Synology-Forum.nl

Hardware ondersteuning => Netwerk algemeen => Topic gestart door: André PE1PQX op 14 april 2018, 23:16:12

Titel: volgorde firewall regels
Bericht door: André PE1PQX op 14 april 2018, 23:16:12
Even een vraag voor mijn eigen duidelijkheid:

De firewall regels is op volgorde van invullen als ik de knowledge base goed begrijp.
Dan is het toch te adviseren om eerst alles te blokkeren (poorten, IP-adressen en applicaties) om verbolgens per poort, toepassing en/of IP-adres/IP-range het één en ander toe te staan?

Dus "block all first, allow some next"?
Titel: Re: volgorde firewall regels
Bericht door: Briolet op 15 april 2018, 00:11:41
Tja, als het op volgorde is en je begint met alles dichtzetten…
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 15 april 2018, 01:22:05
M.b.t. een volgorde heb ik wel eens eerder ooit een voorbeeld gegeven met rode kersen en groene appels  ;)
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887
Titel: Re: volgorde firewall regels
Bericht door: André PE1PQX op 15 april 2018, 09:43:49
Is me inmiddels duidelijk; eerst enkelen toelaten en als laatste alles verbieden.
Bedankt!
Titel: Re: volgorde firewall regels
Bericht door: Briolet op 15 april 2018, 10:18:36
De firewall stopt met controleren van volgende regels als hij een treffer heeft. Zo voorkomt hij conflicterende regels. ;)
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 15 april 2018, 13:00:53
Dat lijkt me een beetje te kort door de bocht.
Er zou best een firewall regel bij kunnen zijn die praktisch gezien "geen functie heeft" (overbodig is) met een voorgaande regel, maar de daarop volgende regels kunnen evengoed wel weer functioneel zijn. Die worden toch echt alsnog meegenomen als geldende Firewall regels.

Titel: Re: volgorde firewall regels
Bericht door: Ben(V) op 15 april 2018, 13:15:54
Weet niet of ik bergrijp wat je bedoelt, maar de stelling van Briolet is echt juist.
Als iets aan een firewall regel voldoet stopt het evalueren meteen en worden de volgende regels niet meer geëvalueerd

Dus als je een regel hebt die iets blocked zal de volgende regel die iets tegenstrijdigs doet echt niet van toepassing worden.
Dus als je als eerste regel iets van "block all" zet kom je nergens meer bij wat er ook op de volgende regels staat.
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 15 april 2018, 13:39:04
Het is inderdaad duidelijk dat je niet begrijpt wat ik bedoel, en ook de stelling van Briolet daarmee te kort door de bocht is.

2e voorbeeld iets verder in de eerdere verwijzing die ik gaf.
https://www.synology-forum.nl/overige-software/firewall-correct-instellen/msg155887/#msg155887

"Nu een boodschappenlijstje waarbij die volgorde WEL belangrijk is in de uitvoering wat er werkelijk gebeurt,
waarbij ik stel dat je het lijstje van boven naar beneden moet uitvoeren.
- Koop geen fruit uit Spanje
- Rode kersen uit Spanje
- Groene appels uit Nederland

Je snapt dat de tweede regel in conflict is met de eerste regel. Je komt alleen met groene appels thuis.
"

De 3e regel wordt evenwel gewoon uitgevoerd.
Het is niet zo dat met dat voorbeeld de regels "stoppen" bij de 2e regel.
Nu is dit een zeer plastisch voorbeeld met een boodschappenlijstje in een winkel.
Maar de functionaliteiten van de Firewall in een NAS werken precies zo, en zijn ermee te vergelijken.

Het is dus zeker wel belangrijk hoe de regels zijn opgesteld en goed te doordenken hoe je de volgorde vastlegt.
Het een kan afhangen van het ander, maar het is niet vanzelfsprekend dat het lezen van de regels na een conflict "stopt".
Titel: Re: volgorde firewall regels
Bericht door: Ben(V) op 15 april 2018, 13:54:56
Blijkbaar snap je de regels toch niet zo goed.
Je geeft een voorbeeld van drie verschillende items en zegt dat ze allemaal geevalueerd worden, wat uiteraard het geval is.

