Firewall i blokowanie IP z regionu

#1
Mam na firewallu włączone blokowanie IP z Rosji, a dziś dostałem komunikat, że po 5. nieudanych logowaniach został zablokowany adres 95.70.0.46, który chyba jednak jest z Rosji, sprawdzałem tu: http://www.moje-ip.eu/sprawdzanie-adresu-ip Czy zapora nie działa czy też to coś innego (maskowanie, proxy)? To już drugi przypadek próby wejścia z tego regionu, wcześniej miałem 77.82.18.203, też Rosja, Chabarowsk wg podlinkowanej strony.
DS716+II

Re: Firewall i blokowanie IP z regionu

#2
Synology korzysta z https://www.maxmind.com/*. Oba IP wg tego serwisu należą do Rosji. Jak dla mnie sprawa do wyjaśnienia przez support. Sprawdziłbym jeszcze czy reguły są poprawnie ustawione (np. domyślną politykę dla LAN1 oraz reguły dla wszystkich interfejsów).

Jak będziesz coś więcej wiedział to daj tutaj znać.

* wg https://www.synology.com/en-global/know ... y_firewall
https://search.synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,2GB RAM
Poprzedni:
DS215j

Re: Firewall i blokowanie IP z regionu

#5
Dziękuję. Zmieniłem kolejność choć wydaje mi się, że to nie powinno mieć znaczenia, zobaczymy. Te próby logowania to był ewidentnie bot bo odbywały się co kilka sekund, za każdym razem loginem był "admin", a ponieważ mam to konto wyłączone więc aż tak się nie martwię. Wiem, że powinienem zmienić standardowy port 5000, ale trochę mi to nie pasuje. Jakby się ataki powtórzyły to przemyślę sprawę. Raz jeszcze dziękuję za odzew.
DS716+II

Re: Firewall i blokowanie IP z regionu

#6
Kolejność ma znaczenie. Spróbuj dodać blokowanie ICMP (ping) na samym początku listy. Sprawdź pinga z lokalnej sieci (=> nie powinno być) potem przenieś na koniec (=> serwer powinien odpowiedzieć).

ps. Tak na marginesie: Jeśli najpierw zrobisz pinga a potem dodasz ICMP na początek listy jako "blokowany", możesz zauważyć, że ping jednak dochodzi. Trzeba odczekać minutkę, zanim zacznie to działać. Dzieje się to pewnie dlatego, że system rozpoznaje takie "połączenie" jako ESTABLISHED, a takie są na samym początku listy iptables (niewidoczne w interfejsie) z regułą "allow". Jeśli zaczniesz od kolejności najpierw blokuj i test a potem odblokuj, to działa od razu.
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
Ostatnio zmieniony pn lut 19, 2018 6:10 pm przez xurc, łącznie zmieniany 1 raz.
https://search.synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,2GB RAM
Poprzedni:
DS215j

Re: Firewall i blokowanie IP z regionu

#7
Kolejność reguł w firewall ma bardzo duże znaczenie. Nie trzeba dodawać reguły blokowania wszystkiego. Wystarczy pod listą wybrać opcję "blokuj" to co nie pasuje do powyższych (czy jakoś tak).
Co do portu zarządzania to proponuje zmienić. Otwarcie tego portu na świat to bardzo duże ryzyko. Już lepiej zestaw sobie vpn przy pomocy którego będziesz mógł zarządzać synkiem.

Wysłane z mojego HTC Desire 820 przy użyciu Tapatalka

Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

Re: Firewall i blokowanie IP z regionu

#8
Rzeczywiście kolejność reguł ma znaczenie, człowiek uczy się całe życie, dzięki za wskazówki!
Przemuss pisze: Nie trzeba dodawać reguły blokowania wszystkiego. Wystarczy pod listą wybrać opcję "blokuj" to co nie pasuje do powyższych (czy jakoś tak).
Jakoś nie mogłem tego znaleźć więc zostawiłem tak jak mam. Zmieniłem natomiast zgodnie z sugestią port 5000, póki co wszystko ładnie działa. VPN oczywiście mam, ale łączę się przez niego tylko jak jestem gdzieś "w świecie" ze swoim laptopem, w pracy nie mogę używać VPN.
DS716+II

Re: Firewall i blokowanie IP z regionu

#9
wlodekh pisze:
wt lut 20, 2018 5:27 pm
w pracy nie mogę używać VPN.
Czyżby blokowane porty? Jeśli nie korzystasz z usług HTTPS, to proponuję wystawić VPN na porcie 443. Ten port zwykle nie jest blokowany. Ja tak się właśnie łączę przez OpenVPN. Potem już po localu do DSM, ssh i generalne cała reszta.
https://search.synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,2GB RAM
Poprzedni:
DS215j

Re: Firewall i blokowanie IP z regionu

#10
VPN jest super, ale dostęp przez web i tak wg mnie musi zostać: jestem np. u szwagra, nie mam swojego laptopa i co? Mam na jego maszynie stawiać OpenVPN? To samo u cioci na imieninach? A co z udostępnianiem linku lub żądaniem do pliku, mam na każdym wymusić dostęp przez VPN? Nierealne.
Wydaje mi się, że to co zrobiłem: reguły na firewallu, zmieniony port dostępu przez web, wyłączone ssh, ftp, wyłączone konto admin - powinno wystarczyć. Oczywiście nigdy nie jest się na 100% zabezpieczonym więc zobaczymy, ale z drugiej strony nie popadajmy w paranoję, serwer przede wszystkim ma być użyteczny.
DS716+II

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość

cron