Synology-Forum.nl
Overige software => Overige software => Topic gestart door: jacobus op 25 maart 2017, 18:23:31
-
Ik las net een artikel over veiligheid voor de Nas, wat is Geo blok en hoe stel je dat in bij in firewall firmware 6.1.2
-
Geo blokkade is een firewall regel, waardoor mensen vanuit een aan te geven land/regio geen toegang meer kunnen krijgen tot de NAS.
In configuratiescherm, beveiliging, Firewall (er van uitgaand, dat je die wel ingeschakeld hebt) kan je via de knop "Regels bewerken" naar de geldende firewallregels. Daar kan je een nieuwe regel maken. selecteer "alle poorten" en een bron-IP in landen, die je kunt selecteren in een uitklaplijst en dan als actie "weigeren".
Ik heb China, India, Turkije en Oekraine geblokkeerd, wat een hoop ongewenste inlogpogingen onderdrukt.
Let er wel op, wanneer je een of meer commerciële sites beheert (webwinkels en zo), EU-regels verbieden, dat er een geo-blokkade voor EU-landen op staat...
-
Dank je wel voor de uitleg, ik snap het nu helemaal
-
Let er wel op, wanneer je een of meer commerciële sites beheert (webwinkels en zo), EU-regels verbieden, dat er een geo-blokkade voor EU-landen op staat...
Nederlandse regels verbieden het ook. Dit is namelijk discriminatie op grond van ras. In het 'minder-minder' proces heeft een rechter bepaald dat het uitsluiten van inwoners van een land ook discriminatie op grond van ras is. En racisme is in Nederland strafbaar.
-
Ik heb China, India, Turkije en Oekraine geblokkeerd, wat een hoop ongewenste inlogpogingen onderdrukt.
Vanwaar deze blokkade, wil je wel dat mensen uit bijvoorbeeld Irak, Rusland en Amerika toegang hebben?
Ik heb alle landen toegang verboden behalve Nederland.
-
Ik zou dan argumenteren dat je alleen maar de pcs uit een belaald land uit sluit. Die hebben een ip nr. Personen niet ;-)
Sent from my iPhone using Tapatalk
-
De keuze voor deze landen is gekomen na bestudering van de bloklist vanuit het automatisch blokkeren, wat ik heb staan op "nooit er weer in na 3 foute pogingen in 20 minuten".
In de loop van de tijd was dat een hele lijst geworden (echt honderden, meer dan 1000), en die moet dus bij elk verzoek gecontroleerd worden, wat toch wel een beetje van de performance afsnoepte.
Na blokkade van de genoemde landen kon ik de lijst schoonmaken tot een stuk of 30, wat nu in een jaar tijd nog maar tot 40 groeide.
Zou ik nu in een volgende controle weer bepaalde landen wat erg vaak zien, gaan die er ook uit. Ik kan vanwege de redelijk internationaal georiënteerde (o.a. genealogie) site die ik draai niet overgaan tot "alleen Nederland".
-
… bloklist … een hele lijst geworden (echt honderden, meer dan 1000)
Bij mij is die blocklist zeker over de 10.000 entries groot. Ook bij die hoeveelheid merk je er niets van, want dat aantal is niets voor de rekenkracht van een cpu.
Bovendien zal hij echt niet elke entry nalopen. Je mag er van uit gaan dat de blocklist gesorteerd wordt en er dan een slim zoekalgotitme op los gelaten wordt waarbij de lijst na elk vergeleken IP nummer gehalveerd wordt. Na controle van 15 nummers heb je dan al de totale lijst van 10.000 nummers gecontroleerd. (2^14 = 16.384)
-
Ik kan vanwege de redelijk internationaal georiënteerde (o.a. genealogie) site die ik draai niet overgaan tot "alleen Nederland".
Maar je kunt voor meer efficiency waarschijnlijk wel makkelijker "andersom" werken door alleen de landen toe te staan die je juist wel wilt bereiken. Dat lijkt me een kleiner lijstje om in te vullen dan landen die je wilt weren.
Het is een afweging. Als je maar in het achterhoofd houdt dat er dus ook een mogelijkheid is "om het andersom te doen".
-
Het weren van landen is veel rekenintensiever dan de gewone blocklist. Er zit geen echte logica in de IP ranges die aan landen toebedeeld zijn. En soms zijn bepaalde ranges weer doorverkocht aan bedrijven in andere landen. Per land moet hij dan heel veel lijsten doorlopen. Dat zal ook wel de reden zijn dat er een limiet zit in het kiezen van 15 landen. Wil je meer landen, dan moet je een nieuwe regel aanmaken.
Qua rekenkracht is het veel gemakkelijker om, samen met de poorten, te bepalen welke landen die poorten mogen gebruiken.
En wat betreft de EU regels tot vrije markt bij een webshop: Je kunt gewoon de poorten 80/443 wereldwijd toelaten, maar voor de andere poorten wel een geo blok toepassen. Dat doe ik ook op die manier.
Denk er wel aan dat als je een mailserver gebruikt, de 3 SMTP poorten ook wereldwijd bereikbaar moeten blijven. (ik heb daar alleen een paar landen op de blocklist staan)
-
Ik heb wel veel los gemaakt met mijn vraag, ik had ook niet beseft dat dat onderwerp nog best wel complex was. Heel interessant om dit allemaal te lezen. Erg leuk dus
-
Denk er wel aan dat als je een mailserver gebruikt, de 3 SMTP poorten ook wereldwijd bereikbaar moeten blijven. (ik heb daar alleen een paar landen op de blocklist staan)
Ik heb dit nu zo ook ingesteld voor de mailserver maar ik vraag me af of dit wel nodig is. Het blokkeren van landen in de mailserver lijkt mij bedoelt voor de inlogtoegang en niet voor het aankomende van e-mails.
Maar dit weet ik niet zeker, en zou ik graag een keer nog willen gaan testen.
-
Nee, dat heeft niets met inloggen alleen te maken.
Ook daar waar de mailserver staat.
Ik blokte ooit een Oostenrijk als proef.
En prompt kreeg ik geen enkele mail meer van UPC klanten.
De mailserver van UPC stond in ..... Oostenrijk :)
-
De IMAP en POP poorten gebruik je persoonlijk vanuit je cliënt en kun je van een regioblok voorzien. Mailservers van over de hele wereld werken met de SMTP poorten voor onderling contact en hebben toegang nodig om de mail te kunnen afleveren op je nas. Bij iCloud (Apple), hotmail (Microsoft,) Gmail (Google) weet je echt niet in welk land hun server staat.
GMail komt bij mij b.v.. steeds binnen uit diverse adressen in het 209.85.128.0/17 of 74.125.0.0/16 blok, welke in de VS ligggen. Ook al is het mailtje vanuit Nederland verzonden.
Fysiek kan zo'n server nog steeds in Nederland staan, ook al is het een buitenlands IP. Google doet dat ook met het IP adres 8.8.8.8. Dat is geregistreerd in de VS, maar in de buurt van Schiphol staat ook een DNS server van google waar al het Nederlandse IP verkeer richting 8.8.8.8 naar toe gaat. De nas kent echter alleen het registratie adres.
-
En wat als je een relay met de serviceprovider hebt? Geldt dit dan nog?
-
Ik gebruik een Amerikaanse smtp provider, mijn mail komt dus aan alsof ik in de VS ben.
-
En wat als je een relay met de serviceprovider hebt?
Ligt aan het relay. Ik gebruik bij Ziggo alleen een relay voor het verzenden. (Rechtstreeks versturen staat Ziggo niet toe). Ontvangen gaan bij mij wel rechtstreeks dus moet is alles toestaan.
Je kan ook een relay voor de ontvangst hebben. Dan ontvang je de mail maar van één IP adres. Voor mail versturen moeten de mail cliënten ook toegang hebben. Je kunt dan wel een geo blok gebruiken en alleen Nederland toestaan. En als je inkomende relay-server buiten Nederland staat, moet je ook het IP adres van die mailserver toestaan.