Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: davincent1969 op 28 februari 2014, 14:48:57
-
Beste mensen,
Mijn (oudere) 409slim NAS wordt geteisterd door hackers uit china.
Ik wordt er gek van en heb nu maar besloten te buigen ;-( Na 15 jaar vrolijk kunnen hobbyen, trek ik de stekker uit mijn website en mailserver zodat deze niet meer door chineze hackers kan worden benaderd. (Nouja, de poorten op mijn router gaan dicht, dus niemand kan er van buitenaf meer bij).
Ik ben niet bang dat ze de beveiliging doorbreken. Maar de belasting op die NAS is tijdens een aanval zo groot, dat ik er nauwelijks nog normaal mee kan werken. Daarnaast wordt ik gek van de mails die daardoor naar mijn andere accounts wordt gestuurd. Om nu dagelijks een stuk of 40-80 emails te moeten verwijderen over chinese IP-addressen die probeerde binnen te dringen, wordt er moe van.
Kan dat ook weer uitzetten, maar daarmee wordt het probleem niet opgelost.
Bovendien wil ik toch weten wanneer iemand aan mijn poorten zit te rammelen.
Ik verwacht niet de eerste zijn met dit probleem. Ik hoop dat iemand mogelijkheden weet om het probleem op te lossen/effectief tegen te gaan. Het liefst zou ik heel china blokkeren via een top level domain instelling in mijn router, maar die zit er niet in, helaas. En ik wil voorkomen dat ze uberhaupt op mijn inlogpagina terecht kunnen komen, anders heeft het geen zin want dan belast ik alsnog de NAS daarmee.
Heb ook mijn provider al gevraagd of ze hier iets tegen kunnen doen, maar dat is Telfort, dus kan wel schudden dat die iets voor je doen als klant, behalve stomme opmerkingen maken over het gedogen van eigen servers draaien. Neem aan dat zij wel een degelijke firewall hebben waarin je dergelijke beperkingen kan aanzetten, alleen bereiken mijn verzoeken niet de juiste mensen.
Nu ben ik erg benieuwd naar mensen die hier met succes iets tegen gedaan hebben. Uiteraard nog nieuwsgieriger wat ze dan gedaan hebben..:-)
Als het duizenden euro's kost, laat dan maar. Tis maar hobby.
Alvast bedankt voor je tijd en meedenken...!
Groeten,
Vincent
-
Waarom laat je de NAS een mailtje sturen bij een poging?
Daar zo ik ook gek van worden.
Heb je de ip blokkade aanstaan?
Niet dat dit echt veel helpt omdat ze uiteraard wel ip adressen kunnen spoofen maar het is een extra barrière.
Sterke wachtwoorden gebruiken.
Ik heb ook vele pogingen per dag maar merk er niets van.
NAS wordt er niet langzamer van volgens mij.
Gerammel aan de poorten is niet te voorkomen.
Ja, door de netwerk stekker eruit te halen......
-
Inderdaad, geen mailtjes. Slaapt gelijk een stuk rustiger.
-
Heb je de ip blokkade aanstaan?
Niet dat dit echt veel helpt omdat ze uiteraard wel ip adressen kunnen spoofen maar het is een extra barrière.
Sterke wachtwoorden gebruiken.
Ik heb hele volzinnen met spelfouten als wachtwoord. Admin is hernoemd. 1x fout inloggen en IP is voor altijd geblokt. Whitelists en blacklists gebruik ik ook, maar het aanmelden zelf zou ik zo graag willen voorkomen.
De NAS (uit 2009) is niet krachtig genoeg om de geautomatiseerde hackpogingen te verwerken. (15 tot 30x per seconden op mijn webmail!).
Gerammel aan de poorten is niet te voorkomen.
Ja, door de netwerk stekker eruit te halen......
Snik, in feite heb ik dat gedaan door maar alle poorten op de router dicht te zetten... :-( Maar goed, had liever gewoon op routerniveau iets wat die chinezen tegen houdt uberhaupt aan te melden.
Bedankt voor je reactie.
-
Inderdaad, geen mailtjes. Slaapt gelijk een stuk rustiger.
Ja dat wel, maar, liever niet. Dan krijg ik nog meer aanmeldingen per seconde te verwerken en weet ik niet eens wat er aan de hand is, totdat ik in DSM inlog en weer zie dat er 300 IP addressen uit china geblokkeerd zijn.
En ik verwacht dat het heus wel lukt om een keer er door te komen. Alleen merk ik het liever in de vorm van mailtjes dan dat ik van mijn provider te horen krijg dat mijn server is afgesloten omdat er 3 miljoen spam mailtjes de deur uit gegaan zijn oid... ;-(
Bedankt voor de suggestie :-)
-
Inderdaad, geen mailtjes. Slaapt gelijk een stuk rustiger.
Ja dat wel, maar, liever niet. Dan krijg ik nog meer aanmeldingen per seconde te verwerken en weet ik niet eens wat er aan de hand is, totdat ik in DSM inlog en weer zie dat er 300 IP addressen uit china geblokkeerd zijn.
En ik verwacht dat het heus wel lukt om een keer er door te komen. Alleen merk ik het liever in de vorm van mailtjes dan dat ik van mijn provider te horen krijg dat mijn server is afgesloten omdat er 3 miljoen spam mailtjes de deur uit gegaan zijn oid... ;-(
Bedankt voor de suggestie :-)
Geen mailtjes wil niet zegen dat er dan dus nog meer pogingen zijn. De andere kant merkt daar niets van. Die 15 tot 30-maal per seconde is ietwat uit de lucht gegrepen? Want dat zou betekenen dat je NAS dus evenzoveel mailtjes staat te versturen en dan kan ik heel goed begrijpen dat hij geen tijd meer over houd voor andere zaken.
En nogmaals (zoals Robert ook al zei): iedereen heeft met die poortscans te maken (die overigens lang niet alleen uit China komen, een slimme buurjongen kan jou ook op die manier pesten). poortscans op zich kunnen geen enkel kwaad en een goed wachtwoord i.c.m. blokkade bij meer dan X pogingen binnen Y tijd voorkomt nagenoeg 100% de kans dat iemand je wachtwoord kan raden. Want daar zijn heel wat meer pogingen voor nodig.
Je zult er mee moeten leren leven.
PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.
-
PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.
Meestal kun je in het modem het mac-adres wijzigen. Dat levert ook een ander IP-adres op.
