Synology-Forum.nl

Firmware => Synology DSM algemeen => Topic gestart door: mysticfist op 30 januari 2015, 21:48:58

Titel: Blokkeren volledige IP ranges op synology nas
Bericht door: mysticfist op 30 januari 2015, 21:48:58
Telkens ik mijn NAS met het internet verbind wordt ik vrij veel aangevallen.
Ik spreek dan van zo een 15 a 20 ip adressen vanwaar de aanvallen komen.
Ik heb mijn beveiliging momenteel zo gezet dat het IP na 5 mislukte pogingen geblokkeerd wordt.
Maar is het niet mogelijk om meteen heel die zooi te blokkeren?
Eigenlijk gebruik ik mijn NAS enkel als ik thuis ben maar aangezien hij in mijn netwerk zit en dat mijn netwerk wel een internet verbinding nodig heeft voor de pc's, laptops, ... zit hij dus ook meteen aan het net.
Geen idee of ik dat trouwens kan aanpassen.
Anyway het zou al een grote hulp zijn moest ik bvb ergens kunnen instellen dat enkel belgische ip's mogen proberen aanloggen maar hoe doe ik dat?


Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Birdy op 30 januari 2015, 21:55:41
Ik denk dat je dit zoekt:

[attachimg=1]

Dan schakel je alles in en België daarna uit, klik ok, dan vink Weigeren aan en ok.
Of, alleen België selecteren, klik ok, dan vink Toestaan en ok.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: mysticfist op 30 januari 2015, 22:19:40
Ok ik heb alles (per 15) geselecteerd en geblokkeerd.
Blijkbaar kan je er max. 15 per keer kiezen :/

Ik hoop dat het zo goed is.

Enkel Belgie aanvinken en toelaten vond ik riskant omdat ik niet weet of ze dan ook nog gecontroleerd worden.
Als ik Belgie toegang geef en ze geven 5x een verkeerd paswoord ofzo in worden ze dan nog steeds geblokkeerd?

Ik hoop enkel dat ik het zo goed gedaan heb en dat ik mezelf niet uitsluit als ik het zo bewaar.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: mysticfist op 30 januari 2015, 22:35:05
Gelukkig is de NAS slim genoeg om te voorkomen dat ik mezelf uitsluit.
Zoals in de screenshot zie je dat ik het dus fout deed.
Maar wat moet ik dan doen ?
Ik heb op de 1e regel Belgie toch toegelaten?
Waarom werkt het dan niet?

Graag wat help.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: mysticfist op 30 januari 2015, 22:45:36
Ok blijkbaar moest ik er ook het IP van mijn pc toelaten : 192.***.*.***

Vreemd want ik dacht dat het eigenlijk zou nakijken of het in Belgie was maar blijkbaar gebeurd dat dus niet als je probeerd vanop een pc binnen het netwerk.

Klopt het zo of is er nog een mogelijk problem?
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Briolet op 30 januari 2015, 23:15:15
Alles van België toestaan als 1e regel is absoluut onverantwoord. Op het moment dat er een regel voldoet, stopt de check. Dus alles staat dan open voor geheel België. Als je België toestaat, moet dat altijd in combinatie van poorten die je toe wilt laten.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Babylonia op 30 januari 2015, 23:17:21
Ik denk dat je "verkeerd om" te werk gaat als je reeds 15 regels hebt ingesteld.

Voorbeeld van in te stellen Firewall waarbij met twee regels hetgeen is in te stellen wat je nastreeft.
Overigens kun je jezelf met verkeerde instellingen vanuit het interne netwerk wel degelijk uitsluiten om toegang te hebben  :!: :!:
Zie voorbeeld < HIER > (http://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg125496/#msg125496)
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: mysticfist op 30 januari 2015, 23:38:22
Ok dus dit is beter?

Als het een IP is uit Belgie en ze proberen 1 van de poorten te benaderen die ik aangeduidt heb dan is het OK
Indien deze regel niet voldoet wordt er gecontroleerd of het een IP is uit mijn locaal netwerk. Als dat zo is is het OK.
Alle andere gevallen worden geblokkeerd.

Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: SynMan op 30 januari 2015, 23:53:23
Ik heb niet veel vertrouwen in de geo rules. Blijkbaar krijg ik nog steeds vanuit de US en China attacks binnen. Ben dan maar op volledige subnets beginnen blokkeren.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: mysticfist op 30 januari 2015, 23:59:52
Mja we zien wel of het nu beter is.
Uiteindelijk geraakten ze er niet in omdat na 5 pogingen hun ip geblokkeerd werd.
Alleen vraag ik me af: ga ik nu minder aanvallen krijgen?
Ik veronderstel dat ze het nog steeds gaan proberen en dat ik dus nog steeds elke dag zoveel meldingen ga krijgen.
Althans dat vermoed ik.
Ik ben nieuwsgierig ;)
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Babylonia op 31 januari 2015, 01:12:52
@mysticfist
Van wat ik van je laatste screendump zie, lijkt het me nu goed ingesteld.

@SynMan
Met het weinig vertrouwen in die Geo regels, en met de attacks die jezelf nog wel steeds krijgt, vraag ik me af of je de regels wel juist hebt ingesteld? Een vinkje verkeerd om ingesteld bij het een of het ander, kan een hoop uitmaken.
Synology heeft die functie niet voor niets gemaakt. Bij mij (en anderen) werken ze uitstekend. Van de zomer had ik pakweg 8-10 attacks per dag.
Zie eerder bericht < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119768/#msg119768)

Na verscherpen van de Firewall regels tot nu toe geen één meer die is vastgelegd in de 5x poging blokkeringslijst. Nu ja, één uitzondering.
En die ene uitzondering die erbij zat kon ik herleiden naar het IP-adres van de school van mijn dochter, die bij navraag inderdaad had proberen in te loggen (nog niet gewend om van buiten uit op de NAS te komen. Misschien had ze per ongeluk de caps-lock van haar laptop ingeschakeld ??).

Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Briolet op 31 januari 2015, 09:45:07
Mijn ervaring is dat de Geo instellingen gewoon goed werken. Ik heb alleen poort 25 wereldwijd open en daar zie ik aanvallen. Ik heb een tijdje poort 22 open gehad voor alleen Nederland en toen kreeg ik alleen aanvallen vanuit Nederland. De meeste ook nog vanuit de IP range van één hosting provider.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Tim__ op 31 januari 2015, 12:23:08
Bij mij werkt de geo ip firewall ook perfect hoor. Meer zelfs, ik configureer het op elke Synology waar ik admin van ben.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: SynMan op 31 januari 2015, 17:52:43
Had ze ook in groepjes van 15 ingedeeld. Staan als eerste in de lijst met pas daarna de toegelaten services. Toch blijven adressen uit de US, China en korea geblokeerd worden door mijn syno. Het is niet de eerste firewall die ik heb gecinfigureerd
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Heppieboeddah op 31 januari 2015, 18:23:42
Omzeilt een VPN verbinding die je gebruikt eigenlijk de Firewall?
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Birdy op 31 januari 2015, 19:22:31
Met VPN zit je in feite op je lokale netwerk, de vraag is natuurlijk of de Firewall je uit kan sluiten voordat je de  verbinding gaat maken op basis van je buitenlandse ip  :S
Dat zou getest kunnen worden.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Heppieboeddah op 31 januari 2015, 21:10:20
Lastig testen vanuit Nederland..

Maar ben benieuwd of iemand hier antwoord op heeft.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Ben(V) op 31 januari 2015, 21:35:43
Uiteraard wordt een Vpn ook geblocked door een firewall als het ipadres van de Vpn client normaal gesproken geblokeerd zou worden.
Tenzij je bijvoorbeeld een Vpn met je router opzet. Daarna ziet de firewall in je Nas natuurlijk alleen lokaal verkeer.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Birdy op 31 januari 2015, 21:47:34
Dus wat ik dacht, TX.

Citaat
Tenzij je bijvoorbeeld een Vpn met je router opzet.
Die had ik ook verwacht, na je Router/VPN connectie heb je al een intern adres. :)
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Heppieboeddah op 01 februari 2015, 11:39:56
Dat is dan helder. Mijn VPN Server draait op de router.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Laurentius26 op 05 februari 2015, 21:15:52
@Auteur,

Dit is mijn eerste post hier en ik mag geen reclame maken maar ik kwam een leuk artikel tegen op een andere website.

Google is op 'De Synology Firewall instellen', dan kom je op een Synology website terecht met heel mooie instellingen voor de Firewall.
Je eigen IP range in je LAN laat je dan open en de rest spijker je met één regel dicht.

