Konfiguracja zapory sieciowej z serwerze Synology

[FloydKulis]

Wystarczy skonfigurować ją tak, jak na ekranie z pierwszego postu tego wątku, możesz pominąć wpis z adresacją VPN.

Zrobiłem jak w pierwszym poście i wszystkie Docker miedzy sobą przestają działać. Mimo ze podaje adres lokalny LAN.

[look12]

Utwórz regułę przepuszczającą ruch pomiędzy siecią w której stoi NAS, a interfejsem sieciowym Docker’a.
Adresacje sieci dockera znajdziesz w aplikacji w sekcji „sieć”.

[tomahawk5000]

Skonfiguruj DDNS zamiast QC i nie będziesz musiał przerzucać zapytań do serwerów Synology.
Odpowiadając na pytanie, czy można dopuścić serwer QC zamiast podawać geoip kraju w którym się znajduje serwer - tak można, trzeba poznać adres IP serwera i skonfigurować zaporę dopuszczając adres IP.
Bardzo krytycznie konfigurujesz NAS’a przy okazji wycinasz autoupdate aplikacji i DSM.

Troche odkopie temat. Napotkałem ten wątek i zacząłem się bawić Firewall'em ale to co napisał kolega wyżej mnie zaniepokoiło. Chciałbym żeby mój NAS sam się aktualizował lub chociaż informował mnie że aktualizacje są dostępne. Przy ustawieniu jak z pierwszego posta tego wątku czyli lokalne IP/VPN IP/PL IP zezwól reszta nie oznacza że nie będzie autoaktualizacji?

[look12]

Musisz dopuścić ruch z serwerów aktualizacji.
Tu masz wykaz nazw serwerów z jakimi łączy się DSM:
https://kb.synology.com/pl-pl/DSM/tuto ... g_software

Po rozwiązaniu nazwy na IP możesz skonfigurować ruch zapory. Tyle, że istnieje ryzyko, że adres IP serwera może ulec zmianie przy zachowaniu przyjaznej nazwy domenowej.

[tomahawk5000]

Musisz dopuścić ruch z serwerów aktualizacji.
Tu masz wykaz nazw serwerów z jakimi łączy się DSM:
https://kb.synology.com/pl-pl/DSM/tuto ... g_software

Po rozwiązaniu nazwy na IP możesz skonfigurować ruch zapory. Tyle, że istnieje ryzyko, że adres IP serwera może ulec zmianie przy zachowaniu przyjaznej nazwy domenowej.

Jaka jest powszechna praktyka w tym temacie? Zostawić jak jest, wyłączyć firewall bo mam w routerze czy jednak bawić się w dopuszczenie tych IP?

Sent from my SM-G781B using Tapatalk

[look12]

W mój poprzedni post wkradł się skrót myślowy. Opis był odniesieniem się do wpisu w zaporze dopuszczającego ruch w obu kierunkach tylko z adresacji geoip PL (w tym konkretnym przypadku skonfigurowanym na NAS). W tym kontekście była informacja o wpisaniu serwerów aktualizacji do zapory i to może być mylące.
Ale do rzeczy, jak najbardziej warto włączyć zaporę na NAS, nawet jeżeli znajduje się w sieci lokalnej, a już obowiązkowo gdy NAS zostanie wystawiony w DMZ.
W sieci lokalnej do uznania i w ramach potrzeb dopuszczasz ruch lokalny ograniczając do konkretnych usług lub nie.
Jeżeli nie wystawiasz usług NAS bezpośrednio w Internecie (tj. poprzez przekierowanie portów na routerze), to ograniczenie geoip nie ma większego znaczenia. Ruch przychodzący z Internetu nie dotrze do NAS’a (o ile nie zostało przejęte jakieś urządzenie w sieci lokalnej, które otwiera drogę do nawiązania połączeń z innymi urządzeniami w sieci LAN - dlatego można rozważyć ograniczenie dostępu do NAS do konkretnych usług w sieci LAN, a jeżeli uznasz że jest to istotne, to do konkretnych urządzeń).
Jeżeli NAS nie jest zablokowany na routerze, jako urządzenie które nie ma dostępu do Internetu i nie blokujesz na NAS ruchu po https, to serwer zaktualizuje się zgodnie z polityką skonfigurowaną na urządzeniu. Nie musisz niczego nadzwyczajnego konfigurować w zaporze. NAS zainicjuje połączenie wychodzące i jeżeli po drodze nie napotka blokady zrobi co trzeba.

[tomahawk5000]

Dzięki za informacje! Wobec tego włączam zaporę

Sent from my SM-G781B using Tapatalk