Je zou niet standaard poorten kunnen gaan gebruiken voor b.v. webmail. De meeste scans vinden plaats op de bekende kwetsbare poorten zoals 21, 23, 25, 80.
-
Geen mailtjes wil niet zegen dat er dan dus nog meer pogingen zijn. De andere kant merkt daar niets van.
Misschien merken ze het niet, maar als ik de mailfunctie uit zet, heeft mijn NAS meer resources over (en ga ik er van uit (onterecht?) dat ze dan nog meer pogingen per seconden kunnen uitvoeren).
Die 15 tot 30-maal per seconde is ietwat uit de lucht gegrepen? Want dat zou betekenen dat je NAS dus evenzoveel mailtjes staat te versturen en dan kan ik heel goed begrijpen dat hij geen tijd meer over houd voor andere zaken.
Eeh, nee, niet zomaar verzonnen. Ik zie aan de timestamps van de emailtjes dat deze blokkades allemaal in dezelfde minuut plaatsvinden.
En nogmaals (zoals Robert ook al zei): iedereen heeft met die poortscans te maken (die overigens lang niet alleen uit China komen, een slimme buurjongen kan jou ook op die manier pesten). poortscans op zich kunnen geen enkel kwaad en een goed wachtwoord i.c.m. blokkade bij meer dan X pogingen binnen Y tijd voorkomt nagenoeg 100% de kans dat iemand je wachtwoord kan raden. Want daar zijn heel wat meer pogingen voor nodig.
Het zijn geen poortscans, die zie ik ook niet, maar echte aanmeldingen via webmail. Dat ze uit china komen weet ik wel zeker. Kan ze zelfs tot op de regio/stad terug herleiden. Wanneer ik op die IPnummers zelf poortscans uitvoer, staat er nooit een poort open. Dus denk niet dat het zombie-PC;s zijn, dan moet toch ook iets open staan waar de hacker gebruik van maakt...
Je zult er mee moeten leren leven.
PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.
Heb ik ook al gedaan en geeft een paar dagen rust. Maar ik draai ook een website op dat IP en heb een DNS registratie actief, dus zo moeilijk is het niet om me daarna weer te vinden.. :-/
Ben gewoon bang dat mijn NAS door de (over)belasting wel een keer toe geeft, of dat ze een exploid vinden waardoor al mijn beveiligingsmaatregelen voor niets zijn... Als ik ze op een of andere manier kan buiten de webmail kan houden, zou dat voldoende moeten zijn.
Zover ik nu weet kan wat ik wil alleen door een router er voor te plaatsen die wel TLD's kan blokkeren.. Maar geen idee wat voor (dure) firewall ik daarvoor moet nemen, behalve een Cisco misschien.
-
Meestal kun je in het modem het mac-adres wijzigen. Dat levert ook een ander IP-adres op.
Je zou niet standaard poorten kunnen gaan gebruiken voor b.v. webmail. De meeste scans vinden plaats op de bekende kwetsbare poorten zoals 21, 23, 25, 80.
Kan ik proberen, maar betekent toch ook dat de website er achter alleen maar via die poort te bereiken is?
Ben er nog niet achter hoe ik de webmail url op een andere poort dan de website kan laten werken...
Blijf het triest vinden dat je je website niet (zonder moeite) alleen voor IP-addressen uit NL beschikbaar kan maken, zonder dat mensen uit een ander land een inlogpoging kunnen doen (die dan faalt, maar ik wil die hele inlogpoging kunnen voorkomen). Dat zou voor mij heel prettig zijn... :-)
-
Dat is juist de opzet van het internet, overal toegankelijk.
Ik zou echt stoppen met het versturen van mailtjes want zo ben je zelf een spammer, naar je zelf toe.
En je hoeft geen actie te ondernemen na zo'n mailtje, je kan er niets tegen doen.
En ander ip adres heeft ook weinig nut. Men scant gewoon hele ranges af.
En niet alleen China hoor. Kan werkelijk overal vandaan komen.
-
En VPN? dat scheelt een hoop open poorten.
Verder moet het volgens mij wel mogelijk zijn om website te blocken voor bepaalde landen.
Zomaar wat google hits:
http://www.asiteaboutnothing.net/c_block-countries.html (http://www.asiteaboutnothing.net/c_block-countries.html)
http://stackoverflow.com/questions/8384421/restrict-website-to-access-specific-country (http://stackoverflow.com/questions/8384421/restrict-website-to-access-specific-country)
Weet niet welke router u nu gebruikt maar als het mogelijk is disable ICMP Echo request.
-
Ik zou echt stoppen met het versturen van mailtjes want zo ben je zelf een spammer, naar je zelf toe.
En je hoeft geen actie te ondernemen na zo'n mailtje, je kan er niets tegen doen.
Ik vrees het ook, zo te lezen aan de reacties. De mailtjes vond ik in het begin wel prettig omdat ik dan off site ook info kreeg over de ongewenste activiteiten op mijn NAS. Het voelt gewoon alsof er inbrekers op mijn voordeur staan te beuken. Als ik dat thuis zou mee maken ga ik wel even naar buiten om ook wat te beuken. Maar digitaal is dat beetje lastig.
En ander ip adres heeft ook weinig nut. Men scant gewoon hele ranges af.
En niet alleen China hoor. Kan werkelijk overal vandaan komen.
Ben ik me wel bewust van, maar bij mij zijn het toch vooral chinezen. Wanneer ik dat land kon blokkeren, voorkom ik gewoon (momenteel) bijna alle hackpogingen.
-
En VPN? dat scheelt een hoop open poorten.
Heb ik ook aan gedacht. Even mee gespeeld, niet echt meer werk van gemaakt omdat de VPN in de NAS niet echt waterdicht bleek, had ik weer ergens gelezen. Ook kreeg ik het niet voor elkaar om de VPN dan voor de mail te moeten gebruiken terwijl de website gewoon bereikbaar was, zonder VPN. Maar bedankt! ik ga er zeker nog een keer naar kijken. In het ergste geval dan maar geen website meer, maar wel mail.
Verder moet het volgens mij wel mogelijk zijn om website te blocken voor bepaalde landen.
Zomaar wat google hits:
http://www.asiteaboutnothing.net/c_block-countries.html (http://www.asiteaboutnothing.net/c_block-countries.html)
http://stackoverflow.com/questions/8384421/restrict-website-to-access-specific-country (http://stackoverflow.com/questions/8384421/restrict-website-to-access-specific-country)
Ik heb deze URLs bekeken, maar gaat me een beetje te ver. Voordat ik dergelijke zaakjes in de SynologyNAS onder de knie zou krijgen, zijn we maanden verder.. Security is niet mijn core buisiness, maar een noodzakelijk kwaad, dus heb niet zoveel tijd om me op dat vlak te bekwamen.
