Auteur Topic: ConfigServer Security & Firewall (csf) ipv Synology firewall  (gelezen 2756 keer)

Offline benedict

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 3
ConfigServer Security & Firewall (csf) ipv Synology firewall
« Gepost op: 10 januari 2019, 15:32:56 »
OK, nog erg nieuw met DSM, maar naar ik begrijp draait er 'gewoon' een iptables wrapper op de synology NAS die als "firewall" in de GUI te bedienen is.
Nu heb ik al een jaar of 20 zéér goede ervaringen met het gebruik van CSF/LFD, al dan niet bediend vanuit Webmin, en liefst zou ik ook op mijn DS1819+ CSF/LFD hebben draaien, helemaal aan de buitenlaag, dus echt vóórdat synology iets probeert te doen.
Iemand advies over de beste optie die dat mogelijk maakt? CSF wil een aantal Perl modules installed hebben om goed te kunnen werken.

Ik kan een VM met een debian draaien, maar dat lijkt mij overkill, aangezien linux native is. Iermand daar al ervaring mee? Ik ben nog niet via shell op mijn NAS bezig geweest, maar ik neem aan dat ik CSF van daaruit ook 'gewoon' kan installeren, al weet ik niet hoe Synology daar mee omgaat.
Sowieso, kan ik gewoon alles doen wat ik wil op de shell, of moet ik daarvoor een jail opzetten?
  • Mijn Synology: DS1819+
  • Extra's: 20GB

Ben(V)

  • Gast
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #1 Gepost op: 10 januari 2019, 15:40:35 »
Dus jij denkt dat het wiel opnieuw uitvinden een slim idee is.
Je wilt dus gewoon de DSM firewall nabouwen?

En DSM is echt niets anders dan een gebruikers interface op Linux.

Offline benedict

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 3
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #2 Gepost op: 10 januari 2019, 16:40:10 »
Eeh.. nee. DSM is een relatief nieuw product. Gezien de bergen problemen die mensen hebben betreffende de Synology firewall, zou ik niet echt durven stellen dat er hier door mij een wiel opnieuw uitgevonden hoeft te worden. Sterker nog; Het is best raar dat Synology niet gekozen heeft voor CSF/LFD als basis voor hun iptables wrapper. Zoals ik al schreef, CSF is al zeker 20 jaar oud. Wat daarmee kan lukt je echt niet in de DSM Firewall via de GUI.

Maar goed, ik zie al dat het in dit forum niet echt gaat om expertise. Ik zal het zelf wel weer uit gaan vinden dan. Zo lastig is het niet. Ik zag al dat via https://synocommunity.com 1 en ander te vinden is. Zo te zien draait het bij DSM gewoon om een GNU/Linux distro, inclusief kernel en bekende services. Enige bijzondere zijn de 'cloud' services en de webGUI, hoewel de bediening van CSF vele malen beter is dan dat wat synology hier firewall heeft durven noemen.
  • Mijn Synology: DS1819+
  • Extra's: 20GB

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7771
  • Berichten: 43.097
  • FIFO / LIFO
    • Truebase
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #3 Gepost op: 10 januari 2019, 17:01:51 »
Citaat
Gezien de bergen problemen die mensen hebben betreffende de Synology firewall
Bergen problemen :?: Nou, ik niet hoor, op m'n Router. 8)
Maar goed, doe dan eens een voorstel indienen bij Synology als je denkt dat CSF veel beter is voor DSM/SRM, men is altijd open voor product verbeteringen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #4 Gepost op: 10 januari 2019, 17:12:52 »
Voor mij is een firewall in de NAS bijzaak. Daarmee bescherm je alleen de toegang tot je NAS.

Een echte firewall hoort in je router te zitten.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7771
  • Berichten: 43.097
  • FIFO / LIFO
    • Truebase
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #5 Gepost op: 10 januari 2019, 17:18:47 »
Heb ik dan ook ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #6 Gepost op: 10 januari 2019, 17:29:28 »
Bergen problemen :?: Nou, ik niet hoor,…

Dat neemt niet weg dat er bergen problemen zijn. Er zijn gewoon teveel mensen die niet weten hoe je handleidingen moet lezen en denken dat als je maar willekeurig iets invult, het precies zo gaat werken als je wilt. Blijkbaar verwachten ze een soort AI in de software die alles dan aanpast. (Vergelijkbaar met de aanpassing van zoekopdrachten door Google) Vooral het op het engelse forum komen veel problemen voorbij die gewoon in de handleiding staan.
Niet kunnen lezen is dus geen specifiek Nederlands probleem. Het onderwijs deugt in meer landen niet.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7771
  • Berichten: 43.097
  • FIFO / LIFO
    • Truebase
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #7 Gepost op: 10 januari 2019, 17:37:10 »
 :wtf: ;)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #8 Gepost op: 10 januari 2019, 18:28:13 »
Even naar deze firewall software gekeken. Inderdaad biedt deze veel meer dan de standaard ingebouwde firewall van de NAS. Maar er zijn ook andere, vergelijkbare pakketten die hetzelfde of meer bieden. Van deze specifieke software had ik zelf nog nooit gehoord. (Ondanks dat ik, in tegenstelling tot wat de OP aanneemt, toch echt meer dan 30 jaar expertise op dit gebied heb ).

Ik blijf bij mijn stelling dat dit voor een NAS complete overkill is.

Veel van de extra functionaliteit die deze firewall software biedt zie je wel terug in de Synology router en daar hoort die ook.

Offline Tazmanian

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 11
  • Berichten: 206
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #9 Gepost op: 10 januari 2019, 20:48:47 »
DSM relatief vrij nieuw product?
Ondertussen zitten ze al op versie 6.2.  Eerste versie van DSM was 2004.

En DSM 6.2 is net zo nieuw als CSF 12 ...

De Firewall op DSM is perfect, je moet hem alleen goed instellen.  En dat is echt niet moeilijk.
Je weigert gewoon elke verbinding en laat enkel de zaken toe die je nodig hebt.
Ik heb nog nooit problemen gehad met DSM.  Heb ondertussen 4 NAS-sen draaien en nog nooit problemen mee gehad, dus bergen problemen?  Nog nooit van gehoord.
Uiteraard doe ik wel de moeite om alles op te zoeken, handleidingen te lezen zodat ik weet hoe je alles moet instellen.
NAS THUIS: DS918+ 3x 4Tb HDD - SHR - 8Gb RAM
NAS WERK 1: DS415+ 2x 3Tb HDD - SHR - 8Gb RAM
NAS WERK 2: DS412+ 2x 3Tb HDD - SHR - 2Gb RAM
NAS WERK 3: DS916+ 3x 3Tb HDD - SHR - 8Gb RAM

MIJN EERSTE NAS: DS211j 2x 1Tb HDD - SHR

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #10 Gepost op: 10 januari 2019, 20:52:01 »
Niet wetende wat @benedict mist in de firewall.....er missen sowieso een aantal iptables modules voor wat meer geavanceerde opties.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline benedict

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 3
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #11 Gepost op: 11 januari 2019, 10:22:48 »
Het is me inmiddels gelukt, via https://www.cphub.net/ en het oude US synology forum kreeg ik de juiste perl libraries installed, dus CSF draait weer als vanouds, erg blij mee. :D Haalt block-lists en allow-lists van mijn andere servers elders, en LFD deelt de nieuwe foute IP's van inlog-pogingen met de andere servers. Gaat helemaal goed.
(lfd Clustering - allows IP address blocks to be automatically propagated around a group of servers running lfd. It allows allows cluster-wide allows, removals and configuration changes)


Denk wel dat ik (inderdaad) de installatie ga scripten en op github zet, zodat het wat minder tijd kost de volgende keer dat DSM een upgrade ondergaat, en zodat anderen hetzelfde kunnen doen.

Moet zeggen, ik ben (aangenaam?) verrast met het feit dat Synology dit toestaat zonder het bij iedere boot te verwijderen/verknoeien, wat Qnap, Asustor, Drobo en veel anderen wèl doen als je 'hun' distro onder de motorkap modificeert.
Ik moet - denk ik - vooral zorgen dat ik de syno firewall uit laat, en er niet meer aan ga zitten, en voorzichtig zijn als DSM mij prompt over poortjes die open moeten voor een app e.d.

CSF heeft trouwens zelfs hele mooie watchdogs aan boord die detecteren of/wanneer belangrijke files veranderen;
Directory and file watching - reports if a watched directory or a file changes en Account modification tracking - sends alerts if an account entry is modified, e.g. if the password is changed or the login shell
  • Mijn Synology: DS1819+
  • Extra's: 20GB

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #12 Gepost op: 11 januari 2019, 10:43:12 »
Mooi dat het je gelukt is.

Inderdaad staat Synology veel toe. De volgende uitdaging wordt naar alle waarschijnlijkheid het overleven van de eerstvolgende DSM update/upgrade.

Ben(V)

  • Gast
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #13 Gepost op: 11 januari 2019, 10:57:56 »
Als je zoiets installeert zonder kennis van hoe een package gemaakt moet worden kan ik je verzekeren dat jouw firewall weer verdwenen is na een grote DSM update en kleine updates kunnen wel eens crashen.
Net als alle Linux distros wordt dan de hele systeem partitie verwijdert en de nieuwe DSM versie erop gezet en bij jij alles kwijt.

Het blijft natuurlijk een onzinnige exercitie.
Een uitgebreide firewall heeft natuurlijk alleen nut als die firewall tussen je Lan en het internet zit en niet als device firewall wat je nu hebt.

Wat is je volgende doel, de Linux versie onder DSM updaten naar een hogere versie misschien?

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: ConfigServer Security & Firewall (csf) ipv Synology firewall
« Reactie #14 Gepost op: 11 januari 2019, 13:26:16 »
…en voorzichtig zijn als DSM mij prompt over poortjes die open moeten voor een app e.d.…

Dat negeren moet je ook bij de gewone firewall. Als je iets complexere regels hebt, zoals een poort alleen open voor een IP range, dat geeft hij al waarschuwingen en wil die poort weer open zetten voor alle IP's.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)