Konfiguracja zapory sieciowej z serwerze Synology

Awatar użytkownika
SnejX
Uczeń Mistrza
Posty: 611
Rejestracja: czw mar 23, 2017 9:12 pm
Lokalizacja: Łódź

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: SnejX »

nie ma warunku "wszystko inne"
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.

reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology :D
look12
Zawsze On-Line
Posty: 514
Rejestracja: ndz sty 24, 2016 10:46 am

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

SnejX pisze:nie ma warunku "wszystko inne"
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.

reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology :D
Ależ oczywiście, że jest warunek „wszystko inne” - jest dostępny po wyborze konkretnego interfejsu - możesz zabronić lub pozwolić na ruch, który nie spełnia warunków zapory. Warunki są sprawdzane od pierwszego na górze do ostatniego na dole, a następnie od najwyższego w konkretnym interfejsie do najniższego w wybranym interfejsie sieciowym.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Więc tak:
Domeny brak a aktualnie reguły zapory są wyłączone.

Wyniki logowania:
Logowanie poza siecią LAN:
  • przez QuickConnect (www.quickconnect.to) = działa. Jestem widoczny pod zewnętrznym adresem IP (połączenie przez router w komórce),
  • przez VPN = działa. Loguję się do serwera, który ma IP w LANie 192.168.0.11. Jestem widoczny jako 10.0.0.1.

Logowanie we fizycznym obrębie sieci LAN:
  • bezpośrednio poprzez IP serwera 192.168.0.11 = działa. Jestem widoczny pod adresem 192.168.0.115 (DHCP),
  • przez QuickConnect = działa. Z automatu przełącza się na IP serwera 192.168.0.11. Widoczny jestem pod adresem 192.168.0.115 (DHCP)
EDIT: przedtem mi nie przełączało na wewnętrzne IP. Teraz już jest git.

Docelowo chciałbym:
  • ograniczyć połączenia Synology Drive do obszaru Polski,
  • ograniczyć logowanie do DSM do:
    • jednego zewnętrznego stałego adresu IP (dla przykładu niech będzie 213.180.141.140),
    • sieci lokalnej (192.168.0.1-254),
    • możliwości zalogowania poprzez VPN (dynamiczna pula 10.0.0.0),
    • resztę jakichkolwiek połączeń wyciąć.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Może ktoś da screena? Bo ustawiam i ustawiam i działać nie chce. Jeżeli u kogoś zadziała a u mnie nie, to będzie oznaczało, że mam coś nakopane w ustawieniach.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

A tak?
niestety nie mam dostępu przez QC. Loguję się z Windowsa poprzez VPN i wtedy po sieci lokalnej.
- ograniczyłem dostęp tylko do obszaru Polski z uwzględnieniem portu 5000 (DSM HTTP), 5001 (DSM HTTPS), 6690 (Synology Drive Server), oraz 1723 (VPN) za pomocą wyboru aplikacji w polu wyboru,
- wpisałem swoje stałe IP, z którego korzysta Synology.

Dobrze myślę?
Przechwytywanie.PNG
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Dodam, że Synology Drive Client działa. VPN też. Ale QC przez www.quickconnect.to już nie. Ręce mi już opadają.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Jak wyłączę blokadę dla wszystkiego (najniższa reguła), to QC działa. Zauważyłem, że w Panelu sterowania wchodząc do zakładki QuickConnect, momentalnie pyta się, czy wprowadzić ustawienia do firewalla na zasadzie: 5000, 5001, 6690 dla wszystkich protokołów i zewsząd. Reguła pojawia się na samej górze. Wtedy QC działa.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
look12
Zawsze On-Line
Posty: 514
Rejestracja: ndz sty 24, 2016 10:46 am

Konfiguracja zapory sieciowej z serwerze Synology

Post autor: look12 »

Nic w tym dziwnego, QC wymaga połączenia z serwerami spoza geoip Polski.
Ustawiłeś w pierwszej regule ruch tylko z Polski, później dopuściłeś sieć lokalną i zblokowałeś jakikolwiek pozostały ruch.
Ostatnio zmieniony sob mar 07, 2020 9:54 am przez look12, łącznie zmieniany 1 raz.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

OK. Teraz już kumam. Faktycznie swojego czasu podczas logowania przez QuickConnect w adresie było "de". Teraz jest dodawany człon "cz2" czyli adres wygląda: "moja nazwa QC".cz2.quickconnect.to. Jak dodałem Czechy do reguły, to już mogę się zalogować bez problemu.
Tylko jeszcze jedna sprawa mnie nurtuje. Będąc poza siecią lokalną na terenie Polski nie mam dostępu do DSM (gdy nie mam reguły zezwalającej na Czechy) --> OK, niechaj tak będzie (na marginesie, ciekawe, czy można wskazać bezpośrednio czeski serwer jako regułę???). Ale jakim cudem Synology Drive Client na laptopie będąc w Polsce ma dostęp do serwera Synology (port 6690)?. Rozumiem, że ten ruch też idzie przez serwery Synology, więc powinno lecieć przez Czechy.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
Awatar użytkownika
adjustin
Wtajemniczony
Posty: 207
Rejestracja: pn lip 11, 2016 5:21 pm
Lokalizacja: Żory/Rybnik/Katowice

Re: Konfiguracja zapory sieciowej z serwerze Synology

Post autor: adjustin »

Jeszcze jedno pytanie. Czyli używając QuickConnect jest sens ustawiać firewalla, skoro to i tak przechodzi przez serwery Synology? Mam u siebie przekierowane dwa porty pod HyperBackup i VPN. Parę dni temu ktoś mnie skanował z Rosji (przynajmniej tak mi pokazało). Po paru próbach IP tychże towarzyszy zostało dodane do czarnej listy.
DS120j (1 x WD Red 4 TB, Ext 4, 512 MB RAM)
DS718+ (2 x WD Red Pro 2 TB, Btrfs, Raid 1, 6 GB RAM)
ODPOWIEDZ