Weet niet welke router u nu gebruikt maar als het mogelijk is disable ICMP Echo request.
De eerste router achter het modem heeft dit al uit staan. Maar het is net als wanneer je op een spamlist staat. Als ze eenmaal weten dat er iets achter zit, blijven ze proberen.. :-(
Misschien moet ik toch maar mijn verlies nemen en wat investeren in een betere router of firewall die wel de deur dicht houd wanneer het IP-adres, geografisch gezien, uit landen komt die ik niet op mijn systeem wil hebben.
Nog beter is wanneer dergelijke landen gewoon de toegang tot het internet kwijt raken totdat ze hun onderdanen beter opgevoed hebben. Dan zouden ze wel heel erg snel werk maken van dergelijk misbruik omdat zo'n land dan gelijk economisch een enorme klap krijgt. Of de DNS core systemen hacken en je eigen IP naar 127.0.0.1 laten wijzen voor de landen die van die DNS servers gebruik maken.. ;-)
Ach ja, je haalt je van alles in je hoofd.. :twisted:
-
Nu ben ik erg benieuwd naar mensen die hier met succes iets tegen gedaan hebben.
Heb op het internationale forum wel eens posts gezien van mensen die met de 'iptables' firewall (die al gebruikt wordt op de Synology) ip-adres ranges te blokkeren. Met de DSM interface kun je alleen losse adressen invoeren, maar ze hebben scriptjes gemaakt om het direct in Linux te doen.
Misschien eens zoeken daar ...
bijv. http://forum.synology.com/enu/viewtopic.php?f=19&t=67510
-
Geen mailtjes wil niet zegen dat er dan dus nog meer pogingen zijn. De andere kant merkt daar niets van.
Misschien merken ze het niet, maar als ik de mailfunctie uit zet, heeft mijn NAS meer resources over (en ga ik er van uit (onterecht?) dat ze dan nog meer pogingen per seconden kunnen uitvoeren).
Natuurlijk niet! De andere kant weet niet dat jouw Nas een mail stuurt. Het aankloppen gebeurt in hoog tempo omdat daarmee de kans bestaat dat er een storing in het OS komt en dat ze op die manier binnen kunnen komen.
Maarrrr, je kunt met grote zekerheid er vanuit gaan dat dit soort praktijken (en zeker niet continu, zoals uit jouw berichten moet blijken) echt niet op een huis-tuin-keuken Nas gericht zullen worden.
Die 15 tot 30-maal per seconde is ietwat uit de lucht gegrepen? Want dat zou betekenen dat je NAS dus evenzoveel mailtjes staat te versturen en dan kan ik heel goed begrijpen dat hij geen tijd meer over houd voor andere zaken.
Eeh, nee, niet zomaar verzonnen. Ik zie aan de timestamps van de emailtjes dat deze blokkades allemaal in dezelfde minuut plaatsvinden.
Sorry, maar dit verhaal is mij echt te wild.Als het echt zo erg is dan moet je wellicht gaan kijken of er iets binnen je eigen netwerk goed mis is of dat er iets (op je website) is wat anderen doet denken dat je over atoomgeheimen beschikt.
Je zult er mee moeten leren leven.
PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.
Heb ik ook al gedaan en geeft een paar dagen rust. Maar ik draai ook een website op dat IP en heb een DNS registratie actief, dus zo moeilijk is het niet om me daarna weer te vinden.. :-/
En dus moet er iets zien wat hou interessant maakt en anderen niet. En dat zit niet in een hacker maar door iets wat jij laat weten.
Ben gewoon bang dat mijn NAS door de (over)belasting wel een keer toe geeft, of dat ze een exploid vinden waardoor al mijn beveiligingsmaatregelen voor niets zijn... Als ik ze op een of andere manier kan buiten de webmail kan houden, zou dat voldoende moeten zijn.
Zover ik nu weet kan wat ik wil alleen door een router er voor te plaatsen die wel TLD's kan blokkeren.. Maar geen idee wat voor (dure) firewall ik daarvoor moet nemen, behalve een Cisco misschien.
Ik zou toch eerst eens gaan kijken of het probleem niet binnen je eigen netwerk zit of wat jou zo interessant maakt dat iemand koste wat het kost in jouw Nas wil kijken.
-
....die met de 'iptables' firewall (die al gebruikt wordt op de Synology) ip-adres ranges te blokkeren. Met de DSM interface kun je alleen losse adressen invoeren,
Zolang ik me kan herinneren (DSM 3.2) kun je bij DSM ook ranges invoeren. Ik heb er zelf ook veel ranges in staan. b.v. de range van het interne netwerk behandel ik anders als de rest bij de firewall.
En ook bij blokkeringen ben ik soms rigoureus (Vooral bij werelddelen waar ik toch geen connecties mee verwacht) en blokkeer dan de gehele range van de provider van waaruit de hackpoging begon.
-
Hoe ziet zo'n range eruit dan?
Ik kan alleen per volledig IP adres blokken.
Maar blokken kost de NAS toch ook wat tijd, hij moet toch even in de tabel kijken.
-
In de firewall kun je gewon voor single IP of subnet kiezen.
bv
IP: 212.0.0.0 subnet mask 255.0.0.0
IP 198.20.64.0 subnet mask 255.255.192.0
Ik denk dat je gewoon bij de auto blokkeren functie gekeken hebt i.p.v. de firewall zelf.
En over de tijd die het kost om die tabellen te raadplegen zou ik me geen zorgen maken. Dat is verwaarloosbaar.
Mijn laatste melding kwam b.v. van 113.161.80.15
Als ik dan info opvraag via: http://myip.ms/info/whois/113.161.80.15
Dan zie ik dat dat IP tot een Vietnamese provider behoord. Ik heb geen behoefte aan vietnamese toegang dus van mij mag die gehele range geblokkeerd in de firewall. Dat zijn direct 65 duizend adressen. :D
-
Sorry, maar dit verhaal is mij echt te wild.Als het echt zo erg is dan moet je wellicht gaan kijken of er iets binnen je eigen netwerk goed mis is of dat er iets (op je website) is wat anderen doet denken dat je over atoomgeheimen beschikt.
Ik sluit me hierbij aan en ben ook wel errug nieuwsgierig geworden naar die website die zoveel chinezen trekt :geek:
-
Ik sluit me hierbij aan en ben ook wel errug nieuwsgierig geworden naar die website die zoveel chinezen trekt :geek:
Een website bezoeken is nog niet inbreken.
-
...website die zoveel chinezen trekt :geek:
Ik heb even bij mijn blokkeringen gekeken. Bij de laatste 10 zat maar 1 chinees. De rest kwam uit Mexico, Taiwan, Vietnam, Indonesië, Iran, Ghana, Groot-Britanië. Dus behoorlijk random over de wereld.
-
De mails aan laten staan over het blokkeren helpt helemaal niets. Je bent juist bang voor de inlogpoging die wel lukt en daar krijg je dus juist geen mails van!
Schijnveiligheid dus in mijn ogen (of je moet ook mails krijgen wanneer het inloggen wel gelukt is, dan zou ik alleen die aanzetten).
-
of je moet ook mails krijgen wanneer het inloggen wel gelukt is, dan zou ik alleen die aanzetten).
Als dat inloggen een log regel genereert, dan kun je er een melding van laten maken via mail op basis van trefwoord.
(Bij het browsen door mijn log, zag ik net een geslaagde inlog op mijn admin account op een tijdstip dat ik nog sliep.... Gelukkig was dat een van de twee IP's die ik in de firewall open gezet heb voor de DSM5-beta-testers uit taiwan. :P )
-
Ik sluit me hierbij aan en ben ook wel errug nieuwsgierig geworden naar die website die zoveel chinezen trekt :geek:
Een website bezoeken is nog niet inbreken.
Dat klopt natuurlijk, maar afhankelijk van de inhoud van een site kan een hacker besluiten om een IP wat extra "aandacht" te geven...
-
Ik sluit me hierbij aan en ben ook wel errug nieuwsgierig geworden naar die website die zoveel chinezen trekt :geek:
Een website bezoeken is nog niet inbreken.
Helemaal waar maar de reden dat ik dit schreef is dat blijkbaar OP absurd veel pogingen kent (krijg de indruk van continu en aan 1 stuk door gezien de aantallen van meen 25 per seconde). Dat betekent dan m.i. dat er geen sprake is van een toevallige poging maar dat iemand (met gespoofde adressen wellicht) bewust wil inbreken.
De vraag is dan wat maakt OP zo interessant? Wellicht omdat hij via de website de indruk geeft over topgeheimen op z'n Nas.
-
Even voor de gene die denken dat ik een interessante website had, jaha, 10 jaar geleden wel.. :-)
Zo'n 7 jaar geleden voor het laatst iets aan gedaan (kreeg zoon, dus moest ergens wat inleveren).
Het is een veredelde homepage :-) Nu zet je dat soort dingen op facebook.
Hij bevat foto's van onze skivakanties, IJsland, en een pagina over het zelf waxen van skies, die werd nog het meeste bezocht.
Oja, ik had er ook een site van mijn vader onder draaien, over zijn hobby, schilderen.
Kortom, heel boeiend, voor een beperkte doelgroep :-).
De interesse is gericht op de mailomgeving. Verder heb ik alle diensten gesloten en de laatsten poorten die open stonden waren 25 en 80.
Toen deze aanvallen begonnen, maanden terug, heb ik de beveiliging steeds verder opgevoerd en op gegeven moment rigoureus herzien (met een document gevonden bij Synology de beveiliging zo zwaar mogelijk ingesteld). Het loopt al een tijdje, dus wellicht hebben ze dat gemerkt in de vorm van minder steeds minder services en dichte poorten) en is dat waarom ze misschien denken dat er wat te halen valt.
Maar het zal waarschijnlijk wel een poging zijn mijn mailserver te kapen en dat ding te kunnen misbruiken als relayserver voor spamming. Ik neem niet aan dat de chinese geheime dienst hier achter zit.. :lol:
-
Dus zorg dat je IP verandert. Is een fluitje van een cent.
-
Natuurlijk niet! De andere kant weet niet dat jouw Nas een mail stuurt. Het aankloppen gebeurt in hoog tempo omdat daarmee de kans bestaat dat er een storing in het OS komt en dat ze op die manier binnen kunnen komen.
En ik denk dat dat de reden is van mijn achterliggende zorgen. Kan de beveiliging nog zo goed hebben, bruut geweld is maar afwachten steeds... :(
Maarrrr, je kunt met grote zekerheid er vanuit gaan dat dit soort praktijken (en zeker niet continu, zoals uit jouw berichten moet blijken) echt niet op een huis-tuin-keuken Nas gericht zullen worden.
Niet continue, maar wel in bursts van zo'n 20 minuten, laatste weken paar keer per dag. En het is wel een huis-tuin-keuken nas. Ik ben niet commercieel, zit op een dynamische IP-reeks, dus ze moeten zelf toch ook wel weten dat ze bij iemand thuis bezig zijn, zeker als ze de site hebben bekeken.
Ik vermoed dat ze iets hebben waarmee ze meerdere sites regelmatig bestoken, anders zou het wel continue doorgaan. Er zitten gelukkig hele lange pauzes tussen, maar de frequentie en duur neemt steeds toe. Alsof ze meer rekenkracht hebben (of minder targets bestoken).
Sorry, maar dit verhaal is mij echt te wild.Als het echt zo erg is dan moet je wellicht gaan kijken of er iets binnen je eigen netwerk goed mis is of dat er iets (op je website) is wat anderen doet denken dat je over atoomgeheimen beschikt.
En dus moet er iets zien wat hou interessant maakt en anderen niet. En dat zit niet in een hacker maar door iets wat jij laat weten.
Ik denk niet dat mijn netwerk technisch zo beroerd in elkaar zit, ik heb geen openbare IP-nummers ingesteld oid :-) Ik zal wel slachtoffer zijn van iemand die dacht iets makkelijk te krijgen, maar inmiddels er achter is dat het toch lastiger is (geworden). En dan is de uitdaging nog groter....
-
De mails aan laten staan over het blokkeren helpt helemaal niets. Je bent juist bang voor de inlogpoging die wel lukt en daar krijg je dus juist geen mails van!
Schijnveiligheid dus in mijn ogen (of je moet ook mails krijgen wanneer het inloggen wel gelukt is, dan zou ik alleen die aanzetten).