Credits to Ronald en Michel, mijn dank hiervoor.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Babylonia op 05 februari 2015, 23:11:09
Daar hoef je niet voor naar Google te gaan. Op de vorige blz. (http://www.synology-forum.nl/the-lounge/blokkeren-volledige-ip-ranges-op-synology-nas/msg146045/#msg146045) staat de verwijzing naar de oplossing.  ;D
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Laurentius26 op 06 februari 2015, 08:42:59
@Babylonia , dat zie ik inderdaad pas na je bericht.
Iets te enthiousast begonnen, volgende keer beter.  ;)
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: scootfan op 11 maart 2015, 22:30:23
Het klinkt misschien onwaarschijnlijk dom, maar hoe kan je die aanvallen zien  :?:
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Birdy op 11 maart 2015, 22:38:56
Dat denk ik wel omdat je een VPN/Tunnel/Privé verbinding hebt, dus eigen IP-nrs.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Pippin op 11 maart 2015, 23:00:42
Mijn NAS hoeft niet publiek te zijn en gebruik dan ook alleen OpenVPN. Had maar 1 UDP poort open maar sinds een maand of 3 staan er twee UDP poorten open, VPN en WOL.
Ik zie nooit wat in het log. UDP is lastiger te ontdekken met een scan.

In de Firewall heb ik 3 regels.
1 voor het LAN
1 voor de VPN client
1 om binnen te komen
En dan natuurlijk, niet voldoen niet binnen.
Maak geen gebruik van regio`s
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: error33 op 12 januari 2019, 11:15:54
Om even verder te borduren op dit oudere topic :)

Inmiddels is de DSM geüpdatet naar 6.2 Afgelopen nacht meerdere pogingen vanuit China gehad  :twisted: Maar door ingestelde aantal pogingen binnen bepaalde tijd is het niet gelukt. Kijkend waarom want dacht dat ik alles behalve NL, DE, AT en BE te hebben geblokkeerd.

Maar nu zag ik bij de firewal instellingen "alle interface's" staan. Nu klinkt dat simpel zou je denken hier staan alle regels maar niet dus.

De instellingen die ik bij "Bond 1" heb staan zijn niet terug te vinden in "alle interfaces" en hier zat dan toch een foutje dat China het kon proberen.

Wat is het doel van "alle interface's" dan ?
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Briolet op 12 januari 2019, 11:51:04
Alle interface's is alle interfaces. Ik gebruik niet anders omdat ik het dan maar 1x hoef in te vullen.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: error33 op 12 januari 2019, 12:18:56
So simpel zou ik ook denken, maar wat is dan de reden dat de optie
"indien niet voldaan wordt aan de regels" Toegang toestaan / Toegang weigeren
hier niet te vinden is ?

Die krijg ik alleen maar in mijn geval bij Bond 1
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Briolet op 12 januari 2019, 12:26:54
Na alle interfaces gaat hij verder bij de individuele interfaces. Daarom staat de optie "indien niet voldaan wordt aan de regels" er niet onder.

Dan kun ook interface specifieke instellingen doen. b.v. voor de ene lan poort een andere firewal dan de andere lan poort (Als je twee losse poorten gebruikt)

Ik vind het risico op vergissingen te groot bij meerdere paginas en gebruik alleen "alle interfaces" en sluit die af met een algehele blokkade.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Ben(V) op 12 januari 2019, 13:39:23
Die krijg ik alleen maar in mijn geval bij Bond 1

Als je een bond gemaakt hebt dan heb je geen andere interfaces meer dan alleen die bond.
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: error33 op 13 januari 2019, 12:25:43
Ik heb daar toch nog wat keuze's bij staan. Ook al zijn die van mij niet van toepassing

[attach=1]
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: Briolet op 13 januari 2019, 13:02:34
Maar die namen spreken toch voor zich. VPN is voor VPN etc.

Maar ik snap het probleem niet. Als je een volledige range al bij 'alle interfaces' blokkeert, dan kom je niet eens meer bij de individuele interfaces. Daarom is het veel handiger dit bij alle interfaces te doen, anders moet je die blokkering 3 x bij de 3 individuele interfaces ingeven. (Als je die interfaces gebruikt)
Titel: Re: Blokkeren volledige IP ranges op synology nas
Bericht door: error33 op 13 januari 2019, 15:53:04
De interfaces VPN etc zijn wel duidelijk ja.

Maar heb m nu  ;)
Soms valt mijn kwartje wat later

Het ging voor het vinkje van:
[attachimg=1]

En na de regels in "alle interfaces" Gaat die door voor de regel in Bond1


@Briolet  dank voor de uitleg  :thumbup: