Auteur Topic: Firewall SSH  (gelezen 2455 keer)

Offline JJW

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Firewall SSH
« Gepost op: 09 mei 2017, 14:04:25 »
Hoi,

Voor het backuppen van websites gebruik ik SFTP op de DS413. Ik heb 'auto block' aanstaan, en zie gemiddeld zo'n 100 pogingen p/dag om in te loggen. Nu ben ik daar wat flauw van en heb ik de firewall instellingen aangepast. Ik heb dit zo ingesteld dat 'Encrypted Terminal Service (rsync/SFTP)' over poort 22 alleen wordt toegestaan vanuit Regio Nederland.
Nu zie ik echter in de meldingen dat de geblockte IP adressen nog overal ter wereld vandaan komen, en niet alleen uit NL zoals ik verwacht had. Wat is jullie ervaring met de regio optie in de firewall?
  • Mijn Synology: 413, 416j
  • HDD's: 4 x WD20EFRX

Online Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: Firewall SSH
« Reactie #1 Gepost op: 09 mei 2017, 14:16:17 »
Die meldingen blijf je krijgen natuurlijk. Want de IP's worden pas geblokt nadat ze de firewall bereikt hebben.

Een andere, in mijn ogen betere, optie is om een niet-standaard poortnummer te gebruiken voor SFTP.

Offline JJW

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Re: Firewall SSH
« Reactie #2 Gepost op: 09 mei 2017, 14:21:02 »
Dan is de terminologie in de melding wellicht verwarrend, want ik lees hieruit dat de 'bezoeker' nog steeds twee inlogpogingen gedaan heeft. Terwijl - als de firewall regels toegepast zouden worden - deze uberhaupt niet de mogelijkheid zou moeten krijgen om een inlogpoging te doen:

The IP address [186.58.148.113] experienced 2 failed attempts when attempting to log into SSH running on NASIII within 60 minutes, and was blocked at Tue May  9 14:12:42 2017.
Ik zal de tip om de poorten aan te passen eens onderzoeken, dank
  • Mijn Synology: 413, 416j
  • HDD's: 4 x WD20EFRX

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Firewall SSH
« Reactie #3 Gepost op: 09 mei 2017, 14:38:38 »
Die meldingen blijf je krijgen natuurlijk. Want de IP's worden pas geblokt nadat ze de firewall bereikt hebben.

Nee, bij goed ingestelde firewall regels, blijven de meldingen weg omdat je niet aan inloggen toekomt. De pogingen komen natuurlijk wel in het gewone log.
In mijn mail log zie ik steeds evenveel regels met inlogpogingen, als ik toesta. Daarna staan er alleen nog connections in het log, geen inlogpogingen meer.

Ik verwacht hier echter dat de firewall niet goed geconfigureerd is, want normaal werkt die regioblok gewoon goed.

@JJW, Maar waarom een regioblok? Als het websites zijn, zullen ze vast wel een fixed IP hebben. Sta dan alleen die IP's toe in je firewall.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline JJW

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Re: Firewall SSH
« Reactie #4 Gepost op: 09 mei 2017, 14:50:34 »
Ja, dat is ook een optie. Alleen gaat het om redelijk wat sites vanaf verschillende servers. Die wel allemaal in NL staan. Vandaar dat de regio-optie een uitkomst leek. De meeste ongewilde bezoekers komen niet uit NL namelijk...

Het aanpassen van de poort zoals @Hofstede voorstelde werkt niet, omdat vanuit apache nog steeds een connectie op poort 22 wordt gedaan. Die vervolgens in mijn router wordt vertaald naar een andere willekeurige poort. Op de router staat 22 dus alsnog open en genereert verkeer...

Ik ga een avondje IP adressen intikken in de whitelist/firewall!
  • Mijn Synology: 413, 416j
  • HDD's: 4 x WD20EFRX

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Firewall SSH
« Reactie #5 Gepost op: 09 mei 2017, 15:55:25 »
De nl regio blok behoort eigenlijk goed te werken.

Het zijn twee regels:
1) NL: poort 22 toestaan
2) Alles: poort 22 weigeren

Ik heb zo'n vermoeden dat je de 2e regel mist.

Zelf heb ik poort 22 open staan voor de 3 IP adressen van Synology in Taiwan & alle NL adressen. De rest niet en ik krijg nooit inlogmeldingen. Alleen een paar een jaar geleden, maar die kwamen dan ook uit Nederland.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline JJW

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Re: Firewall SSH
« Reactie #6 Gepost op: 09 mei 2017, 20:52:30 »
Je hebt gelijk, hier gaat iets mis. Ik ga van de volgende situatie uit:
Firewall aan = alle poorten dicht
Regel toevoegen = alleen die regel toestaan

Maar blijkbaar werkt het nu anders. 'Vroeger' was het zo dat onderaan de regels van de firewall een optie stond:
'Indien niet wordt voldaan aan de regel toegang weigeren'

Die is verdwenen, dus ging er vanuit dat alles wat ik niet expliciet toesta geweigerd wordt...

Ik ga eens even knutselen. De suggestie zoals je die vanmiddag deed heeft in ieder geval gewerkt. Vanaf 16:00 uur ongeveer geen meldingen meer... :)
  • Mijn Synology: 413, 416j
  • HDD's: 4 x WD20EFRX

Offline JJW

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Re: Firewall SSH
« Reactie #7 Gepost op: 09 mei 2017, 21:03:31 »
  • Mijn Synology: 413, 416j
  • HDD's: 4 x WD20EFRX


 

Firewall

Gestart door aardBoard Synology DSM algemeen

Reacties: 6
Gelezen: 3841
Laatste bericht 27 december 2013, 11:30:03
door TonVH
Synology firewall LOGS router?

Gestart door NoFateBoard Synology Router

Reacties: 24
Gelezen: 4892
Laatste bericht 03 maart 2019, 22:35:17
door Babylonia
firewall regio blokkade werkt niet meer

Gestart door bouwman8171Board Synology DSM 6.0

Reacties: 2
Gelezen: 1515
Laatste bericht 27 maart 2016, 23:10:55
door Babylonia
Plex poorten en firewall settings

Gestart door KohenBoard Plex Media Server

Reacties: 5
Gelezen: 5508
Laatste bericht 07 november 2016, 15:53:10
door Ben(V)
Firewall houdt mail tegen

Gestart door Erwin1Board Mail Station

Reacties: 2
Gelezen: 2322
Laatste bericht 08 mei 2014, 19:07:23
door Erwin1