Als het hacken ineens stopt (geen failed logon mailtjs meer), dan inloggen in DSM om te zien wat je server doet (hopelijk niks, maar je kan wel zien of de mailserver druk is (geweest) met iets wat jij niet wil.
-
Dus zorg dat je IP verandert. Is een fluitje van een cent.
Ander IP, ander DNS naam en andere provider, dat zou wel helpen... Alleen ander IP niet (lang).
Of de site elders hosten, maar goed, dat was nu juist een van de leuke dingen van de Synology NAS.
-
Dus zorg dat je IP verandert. Is een fluitje van een cent.
Ander IP, ander DNS naam en andere provider, dat zou wel helpen... Alleen ander IP niet (lang).
Of de site elders hosten, maar goed, dat was nu juist een van de leuke dingen van de Synology NAS.
Tenzij er een reden is dat OP bewust wordt aangevallen dan helpt een ander IP (en inderdaad DNS-naam) voldoende want dan is het aardig wat werk om OP te vinden.
Verder stop ik met dit draadje want ik begin zolangzamerhand het mijne er van te denken.
-
Tenzij er een reden is dat OP bewust wordt aangevallen dan helpt een ander IP (en inderdaad DNS-naam) voldoende want dan is het aardig wat werk om OP te vinden.
Ik denk niet dat het iets persoonlijks is, ben me van geen kwaad bewust. Het is gewoon al maanden aan de gang en wordt erger en erger. Zelf denk ik ook dat de mailservers van "hobbyisten" (achter dynamische IP-reeksen) eenvoudiger te hacken zijn.
Waren het eerst "normale" hacks, sinds ze iets hebben om in een burst zoveel pogingen te kunnen doen, slaap ik er een stuk minder om.
Verder stop ik met dit draadje want ik begin zolangzamerhand het mijne er van te denken.
Ik weet niet precies wat je daarmee bedoel, maar ik ben wel blij met de vele reacties. Zit ook genoeg bij om nog wat te proberen te verbeteren. Ik weet in ieder geval dat ik niet de enige ben en maar mijn "kop in het zand" moet steken (de mailtjes uitzetten), wil ik nog fijn van mijn NASje kunnen genieten.
Daarna maar weer whitelisten en hopen dat, zonder notificaties, het niet meer zoveel resources kost om een ongewenst ip af te weren. Af en toe weer in DSM zelf kijken naar nieuwe reeksen die mogelijk weer bezig zijn. Zo ja, dan maar toevoegen in een van de beschikbare blokkades.
Iedereen die ik vergeten ben, bedankt! De betrokkenheid was bijzonder prettig!
:)
-
Kop in het zand steken is wat anders dan mailtjes uitzetten 8)
Ik log regelmatig in om te kijken of alles werkt zoals het zou moeten.
-
Zet port 39 open.
Dan een pagina tonen met de tekst :
"Sambal bij?"
Zal ze leren.
-
Kop in het zand steken is wat anders dan mailtjes uitzetten 8)
Ik log regelmatig in om te kijken of alles werkt zoals het zou moeten.
Tja, die NAS draait gelukkig goed, dus weinig meldingen, waardoor het inloggen wel eens bij in schiet. Log je dan weer eens in, dan was het schrikken. Omdat het er steeds vaker zoveel waren, de meldingen vorig jaar aangezet. Was nog erger eigenlijk.. :/ Maar goed, heb stappenplannetje voor na mijn vakantie gemaakt. Daarna kijk ik wel of ik er uit kom en het zo kan beveiligen als ik wil. Weer leuk project. :)
-
"Sambal bij?"
:D Of ik stuur Gordon... :lol:
-
Even dit topic naar de hele wereld veranderen i.p.v. alleen China.
Ik ervaar nu voor de eerste keer een massieve aanval op mijn mailserver. Elke 5 minuten een poging. NU lees ik net een mailtje van mijn zwager die aan de andere kant van het land woont:
Meanwhile in the last hour my NAS is being bombarded with attempts of logins into the Mail Station every 5 minutes from multiple IP subnets.
Dus ik ben niet alleen en er zullen hier meer zijn die dit merken. Ik heb de bron met Wois opgezocht en ze komen uit: California, New York, Michigan, The Emirates, Brazil, Russia, South Korea etc. Dus worden òf de IP adressen gespoofed, of ze komen van een wereldwijd botnet.
Niet dat ik er bang van wordt, maar het viel me op dat mijn zwager het gelijktijdig met mij ervoer en het dus een aanval door heel Nederland zal betreffen. (Of op zijn minst op Ziggo klanten)
-
PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.
Dit is alleen het geval als je een dynamisch IP adres kreeg toegewezen van je provider.
Meestal kun je in het modem het mac-adres wijzigen. Dat levert ook een ander IP-adres op.
Je zou niet standaard poorten kunnen gaan gebruiken voor b.v. webmail. De meeste scans vinden plaats op de bekende kwetsbare poorten zoals 21, 23, 25, 80.
Het mac adres kan je niet veranderen, dat zit in de hardware gebakken, helaas.....
-
Het mac adres kan je niet veranderen, dat zit in de hardware gebakken, helaas.....
Een MAC adres is ook te spoofen.
Daarom krijg je zoveel "inbraakpogingen".
-
Het mac adres kan je niet veranderen, dat zit in de hardware gebakken, helaas.....
Een MAC adres is ook te spoofen.
Daarom krijg je zoveel "inbraakpogingen".
En daar zijn hele simpele en handige programmaatjes voor op elk platform (Win, Mac, Linux).
-
Was het maar onmogelijk.....
Zou een hoop ellende schelen!
Al stoor ik mij niet zo aan al die "inbraakpogingen".
-
Het IP adres zelf zal natuurlijk niet te faken zijn, anders deed iedereen dat die wat te verbergen had. Maar men kan natuurlijk steeds via het Tor netwerk een verbinding maken waardoor je ook elke keer een IP vanuit een ander deel van de wereld ziet.
Vanochtend om 8 uur was de laatste "inbraakpoging". De frequentie is wel gedaald van elke paar minuten in het begin tot eens per uur in de nacht. Ik heb geen idee of dit via een soort Tor netwerk liep, of dat dit vanuit een botnet aangestuurd was. Het was vast geen individu die vanachter zijn PC met de hand bezig was want dat houdt je geen 20 uur vol. (de duur van de inlog pogingen)
Mail Station logt geen inlog namen, maar ik ben overtuigd dat ze daar al niet in de buurt van de echte administrator naam kwamen. Laat staan dat ze aan wachtwoorden toe kwamen.
-
Hahah, kijk, daarom hou ik zo van Synology!
Kom je met een goed idee, dan bouwen ze het gewoon! GeoIP hebben ze het genoemd.
Dus geen probleem meer met buitenlandse hackers. Alleen nog een nieuwe NAS kopen die deze DSM versie aan kan. Dan NL whitelisten en de rest blacklisten. ;D ;D ;D Wat zal het rustig worden!
http://tweakers.net/downloads/32612/synology-disk-station-manager-50-build-4482.html
-
Tja je kunt ook gewoon een router met ingebouwde firewall aanschaffen.
Die je whitelist en blacklist dan afhandelt.
Zal vermoeddelijk goedkoper zijn.
-
Sssttt. Hij heeft eindelijk een goede smoes gevonden om een nieuwe NAS te kopen :).
-
Tja je kunt ook gewoon een router met ingebouwde firewall aanschaffen.
Die je whitelist en blacklist dan afhandelt.
Zal vermoeddelijk goedkoper zijn.
Denk het ook wel. Heb de GeoIP oplossing nog niet zelf kunnen zien, dus blijft even gissen, maar zo te lezen is het simpel in te stellen.
Mijn eigen DIR-855 router heeft ook wel mogelijkheden om IP-reeksen te blokken, maar die moet ik dan wel zelf invoeren. Bovendien kan ik maar een paar reeksen invoeren en moet ik die ip-filters weer koppelen aan protocollen, voordat iets wordt tegen gehouden. Dus allemaal halve oplossingen als je gewoon ALLE poorten dicht wil hebben voor bepaalde TLD's.
-
Sssttt. Hij heeft eindelijk een goede smoes gevonden om een nieuwe NAS te kopen :).
hahaha, ja, dat ook :-)
-
Heb de GeoIP oplossing nog niet zelf kunnen zien, dus blijft even gissen, maar zo te lezen is het simpel in te stellen.
Klopt, zeer makkelijk:
[attachimg=1]
Je kiest het per land. Daarboven kun je ook nog Europa en Azië als één geheel kiezen. (Afrika of Amerika heb ik niet als blok gezien)
Blijkbaar worden alleen inkomende verbindingen geblokkeerd. Als ik b.v. een Duitse blokkade instel, kan ik de nas nog steeds naar Duitse sites laten pingen.
-
Klopt, zeer makkelijk:
Je kiest het per land. Daarboven kun je ook nog Europa en Azië als één geheel kiezen. (Afrika of Amerika heb ik niet als blok gezien)
OOohhh!!! Supersimpel zelfs! Kom op Synology, geef die nieuwe 414slim uit! Ik sta al in de rij :D
-
Vrees alleen dat als die "hacker" een beetje slim zijn het blokeren van een top level domain niet gaat helpen.
Ze doen gewoon aan ip-spoofing en doen net alsof ze uit Nederland komen.
Als ze echt mailservers als target hebben zullen ze best zo slim zijn een lokaal adres te kunnen simuleren.
Dat is ook de reden dat er hardware firewalls zijn uitgevonden, die handelen alles af buiten je netwerk.
-
het blokeren van een top level domain niet gaat helpen.
Wat bedoel je met top level domain in dit verband? Volgens mij is een top level domain heel wat anders en gaat over domein namen en niet over IP reeksen.
-
Als je landen gaat blokeren zoals in die nieuwe functionaliteit van synology dan gaat dat op dns niveau.
Je blokeerd dan een domain. Bijvoorbeeld alles uit duitsland met .de enbelgie .be
Op dns level vertaalt zich dat naar ip nummers.
Een hacker doet net alsof hij een ipadres uit nederland heeft en je blokkade is waardeloos.
-
Een hacker doet net alsof hij een ipadres uit nederland heeft en je blokkade is waardeloos.
Tja, hij kan dan spoofen. Alleen heeft hij daar niet zoveel aan. Uiteindelijk wil de hacker toch een sessie met jouw device opbouwen en niet via het gespoofde IP-adres. Zal hij toch ook een systeem moeten hebben (botnet of zombie PC) in het land wat je wel toegang geeft. Nou, als hij daarover beschikt, dan hoeft hij ook niet te spoofen.
Ik snap sowieso niet hoe het kan dat een device je ineens vertrouwd wanneer je een paar pakketjes stuurt alsof je al een sessie had. Die wordt beantwoord met een reset bericht waardoor de hacker kan 'raden' welke tellerstand de actieve IP-sessie had, die met een vertrouwd systeem was opgebouwd. Vervolgens worden pakketjes gestuurd die (hoopt de hacker) wel passen in de actieve tellerstand van de IP-pakketjes. En dan ineens wordt het ip-adres wel vertrouwd door je device? Afzender is toch anders? En ook moet de hacker het systeem, wat je device wel vertrouwd, gaan overnemen (nouja, zorgen dat er geen pakketjes meer worden uitgewisseld met jouw device). Hoop gedoe... ;)
Ik denk (hoop?) dat deze beveiliging wel een hele boel script kiddies tegen houdt die vanaf hun eigen IP de inlogpogingen proberen. Bovendien moet de hacker ook nog te weten komen welke TLD's wel toegang hebben. Echte hackers zullen hier vast iets tegen weten, maar die zijn vast niet geïnteresseerd in het overnemen van mailservers van hobbyisten om te kunnen spammen.
-
Als je landen gaat blokeren zoals in die nieuwe functionaliteit van synology dan gaat dat op dns niveau.
Je blokeerd dan een domain. Bijvoorbeeld alles uit duitsland met .de enbelgie .be
Op dns level vertaalt zich dat naar ip nummers.
Een hacker doet net alsof hij een ipadres uit nederland heeft en je blokkade is waardeloos.
Volgens mij maak je hier een denk fout GeoIP is een IP dienst waarbij alle provider aggregated blokken opgenomen zijn. GeoIP heeft dus per land inzichtelijk welke IP blokken er via BGP uitgewisseld worden op het internet, op basis van de filtering in de NAS blokkeer je feitelijk IP bokken van bepaalde landen. http://blog.ip-adress.com/geo-ip-address-location/
Ik zou niet inzien wat DNS hier mee van doen heeft, kan je een bron vermelden?
-
Dit is precies wat ik vertelde en het feit dat ik het op DNS niveau noem (wat misschien niet geheel juist is) komt dat DNS de vertaling van namen (en dus ook geo info zoals .be etc) doet naar IP adressen.
Maar als je een beter term weet houd ik me aanbevolen.
-
De term is er al GeoIP anders hadden ze het GeoDNS genoemd 8)
Dns is alleen voor gebruikers omdat je niet in staat bent om ip adressen te onthouden van alle websites welke je bezoekt, daar ga ik even vanuit in een gezonde situatie 8)
Zodra DNS een IP adres heeft opgevraagd, bv www.synology-forum.nl -> 80.246.180.95 wordt er na deze stap niets meer met DNS gedaan. Echter als je dat IP opzoekt (lees: in welk blok hij valt op het grote internet) dan zie je dat hij valt in een reeks van NXS Internet https://apps.db.ripe.net/search/query.html?searchtext=+80.246.180.95&source=RIPE#resultsAnchor
En NXS internet stuurt deze reeks 80.246.176.0/20 het internet op (waar dus vele duizenden IP adressen inzitten) en deze blokken hebben dan de stempel Nederland in de GeoIP database. http://www.maxmind.com/en/geolocation_landing (Synology gebruikt MaxMind)
Als je die dan door maxmind heen haalt zegt hij:
GeoIP2 Precision City/ISP/Organization Results
IP Address Country Code Location Postal Code Coordinates ISP Organization Domain Metro Code
80.246.176.0 NL Greup,
South Holland,
Netherlands,
Europe 51.7862,
4.4377 IS Group B.V. IS Group B.V. nxs.nl
Ofwel een Nederlands blok ;-) je kunt ook testen met je eigen IP http://www.maxmind.com/en/locate_my_ip
-
Ik kreeg net een melding binnen van een geweerde inlog poging vanuit IP 123.30.241.169 Dat IP ligt in Vietnam. Met een reverse dns van static.vdc.vn
Nu heb ik in de regio blokkade asia/pacific region ingesteld. Dus dit IP is toch niet correct geblokt.
Hij komt uit de range 123.16.0.0/12 met 1 miljoen Vietnamese adressen, dus ook niet een kleine range die misschien gemist is.
-
Ik zou dan Vietnam ook blokkeren:) ik heb het omgedraaid ik blokkeer alle landen en laat alleen Nederland toe. En port 5001 staat wel wereldwijd open.
Verzonden vanaf mijn iPhone met behulp van Tapatalk
-
Ik heb alleen Nederland en wat omliggende landen waar ik nog wel is kom aangevinkt, daarna aangegeven in de firewall indien niet wordt voldaan aan de regels de toegang geblokkeerd wordt. Je kunt ook maar maximaal 15 landen selecteren in een 'firewall regel'.
-
je kan er ook een router tussen zetten met firewall die de ip-adressen blokt uit China. Dan komen ze niet eens op de nas.
-
En NXS internet stuurt deze reeks 80.246.176.0/20 het internet op (waar dus vele duizenden IP adressen inzitten) en deze blokken hebben dan de stempel Nederland in de GeoIP database. http://www.maxmind.com/en/geolocation_landing (Synology gebruikt MaxMind)
Even een heel oud topic afstoffen. Het klopt dat Synology de database van MaxMind gebruikt, alleen niet de GeoIP database, maar de GeoLite database. Dat is een kleinere database die waarschijnlijk minder nauwkeurig is.
Nu is MaxMind per 2 januari 2019 gestopt met het updaten van hu GeoLite database. Gebruikers (Lees Synology) zouden op de GeoLite2 (https://dev.maxmind.com/geoip/geoip2/geolite2/) database moeten overstappen.
Ik kwam er vandaag achter dat Synology nog steeds de verouderde GeoLite database gebruikt. (Eigenlijk had ik dat al maanden geleden gelezen, maar ik kon de bron niet meer vinden). Als ik het IP "68.183.80.165" in de blocklist zet, geeft de nas aan dat dit een USA adres is. Als ik echter de GeoLite2 database download, staat hij erin als een Indiaas adres.
Het niet updaten door Synology kan er ook toe leiden dat voormalige buitenlandse IP adressen die door Nederlandse/Belgische firma's gekocht zijn, nu door de firewall geblokkeerd worden als je buitenlandse IP adressen blokkeert.
-
Zeer interessante allemaal! Ben niet zo bekend met deze materie. Stel nu dat ik een aantal aanbevelingen wil opvolgen?
Zouden we dan de gegeven informatie kunnen/willen indikken tot een lijstje?
Dus welke regels je zeker moet invoerenen en welke je wellicht ook kunt invoeren?
Ik ben benieuwd!
-
Volgens Synology support komt er een aanpassing voor geolocation DSM 6.2.3:
We are scheduling to update DB in DSM6.2.3.
Please kindly stay tuned with our update.
-
Hmm. We zitten nog steeds op 6.2.2.
Ik zag in mijn maillog dat Iran bij mij ook heel actief is sinds 19 december.
SLIBUserRealNameGet(user=info@xxxx) failed
SLIBUserRealNameGet(user= gtm2@xxxx) failed
SLIBUserRealNameGet(user= tamra@xxxx) failed
SLIBUserRealNameGet(user= dxy@xxxx) failed
SLIBUserRealNameGet(user=www.pay@xxxx) failed
SLIBUserRealNameGet(user=test.magento@xxxx) failed
SLIBUserRealNameGet(user= biblioteka@xxxx) failed
SLIBUserRealNameGet(user= test@xxxx) failed
SLIBUserRealNameGet(user= buzon@xxxx) failed
SLIBUserRealNameGet(user= battlestar-galactica@xxxx) failed
etc.
Steeds wisselende IP nummers uit het blok 46.38.144.xxx. Ook nooit vaker dan één poging per inlognaam. (Alleen info proberen ze vaker). Met één poging kom je niet ver. Misschien hopen ze op een vergeten test account waar geen wachtwoord op zit, of het wachtwoord 'test', '1234', 'password', etc.
De server staat in de UK volgens het wois record, maar het IP staat op naam van een Iranees adres. Ook de geoblok info van Synology geeft het aan als Iranees.
