Auteur Topic: volgorde firewall regels  (gelezen 990 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 1504
  • Berichten: 9.580
Re: volgorde firewall regels
« Reactie #15 Gepost op: 15 april 2018, 18:46:37 »
2. Koop alleen appels uit Israël

Strikt genomen bestaat het equivalent van "alleen" niet op de nas. Om exact dit in te stellen heb je op de nas twee regels nodig:

2a. Koop appels uit Israël
2b. Koop geen appels.

Zo heb ik ook meerdere van mijn regels opgebouwd.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline spikehome

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 33
  • Berichten: 279
Re: volgorde firewall regels
« Reactie #16 Gepost op: 15 april 2018, 18:57:20 »
Firewall werkt simpel.
Eerst alles regels erin die je wilt.
De laatste blokkeert alles.

Zolang het mag word er naar de volgende regel gekeken.
Zodra iets niet mag stopt het.
  • Mijn Synology: DS1511+
  • HDD's: 5xWD20EARX-00PASB0
  • Extra's: 3GB
2xds106 met a 500gb DSM 4.2-3211.
Synology 1511 5x2TB en 3GB mem last firmware
qnap ts-509 met 5x500g raid5 4gb mem last firmware
colocatie dmv rsync qnap ts-509 5x1000gb raid5 1gb mem last firmware
HD Dune Prime (mediaplayer) 500gb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 1504
  • Berichten: 9.580
Re: volgorde firewall regels
« Reactie #17 Gepost op: 15 april 2018, 23:33:15 »
Citaat
Zolang het mag word er naar de volgende regel gekeken.

Mensen snappen er toch blijkbaar minder van dan ik dacht. Als het mag (of beter: als een treffer is), wordt er niet naar een volgende gekeken, maar stopt de evaluatie. Het mag namelijk al (of juist niet), dus is er geen reden om verder te kijken.

Kijk naar mijn voorbeeld 2a hierboven. Als 2a klopt, wordt er niet eens meer naar 2b gekeken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 239
  • -Ontvangen: 682
  • Berichten: 4.036
Re: volgorde firewall regels
« Reactie #18 Gepost op: 15 april 2018, 23:41:44 »
Ik gebruik regels juist ook wel eens andersom ;)

2a. Koop geen appels uit Israël, Frankrijk en Spanje
2b. Koop appels.

Praktisch gezien komen de appels dan overal vandaan, behalve uit de drie genoemde landen ;)
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.1  -  Experia Box V8 (achter glasvezel) + Synology Router RT1900ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 485
  • Berichten: 2.511
Re: volgorde firewall regels
« Reactie #19 Gepost op: 16 april 2018, 00:53:09 »
Het fruit is voor mij moeilijk te verteren dus voor een NAS geldt:

In de firewall onder Regels bewerken vindt men rechtsboven een drop-down menu waar de interfaces staan.

Een LAN poort is een interface.

Een Bond is een interface.
Indien er een Bond is gemaakt van LAN poorten verschijnt deze in het drop-down menu als Bond 1.
De LAN poorten die voor een Bond zijn gebruikt verdwijnen uit het drop-down menu.

Indien er gebruik gemaakt wordt van VPN verschijnt deze ook in het drop-down menu.

In het drop-down menu vindt men ook Alle interfaces, dat betekent precies wat er staat.

Er kunnen er meer staan/tevoorschijn komen afhankelijk van configuratie, werking is hetzelfde wat dat betreft.


Wat belangrijk is om te weten/begrijpen is dat de firewall`s default chain policy ACCEPT (Toestaan) is.
Dit houd in dat er dus eerst regels gemaakt moeten worden van wat men specifiek wil blokkeren/toestaan om als laatste alles te blokkeren.
Blokkeren doet men onderaan het scherm van de specifieke interfaces, Indien niet voldaan wordt aan de regels: Toegang weigeren.


De volgorde die wordt afgewerkt door de firewall met betrekking tot interfaces:
1. Regels op Alle interfaces.
2. Regels op LAN poorten op volgorde, eerst LAN 1 dan LAN 2, etc.
2a. Regels op Bonds op volgorde, eerst Bond 1 dan Bond 2.
3. Regels op VPN.

Regels worden van boven naar beneden gelezen.
Als een regel treft stop de verwerking van volgende regels (technisch niet helemaal correct maar voor de werking wel).
Regels gelden uitsluitend voor inkomend verkeer en doorgaand verkeer.
Voor uitgaand verkeer kunnen geen regels gemaakt worden.


Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 239
  • -Ontvangen: 682
  • Berichten: 4.036
Re: volgorde firewall regels
« Reactie #20 Gepost op: 16 april 2018, 06:30:33 »
Als aanvullende opmerking op:

Regels gelden uitsluitend voor inkomend verkeer en doorgaand verkeer.
Voor uitgaand verkeer kunnen geen regels gemaakt worden.

Dat geldt alleen voor een Firewall zoals gebruikt in de NAS (en door de meeste mensen op dit forum als zodanig bedoeld als in te stellen Firewall).

Het onderwerp staat in dit geval specifiek onder de rubriek "netwerk algemeen".
Mocht je de Firewall opties van een Synology router willen instellen, kun je tevens ook uitgaand verkeer regelen. (Extra kolom met "Doel-IP").
Gelden niet de aparte interfaces voor VPN, LAN1, LAN2 of een bond. Maar in dat geval verschil tussen IPv4 en IPv6 (of beiden).
En heb je onderaan nog wat extra opties m.b.t. IPv4 en IPv6 in relatie tot verkeer "tot" de router of er voorbij (indien port forwarders ingesteld).

