Konfiguracja zapory sieciowej z serwerze Synology
- SnejX
- Uczeń Mistrza
- Posty: 619
- Rejestracja: czw mar 23, 2017 9:12 pm
- Lokalizacja: Łódź
Re: Konfiguracja zapory sieciowej z serwerze Synology
nie ma warunku "wszystko inne"
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.
reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.
reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology
-
- Zawsze On-Line
- Posty: 524
- Rejestracja: ndz sty 24, 2016 10:46 am
Re: Konfiguracja zapory sieciowej z serwerze Synology
Ależ oczywiście, że jest warunek „wszystko inne” - jest dostępny po wyborze konkretnego interfejsu - możesz zabronić lub pozwolić na ruch, który nie spełnia warunków zapory. Warunki są sprawdzane od pierwszego na górze do ostatniego na dole, a następnie od najwyższego w konkretnym interfejsie do najniższego w wybranym interfejsie sieciowym.SnejX pisze:nie ma warunku "wszystko inne"
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.
reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
Więc tak:
Domeny brak a aktualnie reguły zapory są wyłączone.
Wyniki logowania:
Logowanie poza siecią LAN:
Logowanie we fizycznym obrębie sieci LAN:
Docelowo chciałbym:
Domeny brak a aktualnie reguły zapory są wyłączone.
Wyniki logowania:
Logowanie poza siecią LAN:
- przez QuickConnect (www.quickconnect.to) = działa. Jestem widoczny pod zewnętrznym adresem IP (połączenie przez router w komórce),
- przez VPN = działa. Loguję się do serwera, który ma IP w LANie 192.168.0.11. Jestem widoczny jako 10.0.0.1.
Logowanie we fizycznym obrębie sieci LAN:
- bezpośrednio poprzez IP serwera 192.168.0.11 = działa. Jestem widoczny pod adresem 192.168.0.115 (DHCP),
- przez QuickConnect = działa. Z automatu przełącza się na IP serwera 192.168.0.11. Widoczny jestem pod adresem 192.168.0.115 (DHCP)
Docelowo chciałbym:
- ograniczyć połączenia Synology Drive do obszaru Polski,
- ograniczyć logowanie do DSM do:
- jednego zewnętrznego stałego adresu IP (dla przykładu niech będzie 213.180.141.140),
- sieci lokalnej (192.168.0.1-254),
- możliwości zalogowania poprzez VPN (dynamiczna pula 10.0.0.0),
- resztę jakichkolwiek połączeń wyciąć.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
Może ktoś da screena? Bo ustawiam i ustawiam i działać nie chce. Jeżeli u kogoś zadziała a u mnie nie, to będzie oznaczało, że mam coś nakopane w ustawieniach.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
A tak?
niestety nie mam dostępu przez QC. Loguję się z Windowsa poprzez VPN i wtedy po sieci lokalnej.
- ograniczyłem dostęp tylko do obszaru Polski z uwzględnieniem portu 5000 (DSM HTTP), 5001 (DSM HTTPS), 6690 (Synology Drive Server), oraz 1723 (VPN) za pomocą wyboru aplikacji w polu wyboru,
- wpisałem swoje stałe IP, z którego korzysta Synology.
Dobrze myślę?
niestety nie mam dostępu przez QC. Loguję się z Windowsa poprzez VPN i wtedy po sieci lokalnej.
- ograniczyłem dostęp tylko do obszaru Polski z uwzględnieniem portu 5000 (DSM HTTP), 5001 (DSM HTTPS), 6690 (Synology Drive Server), oraz 1723 (VPN) za pomocą wyboru aplikacji w polu wyboru,
- wpisałem swoje stałe IP, z którego korzysta Synology.
Dobrze myślę?
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
Dodam, że Synology Drive Client działa. VPN też. Ale QC przez www.quickconnect.to już nie. Ręce mi już opadają.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
Jak wyłączę blokadę dla wszystkiego (najniższa reguła), to QC działa. Zauważyłem, że w Panelu sterowania wchodząc do zakładki QuickConnect, momentalnie pyta się, czy wprowadzić ustawienia do firewalla na zasadzie: 5000, 5001, 6690 dla wszystkich protokołów i zewsząd. Reguła pojawia się na samej górze. Wtedy QC działa.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
-
- Zawsze On-Line
- Posty: 524
- Rejestracja: ndz sty 24, 2016 10:46 am
Konfiguracja zapory sieciowej z serwerze Synology
Nic w tym dziwnego, QC wymaga połączenia z serwerami spoza geoip Polski.
Ustawiłeś w pierwszej regule ruch tylko z Polski, później dopuściłeś sieć lokalną i zblokowałeś jakikolwiek pozostały ruch.
Ustawiłeś w pierwszej regule ruch tylko z Polski, później dopuściłeś sieć lokalną i zblokowałeś jakikolwiek pozostały ruch.
Ostatnio zmieniony sob mar 07, 2020 9:54 am przez look12, łącznie zmieniany 1 raz.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
OK. Teraz już kumam. Faktycznie swojego czasu podczas logowania przez QuickConnect w adresie było "de". Teraz jest dodawany człon "cz2" czyli adres wygląda: "moja nazwa QC".cz2.quickconnect.to. Jak dodałem Czechy do reguły, to już mogę się zalogować bez problemu.
Tylko jeszcze jedna sprawa mnie nurtuje. Będąc poza siecią lokalną na terenie Polski nie mam dostępu do DSM (gdy nie mam reguły zezwalającej na Czechy) --> OK, niechaj tak będzie (na marginesie, ciekawe, czy można wskazać bezpośrednio czeski serwer jako regułę???). Ale jakim cudem Synology Drive Client na laptopie będąc w Polsce ma dostęp do serwera Synology (port 6690)?. Rozumiem, że ten ruch też idzie przez serwery Synology, więc powinno lecieć przez Czechy.
Tylko jeszcze jedna sprawa mnie nurtuje. Będąc poza siecią lokalną na terenie Polski nie mam dostępu do DSM (gdy nie mam reguły zezwalającej na Czechy) --> OK, niechaj tak będzie (na marginesie, ciekawe, czy można wskazać bezpośrednio czeski serwer jako regułę???). Ale jakim cudem Synology Drive Client na laptopie będąc w Polsce ma dostęp do serwera Synology (port 6690)?. Rozumiem, że ten ruch też idzie przez serwery Synology, więc powinno lecieć przez Czechy.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
- adjustin
- Wtajemniczony
- Posty: 211
- Rejestracja: pn lip 11, 2016 5:21 pm
- Lokalizacja: Żory/Rybnik/Katowice
Re: Konfiguracja zapory sieciowej z serwerze Synology
Jeszcze jedno pytanie. Czyli używając QuickConnect jest sens ustawiać firewalla, skoro to i tak przechodzi przez serwery Synology? Mam u siebie przekierowane dwa porty pod HyperBackup i VPN. Parę dni temu ktoś mnie skanował z Rosji (przynajmniej tak mi pokazało). Po paru próbach IP tychże towarzyszy zostało dodane do czarnej listy.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)