De IP blok is weer onderdeel van een groter blok dat ook op naam van Iran staat. Ik heb het heel Iran maar in de geoblok gezet. (Poort 25 valt bij mij buiten de reguliere geoblok die ik op andere poorten gebruik)
-
# whois -B 46.38.144.1
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Information related to '46.38.144.0 - 46.38.144.255'
% Abuse contact for '46.38.144.0 - 46.38.144.255' is 'mobinsaffor@yandex.com'
inetnum: 46.38.144.0 - 46.38.144.255
org: ORG-SSJI1-RIPE
netname: Sarang
country: IR
admin-c: MS48926-RIPE
tech-c: MS48926-RIPE
status: ASSIGNED PA
mnt-by: mobinsaffor
created: 2019-09-13T20:13:14Z
last-modified: 2019-09-13T20:42:44Z
source: RIPE
organisation: ORG-SSJI1-RIPE
org-name: Sarang System Jonoob IT LTD.
org-type: OTHER
address: No 81, 3rd Unit, Mehdi Building, Railway Str, Kianabad, Tehran, Iran
e-mail: mobinsaffor@yandex.com
abuse-c: ACRO27010-RIPE
mnt-ref: mobinsaffor
mnt-by: mobinsaffor
created: 2019-07-11T13:13:48Z
last-modified: 2019-09-14T11:50:00Z
source: RIPE
person: Mobin Saffor
address: mobinsaffor@yandex.com
phone: +9809121139827
nic-hdl: MS48926-RIPE
mnt-by: mobinsaffor
created: 2019-08-20T08:09:29Z
last-modified: 2019-09-20T19:58:51Z
source: RIPE
% Information related to '46.38.144.0/24AS133398'
route: 46.38.144.0/24
origin: AS133398
mnt-by: mobinsaffor
created: 2019-10-06T10:56:19Z
last-modified: 2019-10-06T10:56:19Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.96 (BLAARKOP)
Hong Kong: https://bgp.he.net/AS133398
You're most likely just being attacked by someone in China using an IP block with stale whois info.
https://www.lowendtalk.com/discussion/comment/3073062/#Comment_3073062
-
Ik kijk vaak op deze site: https://myip.ms/info/whois/46.38.144.1
Je krijgt vrijwel dezelfde info als je "whois" terminal commando. Alleen geven ze ook nog een IP lokatie op. Volgens mij is dat de fysieke lokatie van het IP adres. (Moet ik een beter naar kijken)
-
# traceroute -I 46.38.144.1
traceroute to 46.38.144.1 (46.38.144.1), 30 hops max, 60 byte packets
1 10.8.4.1 (10.8.4.1) 14.933 ms 14.932 ms 20.109 ms
2 89.39.107.3 (89.39.107.3) 22.742 ms 22.751 ms 22.758 ms
3 109.236.95.230 (109.236.95.230) 22.764 ms 22.773 ms 22.780 ms
4 109.236.95.167 (109.236.95.167) 22.614 ms 22.626 ms 22.634 ms
5 80.249.210.13 (80.249.210.13) 58.685 ms 58.702 ms 58.704 ms
6 87.110.223.130 (87.110.223.130) 62.942 ms 56.149 ms 56.116 ms
7 87.110.254.237 (87.110.254.237) 80.385 ms 80.396 ms 80.394 ms
8 mxbackup.microlink.lt (213.197.128.83) 62.320 ms 60.760 ms 60.727 ms
9 46.38.144.1 (46.38.144.1) 66.287 ms 60.554 ms 60.518 ms
Zie daar voorlaatste is Litouwen, lijkt me waarschijnlijker dat IP locatie Iran is.
myip toont misschien cache info?
Daarom gebruik ik "whois -B x.x.x.x"
-
Op de mac staat de OpenBSD versie (https://man.openbsd.org/whois.1) van whois en die kent geen -B parameter. :'( (En die is er juist om de update info op te halen)
-
Ik ben aan het uitzoeken of ik automatisch mijn router kan updaten met de laatste geoip informatie. Op mijn synology NAS wil ik deze informatie neerzetten en automatisch uploaden/downloaden naar mijn router. Mijn router heeft te weinig schijf ruimte om alle geoip bestanden op te slaan, dus kan alleen maar een subset, daarom deze methode. Het automatiseren omdat ik niet elke dag/week handmatig deze informatie wil updaten.
Aangezien de synology NAS deze informatie al ergens heeft staan omdat deze er zelf ook gebruik van maakt in de firewall ben ik gaan zoeken. Het lijkt te staan in /usr/share/xt_geoip, waarbij de bestanden een datum hebben van 2 april 2019...
De bestanddatum lijkt redelijk oud, wordt deze automatisch geupdate of kan ik dit handmatig forceren? En zijn er überhaupt nog updates beschikbaar nu er bij MaxMind ingelogd moet worden?
Thanks!
-
Klopt dat ze al een tijd niet geüpdate worden. De reden heb ik hier (https://www.synology-forum.nl/firmware-algemeen/geen-geo-ip-updates-meer-sinds-1-januari-2019/msg269638/#msg269638) geschreven.
In de help staat waar Synology zijn Geo info vandaan haalt. Daar kun je ook zelf nieuwere formaten van de geoip halen. (Maar zo te lezen had je daar ook al gekeken)
Overigens weet ik niet waarom Synology die grote database files op de nas heeft staan. (Het zijn zo ongeveer de grootste systeemfiles). Ze zijn alleen zo groot omdat dit IP adressen tot op straatniveau zijn. Er staat ook een heel veel kleinere database in dezelfde folder met alleen een landenkoppeling. Dat laatste lijkt me genoeg voor de firewall.
Het kan zijn dat Synology pas in DSM 7 wilde overstappen en de introductie van deze dsm-versie nu meer vertraging heeft dan vooraf ingeschat.
-
Is het een staische lijst of iets dergelijks?
Hm, kunnen we intussen niet het nieuwe formaat omtransformeren naar het oude formaat middels een script?
Dit heeft natuurlijk tijdelijk zin, maar hiermee kunnen we mooi de tussenliggende tijd overlappen.
-
Ik keek zonet in mijn verbindingslog en zag iets heel vreemds. Ik zag dat er eergisteren 3x vergeefs geprobeerd is via SSH in te loggen.
[attachimg=1]
Het IP is uit China. (Zowel volgens mijn eigen test als de blokkeringslijst van de nas)
Een SSH inlog zie ik nooit omdat de firewall dat niet toelaat. Mijn firewall regel is als volgt:
[attachimg=2]
In de eerdere regels staan alleen 'weiger' regels of toestemmingen voor een specifiek enkel IP (Waaronder 3 Synology IP's die ook toegang tot poort 22 hebben). De twee getoonde regels betreffen alleen poort 22 waarbij ik eerst mijn LAN IP adressen toestemming geef en daarna alles weiger.
Dit IP had dus nooit de kans mogen krijgen om in te loggen. Bug in de Synology firewall?