Firewall i blokowanie IP z regionu
-
- Wtajemniczony
- Posty: 192
- Rejestracja: śr sty 27, 2016 12:37 pm
Firewall i blokowanie IP z regionu
Mam na firewallu włączone blokowanie IP z Rosji, a dziś dostałem komunikat, że po 5. nieudanych logowaniach został zablokowany adres 95.70.0.46, który chyba jednak jest z Rosji, sprawdzałem tu: http://www.moje-ip.eu/sprawdzanie-adresu-ip Czy zapora nie działa czy też to coś innego (maskowanie, proxy)? To już drugi przypadek próby wejścia z tego regionu, wcześniej miałem 77.82.18.203, też Rosja, Chabarowsk wg podlinkowanej strony.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
- xurc
- Wtajemniczony
- Posty: 191
- Rejestracja: wt kwie 05, 2016 10:00 am
Re: Firewall i blokowanie IP z regionu
Synology korzysta z https://www.maxmind.com/*. Oba IP wg tego serwisu należą do Rosji. Jak dla mnie sprawa do wyjaśnienia przez support. Sprawdziłbym jeszcze czy reguły są poprawnie ustawione (np. domyślną politykę dla LAN1 oraz reguły dla wszystkich interfejsów).
Jak będziesz coś więcej wiedział to daj tutaj znać.
* wg https://www.synology.com/en-global/know ... y_firewall
Jak będziesz coś więcej wiedział to daj tutaj znać.
* wg https://www.synology.com/en-global/know ... y_firewall
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
-
- Wtajemniczony
- Posty: 192
- Rejestracja: śr sty 27, 2016 12:37 pm
Re: Firewall i blokowanie IP z regionu
Moja konfiguracja wygląda tak. Jeżeli mam coś źle to proszę o podpowiedź co zmienić.
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
- xurc
- Wtajemniczony
- Posty: 191
- Rejestracja: wt kwie 05, 2016 10:00 am
Re: Firewall i blokowanie IP z regionu
Przenieś reguły "zabronione" na samą górę listy (metodą drag & drop). Powinno pomóc
EDIT: tylko nie przenoś tej co blokuje wszystko, bo siebie też zablokujesz
EDIT: tylko nie przenoś tej co blokuje wszystko, bo siebie też zablokujesz
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
-
- Wtajemniczony
- Posty: 192
- Rejestracja: śr sty 27, 2016 12:37 pm
Re: Firewall i blokowanie IP z regionu
Dziękuję. Zmieniłem kolejność choć wydaje mi się, że to nie powinno mieć znaczenia, zobaczymy. Te próby logowania to był ewidentnie bot bo odbywały się co kilka sekund, za każdym razem loginem był "admin", a ponieważ mam to konto wyłączone więc aż tak się nie martwię. Wiem, że powinienem zmienić standardowy port 5000, ale trochę mi to nie pasuje. Jakby się ataki powtórzyły to przemyślę sprawę. Raz jeszcze dziękuję za odzew.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
- xurc
- Wtajemniczony
- Posty: 191
- Rejestracja: wt kwie 05, 2016 10:00 am
Re: Firewall i blokowanie IP z regionu
Kolejność ma znaczenie. Spróbuj dodać blokowanie ICMP (ping) na samym początku listy. Sprawdź pinga z lokalnej sieci (=> nie powinno być) potem przenieś na koniec (=> serwer powinien odpowiedzieć).
ps. Tak na marginesie: Jeśli najpierw zrobisz pinga a potem dodasz ICMP na początek listy jako "blokowany", możesz zauważyć, że ping jednak dochodzi. Trzeba odczekać minutkę, zanim zacznie to działać. Dzieje się to pewnie dlatego, że system rozpoznaje takie "połączenie" jako ESTABLISHED, a takie są na samym początku listy iptables (niewidoczne w interfejsie) z regułą "allow". Jeśli zaczniesz od kolejności najpierw blokuj i test a potem odblokuj, to działa od razu.
ps. Tak na marginesie: Jeśli najpierw zrobisz pinga a potem dodasz ICMP na początek listy jako "blokowany", możesz zauważyć, że ping jednak dochodzi. Trzeba odczekać minutkę, zanim zacznie to działać. Dzieje się to pewnie dlatego, że system rozpoznaje takie "połączenie" jako ESTABLISHED, a takie są na samym początku listy iptables (niewidoczne w interfejsie) z regułą "allow". Jeśli zaczniesz od kolejności najpierw blokuj i test a potem odblokuj, to działa od razu.
