Firewall

[gobiuspictus]

Beste Experts,

Tot op heden heb ik nog geen aandacht besteed aan de instellingen van de firewall.
Staat momenteel op alles toestaan om problemen te voor komen. tevens omdat ik geen idee heb hoe ik hem in moet stellen.
Zou iemand mij hierbij kunnen helpen door de meest essentiële instellingen te vertellen.

[Birdy]

TIP: http://www.synology-forum.nl/firmware-algemeen/firewall-16519/

[Briolet]

Het belangrijkste om te onthouden is dat de regels één voor één uitgevoerd worden vanaf de bovenste. Zodra er een treffer is worden de volgende regels niet meer bekeken. Zolang je dat maar in de oren knoopt en elke keer weer door je hoofd laat gaan, voorkom je verkeerde instellingen.

Zelf begin ik met een regel die mijn werk-PC volledige toegang geeft.

Dan een paar uitgebreide regels die alleen voor mijn subnet gelden, gevolgd door een regel die mijn subnet blokkeert.

Dan een paar regiofilters die de risico gebieden in de buitenwereld tegen houden. (Dat waren nu IP reeksen maar ik zal die tzt door de nieuwe regiofunctie in dsm5 vervangen)

Dan alle regels voor poorten die de buitenwereld mag zien.

Als laatste een regel die alle poorten sluit.


Die button onderaan waarmee je kunt instellen wat er moet gebeuren als aan geen enkele regel wordt voldaan vind ik slecht (=overbodig). Bij een goede keuze van regels wordt er nml altijd aan de regels voldaan. Wat je met die buttons instelt kun je ook met regels instellen. Dus waarom een extra feature toevoegen als dit ook binnen de regels zelf in te stellen is?

Eigenlijk is mijn instelling nog complexer dan boven ingesteld. o.a. om de mobiele telefoons van gasten op mijn subnet rechten te ontnemen. Die willen het internet op en niet op mijn nas.

[gobiuspictus]

Ik ga ermee aan de slag!

Dank

[synfan]

Naar aanleiding van de regio optie heb ik wat zitten spelen met de firewall instellingen en dan via een vpn verbinding vanuit een ander land gecheckt of een en ander werkt. Het lijkt er op dat de regioindeling niet geheel waterdicht is. Frankrijk ging goed, maar Verenigde Staten en Roemenie bijvoorbeeld niet. Voor Roemenie kreeg ik een ip 93.x.x.x en kon gewoon mijn nas benaderen. Alleen als ik expliciet de 93.x.x.x range uitsloot werd de toegang tot de NAS netjes geblokkeerd.

Die regiouitsluiting lijkt dus een gevalletje schijnveiligheid...

Heeft iemand een overzicht van de uit ip-ranges die uitgesloten worden voor de verschillende regio's?

[Briolet]

Alle IP ranges per land checken is ook een flinke lijst omdat elk land heel veel versnipperde ranges bevat.

En wat is de eerste regio-optie? Anonymous Proxy.  Is een vpn verbinding ook niet een vorm van anonieme proxy en hebben de adressen van bekende vpn servers misschien een speciale status die dan niet aan een land gekoppeld wordt?

In elk geval heb ik die aangezet omdat toegang vanaf een anonieme proxy toch niet gewenst is bij mij.

[synfan]

Misschien heb je wel gelijk dat de anonieme proxies van vpn verbindingen de onbetrouwbare  testresultaten veroorzaken. Dit was voor mij echter de enige manier om de effectiviteit van de regio blokkades te testen. Weet jij een andere manier, zonder zelf naar het buitenland te hoeven reizen?