Wat Briolet en ik zeggen is dat als je in de eerste regel zegt "koop geen Fruit" dan alle overige regels er niet meer toe doen.
Als eronder staat "koop appels uit Nederland", dan krijg je echt geen appels.
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 15 april 2018, 13:59:55
Wat Briolet en ik zeggen is dat als je in de eerste regel zegt "koop geen Fruit" dan alle overige regels er niet meer toe doen.
Als eronder staat "koop appels uit Nederland", dan krijg je echt geen appels.

Maar als eronder zou staan "koop groente uit Israël",  wordt dat alsnog uitgevoerd. (Dat is namelijk geen fruit).
Het hangt dus heel sterk af wat je in de regels vastlegt.  Er is geen algemene "stop" dat regels niet meer worden gelezen na een eerste conflict.

Het kan best zijn dat opvolgende regels geen geldig resultaat meer opleveren, omdat de regel ervoor dat reeds heeft afgeblokt.
Dat volgt echter uit de vergelijking van die regels. Niet dat de Firewall er verder mee "stopt" na het lezen van een conflict.
Regels worden gewoon in volgorde tot aan de laatste regel uitgevoerd "geldend aan de voorwaarden van die regels".

Titel: Re: volgorde firewall regels
Bericht door: Briolet op 15 april 2018, 14:35:24
Maar als eronder zou staan "koop groente uit Israël",  wordt dat alsnog uitgevoerd. (Dat is namelijk geen fruit).

Je hebt het blijkbaar toch niet gesnapt. Als het geen fruit was dan gaf de eerdere regel "Koop geen fruit" ook geen treffer en gaat de evaluatie verder en komt bij deze regel aan.

Er zit ook geen logica in om verder te evalueren als je een treffer hebt. Het enige wat nog kan gebeuren is dat je een conflict krijgt. En wat dan? Je kunt dan beter direct stoppen met evalueren.

Hetzelfde geldt bij het evalueren van een IF statement bestaande uit meerdere OR gekoppelde statements. Als er één geldig is, doet de erna komende rest er niet meer toe. Dus zelfs als er een 'gedeeld door 0" in de tweede check staat, zal het programma niet crashen, zolang de eerste geldig blijft.
Titel: Re: volgorde firewall regels
Bericht door: André PE1PQX op 15 april 2018, 14:40:27
Simplistisch uitgelgd als ik het goed begrijp uit voorgaand relaas:

1. Koop geen fruit!
2. Koop alleen appels uit Israël Dit mag niet, conflict met regel 1 omdat appels = fruit
3. Koop geen groente uit Rusland
4. Koop spinazie uit Spanje Dit mag wel, omdat de spinazie niet uit Rusland maar uit Spanje komt en het is geen fruit!
5. de rest mag niet!
Titel: Re: volgorde firewall regels
Bericht door: Briolet op 15 april 2018, 14:44:42
Nee, 2 geeft geen conflict omdat evaluatie al bij 1 stopt als het fruit betreft. En als het geen fruit is, is het alleen een zinloze toevoeging.
Titel: Re: volgorde firewall regels
Bericht door: André PE1PQX op 15 april 2018, 14:47:59
Ik vraag me dat af, omdat appels = fruit, maar fruit is nog geen appel (kan ook bananen of peren of.... zijn)
Volgens jouw bewering zouden regeltjes 2 en verder ook geen nut hebben als het om groente EN fruit zou gaan.

Ik denk dat conflicterende regels wel worden geevalueerd, maar niet uitgevoerd worden wegens dat conflict.
Vervolgens door naar de volgende regel...?
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 15 april 2018, 14:57:21
Ik denk dat conflicterende regels wel worden geevalueerd, maar niet uitgevoerd worden wegens dat conflict.

Het wordt met het voorbeeld met 2 regels gewoon uitgevoerd binnen de regels op volgorde van die vergelijking wat praktisch gezien in dat geval niets oplevert. (Kun je die tweede regel dan inderdaad gewoon weglaten, want het levert voor dat stukje niets op).
Dus je voorbeeld.

1. Koop geen fruit!
2. Koop alleen appels uit Israël Dit mag niet, conflict met regel 1 omdat appels = fruit


Dat mag je best zo scrhijven.  Het levert voor regel 2. alleen niets op.  (Kun je dan net zo goed weglaten).

Vervolgens door naar de volgende regel...?

Precies.
Dus de Firewall bewerkingen zijn met het voorgaande niet gestopt, maar gaan gewoon verder met de regels die volgen t/m de laatst regel.

In je voorbeeld gaat het dus gewoon verder met...

3. Koop geen groente uit Rusland
4. Koop spinazie uit Spanje Dit mag wel, omdat de spinazie niet uit Rusland maar uit Spanje komt en het is geen fruit!
5. de rest mag niet!


Ondanks dat de eerdere regel 2. er mogelijk nog gewoon bijstaat.
Titel: Re: volgorde firewall regels
Bericht door: Briolet op 15 april 2018, 18:46:37
2. Koop alleen appels uit Israël

Strikt genomen bestaat het equivalent van "alleen" niet op de nas. Om exact dit in te stellen heb je op de nas twee regels nodig:

2a. Koop appels uit Israël
2b. Koop geen appels.

Zo heb ik ook meerdere van mijn regels opgebouwd.
Titel: Re: volgorde firewall regels
Bericht door: spikehome op 15 april 2018, 18:57:20
Firewall werkt simpel.
Eerst alles regels erin die je wilt.
De laatste blokkeert alles.

Zolang het mag word er naar de volgende regel gekeken.
Zodra iets niet mag stopt het.
Titel: Re: volgorde firewall regels
Bericht door: Briolet op 15 april 2018, 23:33:15
Citaat
Zolang het mag word er naar de volgende regel gekeken.

Mensen snappen er toch blijkbaar minder van dan ik dacht. Als het mag (of beter: als een treffer is), wordt er niet naar een volgende gekeken, maar stopt de evaluatie. Het mag namelijk al (of juist niet), dus is er geen reden om verder te kijken.

Kijk naar mijn voorbeeld 2a hierboven. Als 2a klopt, wordt er niet eens meer naar 2b gekeken.
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 15 april 2018, 23:41:44
Ik gebruik regels juist ook wel eens andersom ;)

2a. Koop geen appels uit Israël, Frankrijk en Spanje
2b. Koop appels.

Praktisch gezien komen de appels dan overal vandaan, behalve uit de drie genoemde landen ;)
Titel: Re: volgorde firewall regels
Bericht door: Pippin op 16 april 2018, 00:53:09
Het fruit is voor mij moeilijk te verteren dus voor een NAS geldt:

In de firewall onder Regels bewerken vindt men rechtsboven een drop-down menu waar de interfaces staan.

Een LAN poort is een interface.

Een Bond is een interface.
Indien er een Bond is gemaakt van LAN poorten verschijnt deze in het drop-down menu als Bond 1.
De LAN poorten die voor een Bond zijn gebruikt verdwijnen uit het drop-down menu.

Indien er gebruik gemaakt wordt van VPN verschijnt deze ook in het drop-down menu.

In het drop-down menu vindt men ook Alle interfaces, dat betekent precies wat er staat.

Er kunnen er meer staan/tevoorschijn komen afhankelijk van configuratie, werking is hetzelfde wat dat betreft.


Wat belangrijk is om te weten/begrijpen is dat de firewall`s default chain policy ACCEPT (Toestaan) is.
Dit houd in dat er dus eerst regels gemaakt moeten worden van wat men specifiek wil blokkeren/toestaan om als laatste alles te blokkeren.
Blokkeren doet men onderaan het scherm van de specifieke interfaces, Indien niet voldaan wordt aan de regels: Toegang weigeren.


De volgorde die wordt afgewerkt door de firewall met betrekking tot interfaces:
1. Regels op Alle interfaces.
2. Regels op LAN poorten op volgorde, eerst LAN 1 dan LAN 2, etc.
2a. Regels op Bonds op volgorde, eerst Bond 1 dan Bond 2.
3. Regels op VPN.