Nie masz wymaganych uprawnień, aby zobaczyć pliki załączone do tego posta.
Ostatnio zmieniony pn lut 19, 2018 6:10 pm przez xurc, łącznie zmieniany 1 raz.
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
-
- Godfather
- Posty: 1318
- Rejestracja: wt gru 15, 2015 12:19 pm
- Lokalizacja: Żyrardów
Re: Firewall i blokowanie IP z regionu
Kolejność reguł w firewall ma bardzo duże znaczenie. Nie trzeba dodawać reguły blokowania wszystkiego. Wystarczy pod listą wybrać opcję "blokuj" to co nie pasuje do powyższych (czy jakoś tak).
Co do portu zarządzania to proponuje zmienić. Otwarcie tego portu na świat to bardzo duże ryzyko. Już lepiej zestaw sobie vpn przy pomocy którego będziesz mógł zarządzać synkiem.
Wysłane z mojego HTC Desire 820 przy użyciu Tapatalka
Co do portu zarządzania to proponuje zmienić. Otwarcie tego portu na świat to bardzo duże ryzyko. Już lepiej zestaw sobie vpn przy pomocy którego będziesz mógł zarządzać synkiem.
Wysłane z mojego HTC Desire 820 przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
-
- Wtajemniczony
- Posty: 192
- Rejestracja: śr sty 27, 2016 12:37 pm
Re: Firewall i blokowanie IP z regionu
Rzeczywiście kolejność reguł ma znaczenie, człowiek uczy się całe życie, dzięki za wskazówki!
Jakoś nie mogłem tego znaleźć więc zostawiłem tak jak mam. Zmieniłem natomiast zgodnie z sugestią port 5000, póki co wszystko ładnie działa. VPN oczywiście mam, ale łączę się przez niego tylko jak jestem gdzieś "w świecie" ze swoim laptopem, w pracy nie mogę używać VPN.Przemuss pisze: Nie trzeba dodawać reguły blokowania wszystkiego. Wystarczy pod listą wybrać opcję "blokuj" to co nie pasuje do powyższych (czy jakoś tak).
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
- xurc
- Wtajemniczony
- Posty: 191
- Rejestracja: wt kwie 05, 2016 10:00 am
Re: Firewall i blokowanie IP z regionu
Czyżby blokowane porty? Jeśli nie korzystasz z usług HTTPS, to proponuję wystawić VPN na porcie 443. Ten port zwykle nie jest blokowany. Ja tak się właśnie łączę przez OpenVPN. Potem już po localu do DSM, ssh i generalne cała reszta.
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
-
- Wtajemniczony
- Posty: 192
- Rejestracja: śr sty 27, 2016 12:37 pm
Re: Firewall i blokowanie IP z regionu
VPN jest super, ale dostęp przez web i tak wg mnie musi zostać: jestem np. u szwagra, nie mam swojego laptopa i co? Mam na jego maszynie stawiać OpenVPN? To samo u cioci na imieninach? A co z udostępnianiem linku lub żądaniem do pliku, mam na każdym wymusić dostęp przez VPN? Nierealne.
Wydaje mi się, że to co zrobiłem: reguły na firewallu, zmieniony port dostępu przez web, wyłączone ssh, ftp, wyłączone konto admin - powinno wystarczyć. Oczywiście nigdy nie jest się na 100% zabezpieczonym więc zobaczymy, ale z drugiej strony nie popadajmy w paranoję, serwer przede wszystkim ma być użyteczny.
Wydaje mi się, że to co zrobiłem: reguły na firewallu, zmieniony port dostępu przez web, wyłączone ssh, ftp, wyłączone konto admin - powinno wystarczyć. Oczywiście nigdy nie jest się na 100% zabezpieczonym więc zobaczymy, ale z drugiej strony nie popadajmy w paranoję, serwer przede wszystkim ma być użyteczny.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs