anders zou je dit resultaat niet krijgen.
Verdiep je toch eens beter in hoe een firewall werkt. Het stoort me als hier onzin verteld wordt. Vooral als dit door iemand gebeurd waarvan iedereen verwacht dat hij het wel weet.
Als je denkt dat er fouten in dat specifieke onderwerp zitten (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/msg265310/#msg265310), dan graag expliciet uitleg, correctie en onderbouwing in het waarom.
Misschien bedoelen we wel hetzelfde?? Maar bezig je niet het juiste taalgebruik / uitleg met wat je "bedoeld" te schrijven??
En praten we op die manier langs elkaar heen.
-
Ok, het werkt, alles verwijderd en de regels even opnieuw aangemaakt, even vanaf schratch..
Dat is altijd een goede werkwijze als je er in eerste instantie niet uitkomt.
Regel 1 Alles open voor lan. (Wellicht ook niet nodig?)
Jawel, beter wel te doen, want buiten een aantal door jouw benoemde services,
benut je binnen het LAN-verkeer wellicht ook nog services, die minder op de voorgrond treden, maar beslist actief zijn.
Zoals NetBIOS / SMB gerelateerde services. Doorloop het lijstje eens van gebruikte poorten.
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
En omdat je als laatste een regel gebruikt, om verder alles te weigeren, zou je zonder die eerste regel jezelf kunnen buitensluiten.
(Dat is overigens een fundamenteel verschil met de Firewall regels zoals gebruikt in de NAS, en die van een Synology router).
-
Ik bedoelde met de eerste regel eigenlijk, of ik ook daar de boel enigsinds zou moeten beperken, of zoals nu, gewoon alles open voor mijn LAN netwerk. (Ik bedoelde niet, de hele
regel niet gebruiken, dan sluit je jezelf inderdaad/uiteraard buiten)
Had ik niet helemaal goed omschreven.
-
Ik denk dat beperken binnen je eigen LAN misschien wat ver gaat?
Maar ligt mogelijk ook aan je huisgenoten hoe strict zij met zaken omgaan?
Als het gaat om veiligheid ten aanzien van bijv. virussen / malware zou je bijv. bij connectie met de NAS via "de verkenner",
de toegangsgegevens beter "niet kunnen opslaan", en telkens handmatig inloggen (en uitloggen na gedane arbeid).
Ik ken namelijk wel een voorbeeld met een open verbinding tussen een laptop met een NAS.
Waarbij alle data op de latop werd versleuteld via malware / virus, en vervolgens ook de shares op de NAS.
(Niet de partities waar de DSM firmware zelf op stond).
Dus het gevaar kwam niet rechtstreeks van buiten naar de NAS, maar intern via "het LAN" door een besmette laptop.
-
@Ray308
De laatste regel waarin je alles blokkeert is eigenlijk niet nodig. Want je moet, buiten wat je voor "Alle interfaces" opgeeft, het default gedrag voor elke interface apart definiëren. Als je bijvoorbeeld "LAN" selecteert i.p.v. "Alle interfaces" kun je onderin het scherm aangeven wat de firewall standaard moet doen als aan geen van de voorgaande regels wordt voldaan. Je kunt daar kiezen uit "Toegang toestaan" of "Toegang blokkeren".
Als je "Toegang blokkeren" kiest geldt dit:
De regels in de firewall worden 1 voor 1 getest, van boven naar beneden. Als 1 van de regels toegang geeft worden de daaropvolgende regels niet meer doorlopen. Is dan ook niet meer nodig want de firewall laat immers de data al door. Je hoeft dus geen blokkeer regels op te geven.
Als je "Toegang toestaan" kiest geldt dit:
De regels in de firewall worden 1 voor 1 getest, van boven naar beneden. Als 1 van de regels toegang blokkeert worden de daaropvolgende regels niet meer doorlopen. Is dan ook niet meer nodig want de firewall blokkeert de data al. Je hoeft dus geen toegang regels op te geven.
Onderstaande komt rechtstreeks uit de DSM help voor de firewall:
Opmerking:
- Met slepen en neerzetten kunt u de regels in de lijst opnieuw rangschikken.
- de prioriteit van de regels wordt bepaald door hun positie in de lijst.
Gedrag van firewellregels
DSM Firewall stemt overeen met regels volgens prioriteit. Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal DSM Firewall hem niet meer afstemmen op resterende regels. Als er geen regels overeenstemmen, zal DSM Firewall de standaardactie uitvoeren die in elke interface is opgegeven.
Prioriteit van firewellregels:
Regels gedefinieerd in "All interface"
Regels gedefinieerd in respectievelijke interfaces waartoe de verbinding behoort
Regels gedefinieerd in respectievelijke interfaces waartoe de verbinding behoort
Zie ook: https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/connection_security_firewall?version=7
-
Dit vind ik over toepassen van de regels in de Synology Knowledgebase:
Firewall rule behavior
DSM Firewall will match rules according to priority. Once a rule is matched, it will be enforced and DSM Firewall will not continue matching remaining rules. If there are no rules matched, DSM Firewall will perform the default action specified in each interface.
Lijkt mij ook logisch, want als altijd alles gechecked wordt heeft prioritering van de regels geen/weinig zin.
Doorlopen van de volgende regels is wel logisch als eerdere regels niet van toepassing zijn.
De tellers in voorbeeld van Babylonia zijn dan ook verklaarbaar omdat de eerste echte alle-weigeren-regel helemaal onderaan staat en bovenliggende regels 'passeerbaar' zijn.
Maar om het gezellig te houden zoals Nazgul aangaf:
Ik zat in het verleden op een cursus bij Digital. Ging over netwerk en machtigingen: Authorize, authorize en authorize, maar dat was op de verschillende levels niet hetzelfde! Wij aan de studie. Na paar minuten gaf ik aan het te snappen. Docent verbaasd, zo snel. Leg uit vroeg ie. Ik: "Gewoon mazzel als je binnenkomt, dit valt niet snappen! "
-
De evaluatie van Firewall regels gaat door tot aan de laatste firewall regel, ondanks eerdere treffers,
en services die helemaal niet worden aangedaan / of niet actief zijn.
Zie bijgaand voorbeeld van de firewall in de router (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/?action=dlattach;ts=1551883982;attach=44297;image) die de daadwerkelijke treffers weergeeft.
Het stopt niet na de eerste treffer met wat je beschrijft, anders zou je dit resultaat niet krijgen.
Dat resultaat uit je plaatje krijg je gewoon bij het stoppen na de eerste hit.
Ik geef hier even een voorbeeld:
....
3: Sta alle poorten uit Nederlend toe
4: Blokkeer alle poorten 80 en 443
...
Wat gebeurd er volgens jou als iemand uit Nederland de website via poort 80 of 443 probeert te bereiken?
Bij regel 3 heb je een treffer en stopt de evaluatie.
Jij beweert echter dat de evaluatie door gaat en dan kom je bij regel 4. Dan krijg je dus weer een hit.
De firewall heeft dan twee tegenstrijdige hits. Regel 3 geeft de instructie om het verkeer door te laten. Regel 4 zegt echter dat het verkeer geblokkeerd moet worden. Wat moet de firewall volgens jou dan doen?
En zeg niet dat dan regel 3 uitgevoerd moet worden, want dan zeg je zelf dat hij bij de eerste hit moet stoppen met evaluatie.
-
Wat gebeurd er volgens jou als iemand uit Nederland de website via poort 80 of 443 probeert te bereiken?
Dan wordt die op basis van die regel doorgelaten.
Jij beweert echter dat de evaluatie door gaat en dan kom je bij regel 4. Dan krijg je dus weer een hit.
De werking / evaluatie van firewall regels "erna" gaat inderdaad gewoon door, want er is buiten die data nog veel meer data.