Regels worden van boven naar beneden gelezen.
Als een regel treft stop de verwerking van volgende regels (technisch niet helemaal correct maar voor de werking wel).
Regels gelden uitsluitend voor inkomend verkeer en doorgaand verkeer.
Voor uitgaand verkeer kunnen geen regels gemaakt worden.

Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 16 april 2018, 06:30:33
Als aanvullende opmerking op:

Regels gelden uitsluitend voor inkomend verkeer en doorgaand verkeer.
Voor uitgaand verkeer kunnen geen regels gemaakt worden.

Dat geldt alleen voor een Firewall zoals gebruikt in de NAS (en door de meeste mensen op dit forum als zodanig bedoeld als in te stellen Firewall).

Het onderwerp staat in dit geval specifiek onder de rubriek "netwerk algemeen".
Mocht je de Firewall opties van een Synology router willen instellen, kun je tevens ook uitgaand verkeer regelen. (Extra kolom met "Doel-IP").
Gelden niet de aparte interfaces voor VPN, LAN1, LAN2 of een bond. Maar in dat geval verschil tussen IPv4 en IPv6 (of beiden).
En heb je onderaan nog wat extra opties m.b.t. IPv4 en IPv6 in relatie tot verkeer "tot" de router of er voorbij (indien port forwarders ingesteld).

Bij een NAS "kun je" de aparte interfaces gebruiken, maar doorgaans voor de meeste gebruikte regels is het niet noodzakelijk om dat te doen.
Voor het overzicht heb ik dat zelf bijv. allemaal onder "Alle interfaces" ondergebracht. Ook die van VPN. Sluit het meer aan met de Firewall zoals gebruikt in de router. (Bij de NAS gebruik ik slechts één LAN-poort van de twee).
Titel: Re: volgorde firewall regels
Bericht door: Pippin op 16 april 2018, 13:04:07
Mijn vorige post geldt inderdaad voor een NAS, had ik moeten vermelden.
@André PE1PQX heeft volgens zijn handtekening geen Synology router.


Waar men de regels neerzet, Alle interfaces of de individuele interfaces (LAN/Bond/VPN).

Omwille van correctheid, begrip van de werking en efficiëntie in de zin van CPU last maak ik alleen regels op individuele interfaces want regels op Alle interfaces schrijft daadwerkelijk alle regels op LAN/Bond/VPN.
Nu kun je je voorstellen dat een regel voor het VPN niets te zoeken heeft op LAN/Bond. Andersom is natuurlijk ook zo.

Mijn advies zou dus zijn, zet de regels daar waar ze nodig zijn.
Titel: Re: volgorde firewall regels
Bericht door: André PE1PQX op 16 april 2018, 13:10:19
Ik heb i.d.d. geen Syno router.
Titel: Re: volgorde firewall regels
Bericht door: Babylonia op 16 april 2018, 13:14:19
@André PE1PQX heeft volgens zijn handtekening geen Synology router.

Maar mogelijk andere gebruikers die het forum en het onderwerp lezen wel.  Daar zijn die berichten toch ook voor bedoeld?
Het is een algemene kennisbank "voor iedereen".
Titel: Re: volgorde firewall regels
Bericht door: spikehome op 16 april 2018, 22:42:24
Nou ik heb diverse firewall's gedraaid
Altijd eerst alle regels erin die je toestaat en dan block regels.

Verstuurd vanaf mijn Nexus 7 met Tapatalk

Titel: Re: volgorde firewall regels
Bericht door: Briolet op 16 april 2018, 23:07:33
Dat is echt geen regel dat je eerste moet toestaan.

Probeer maar eens de SMTP poort voor de hele wereld open te zetten met uitzondering van China. Dan zul je toch eerst een blockregel moeten toepassen en daarna pas een toestaan regel.

Als je dat doet met toestaan als eerste, kan dat, maar je moet dan eerst alle IP blokken in de wereld uitpluizen die niet in China liggen. Het kan, maar eerst blokken dat je wilt uitsluiten is dan echt een stuk simpeler.
Titel: Re: volgorde firewall regels
Bericht door: Pippin op 16 april 2018, 23:08:25
Een veel simpeler voorbeeld:
Denk je dat dat werkt met deze regels?
[attach=1]