Bij een NAS "kun je" de aparte interfaces gebruiken, maar doorgaans voor de meeste gebruikte regels is het niet noodzakelijk om dat te doen.
Voor het overzicht heb ik dat zelf bijv. allemaal onder "Alle interfaces" ondergebracht. Ook die van VPN. Sluit het meer aan met de Firewall zoals gebruikt in de router. (Bij de NAS gebruik ik slechts één LAN-poort van de twee).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.1  -  Experia Box V8 (achter glasvezel) + Synology Router RT1900ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 485
  • Berichten: 2.511
Re: volgorde firewall regels
« Reactie #21 Gepost op: 16 april 2018, 13:04:07 »
Mijn vorige post geldt inderdaad voor een NAS, had ik moeten vermelden.
@André PE1PQX heeft volgens zijn handtekening geen Synology router.


Waar men de regels neerzet, Alle interfaces of de individuele interfaces (LAN/Bond/VPN).

Omwille van correctheid, begrip van de werking en efficiëntie in de zin van CPU last maak ik alleen regels op individuele interfaces want regels op Alle interfaces schrijft daadwerkelijk alle regels op LAN/Bond/VPN.
Nu kun je je voorstellen dat een regel voor het VPN niets te zoeken heeft op LAN/Bond. Andersom is natuurlijk ook zo.

Mijn advies zou dus zijn, zet de regels daar waar ze nodig zijn.

Offline André PE1PQX

  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 27
  • Berichten: 404
    • http://www.pe1pqx.eu
Re: volgorde firewall regels
« Reactie #22 Gepost op: 16 april 2018, 13:10:19 »
Ik heb i.d.d. geen Syno router.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (backup systeem voor PC's)
DS218+ -> 2x 6TB met 4Gbyte RAM extra (Mailplus server en client)
DS110j -> 1x 3TB voor PXE boot.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 239
  • -Ontvangen: 682
  • Berichten: 4.036
Re: volgorde firewall regels
« Reactie #23 Gepost op: 16 april 2018, 13:14:19 »
@André PE1PQX heeft volgens zijn handtekening geen Synology router.

Maar mogelijk andere gebruikers die het forum en het onderwerp lezen wel.  Daar zijn die berichten toch ook voor bedoeld?
Het is een algemene kennisbank "voor iedereen".
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.1  -  Experia Box V8 (achter glasvezel) + Synology Router RT1900ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2

Offline spikehome

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 33
  • Berichten: 279
Re: volgorde firewall regels
« Reactie #24 Gepost op: 16 april 2018, 22:42:24 »
Nou ik heb diverse firewall's gedraaid
Altijd eerst alle regels erin die je toestaat en dan block regels.

Verstuurd vanaf mijn Nexus 7 met Tapatalk

  • Mijn Synology: DS1511+
  • HDD's: 5xWD20EARX-00PASB0
  • Extra's: 3GB
2xds106 met a 500gb DSM 4.2-3211.
Synology 1511 5x2TB en 3GB mem last firmware
qnap ts-509 met 5x500g raid5 4gb mem last firmware
colocatie dmv rsync qnap ts-509 5x1000gb raid5 1gb mem last firmware
HD Dune Prime (mediaplayer) 500gb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 1504
  • Berichten: 9.580
Re: volgorde firewall regels
« Reactie #25 Gepost op: 16 april 2018, 23:07:33 »
Dat is echt geen regel dat je eerste moet toestaan.

Probeer maar eens de SMTP poort voor de hele wereld open te zetten met uitzondering van China. Dan zul je toch eerst een blockregel moeten toepassen en daarna pas een toestaan regel.

Als je dat doet met toestaan als eerste, kan dat, maar je moet dan eerst alle IP blokken in de wereld uitpluizen die niet in China liggen. Het kan, maar eerst blokken dat je wilt uitsluiten is dan echt een stuk simpeler.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 485
  • Berichten: 2.511
Re: volgorde firewall regels
« Reactie #26 Gepost op: 16 april 2018, 23:08:25 »
Een veel simpeler voorbeeld:
Denk je dat dat werkt met deze regels?
40494-0


 

Firewall probleem (opglost) Nieuw probleem met sabnzbd

Gestart door a-vonkBoard Overige software

Reacties: 6
Gelezen: 4860
Laatste bericht 02 februari 2013, 17:59:17
door a-vonk
Firewall: OpenVPN Hits blijft oplopen zonder een verbinding te hebben.

Gestart door BirdyBoard Synology Router

Reacties: 35
Gelezen: 1800
Laatste bericht 03 maart 2018, 14:31:30
door Birdy
firewall regel maken om enkel lokale toegang toe te laten

Gestart door rijiBoard Synology DSM algemeen

Reacties: 15
Gelezen: 3048
Laatste bericht 16 januari 2015, 10:49:32
door riji
DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all

Gestart door JGBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 6
Gelezen: 2730
Laatste bericht 26 oktober 2015, 00:05:47
door Babylonia
Geupdate naar 6.0? Vergeet je firewall niet opnieuw in te stellen!

Gestart door JGBoard Synology DSM 6.0

Reacties: 0
Gelezen: 711
Laatste bericht 27 april 2016, 22:09:28
door JG
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.