Er stopt dus helemaal niets na die regel. Alleen die data voor poort 80 of 443 is bij regel 3 al doorgelaten en daarmee buiten beeld.
Levert daarmee dan ook geen extra hit meer op. (Heb ik ook helemaal niet beweert).
Maar datzelfde is toch al eens pakweg 7 jaar geleden < HIER > (https://www.synology-forum.nl/netwerk-algemeen/volgorde-firewall-regels/msg248301/#msg248301) -en- < HIER > (https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887) ter sprake geweest?
Met naar ikzelf vond een erg aardig "huiselijk" en praktisch te begrijpen voorbeeld. :wtf: 8)
Op wat meer uitgebreide functies na, vooral nu met de Firewall voor een Synology router, is de basis ervan nog steeds altijd hetzelfde.
-
Heren @Babylonia en @Briolet, ik raak wat verward -en waarschijnlijk ook anderen- door de discussie van twee experts over de werking van firewall regels. Ik vraag jullie mede namens alle forumgebruikers om helderheid over hoe firewall regels nu precies werken.
Misschien dat het volgende citaat uit het online Synlogy Knowledge Center voor jullie behulpzaam is om ons de gewenste duidelijkheid te geven. Er wordt daar het volgende gesteld over firewallregels in SRM:
"De SRM firewall past regels toe volgens een bepaalde volgorde. Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal SRM firewall hem niet meer afstemmen op resterende regels. U kunt de volgorde van regels wijzigen door belangrijke regels hoger te plaatsen of minder belangrijke regels lager te plaatsen."
-
Meer een interpretatieverschil hoe je dingen beschrijft of je regels "per packet" bekijkt
of meer een algemene beschrijving van alle opgenomen firewall regels in de visualisatie van het begrip.
Waarbij we wellicht hetzelfde bedoelen, maar onhandig Nederlands gebruiken, en dit dan een eigen leven gaat leiden.
Dan mogelijk meer onbegrip naar elkaar gaat opleveren dan begrip.
De dik gedrukte tekst met wat je aanhaalt komt overeen met wat ik hiervoor al schreef:
Alleen die data voor poort 80 of 443 is bij regel 3 al doorgelaten en daarmee buiten beeld.
Het sluit aan met wat 7 jaar terug ook al is beschreven. Eveneens daarin de volgorde van regels.
(Voorbeelden met rode kersen en groene appels...).
Ik vraag jullie mede namens alle forumgebruikers om helderheid over hoe firewall regels nu precies werken.
Inmiddels ook al weer een wat ouder onderwerp, vanuit de werking van een Synology router.
Maar vergelijkbare basis principes gelden ook voor een NAS, alleen minder diepgaand, en daarbij alleen voor inkomend verkeer.
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656
Als mensen conflicten daarin tegen komen met wat niet zou kloppen, hoor ik het graag.
-
Kort samengevat:
Natuurlijk gaat het telkens over een pakket met data en niet over alle data die het komende uur binnenkomt.
Elk pakket wordt vanaf regel 1 door de firewall gehaald.
Elk volgend pakket begint weer opnieuw bij regel 1.
Zodra een regel voor dat pakket van toepassing is, wordt die regel uitgevoerd.
Daarna stopt voor dat pakket de firewall-controle van de navolgende regels.
-
Zie https://kb.synology.com/nl-nl/DSM/help/DSM/AdminCenter/connection_security_firewall?version=7
Ergens onderaan:
Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal DSM Firewall hem niet meer afstemmen op resterende regels. Als er geen regels overeenstemmen, zal DSM Firewall de standaardactie uitvoeren die in elke interface is opgegeven.
Zoals ik het lees:
Zodra een regel overeenkomt stopt verdere evaluatie van die situatie. ("niet meer afstemmen op.....")
De vervolgregels mogen wellicht 'gelezen' worden, maar er wordt niets mee gedaan omdat er al 'een hit' is geweest. Effectief gezien stopt dus verdere evaluatie.
Ik hoop dat de (zinvolle!!!) discussie hiermee een juiste antwoord vind.