Firewall i blokowanie IP z regionu

[wlodekh]

Mam na firewallu włączone blokowanie IP z Rosji, a dziś dostałem komunikat, że po 5. nieudanych logowaniach został zablokowany adres 95.70.0.46, który chyba jednak jest z Rosji, sprawdzałem tu: http://www.moje-ip.eu/sprawdzanie-adresu-ip Czy zapora nie działa czy też to coś innego (maskowanie, proxy)? To już drugi przypadek próby wejścia z tego regionu, wcześniej miałem 77.82.18.203, też Rosja, Chabarowsk wg podlinkowanej strony.

[xurc]

Synology korzysta z https://www.maxmind.com/*. Oba IP wg tego serwisu należą do Rosji. Jak dla mnie sprawa do wyjaśnienia przez support. Sprawdziłbym jeszcze czy reguły są poprawnie ustawione (np. domyślną politykę dla LAN1 oraz reguły dla wszystkich interfejsów).

Jak będziesz coś więcej wiedział to daj tutaj znać.

* wg https://www.synology.com/en-global/know ... y_firewall

[wlodekh]

Moja konfiguracja wygląda tak. Jeżeli mam coś źle to proszę o podpowiedź co zmienić.

[xurc]

Przenieś reguły "zabronione" na samą górę listy (metodą drag & drop). Powinno pomóc

EDIT: tylko nie przenoś tej co blokuje wszystko, bo siebie też zablokujesz

[wlodekh]

Dziękuję. Zmieniłem kolejność choć wydaje mi się, że to nie powinno mieć znaczenia, zobaczymy. Te próby logowania to był ewidentnie bot bo odbywały się co kilka sekund, za każdym razem loginem był "admin", a ponieważ mam to konto wyłączone więc aż tak się nie martwię. Wiem, że powinienem zmienić standardowy port 5000, ale trochę mi to nie pasuje. Jakby się ataki powtórzyły to przemyślę sprawę. Raz jeszcze dziękuję za odzew.

[xurc]

Kolejność ma znaczenie. Spróbuj dodać blokowanie ICMP (ping) na samym początku listy. Sprawdź pinga z lokalnej sieci (=> nie powinno być) potem przenieś na koniec (=> serwer powinien odpowiedzieć).

ps. Tak na marginesie: Jeśli najpierw zrobisz pinga a potem dodasz ICMP na początek listy jako "blokowany", możesz zauważyć, że ping jednak dochodzi. Trzeba odczekać minutkę, zanim zacznie to działać. Dzieje się to pewnie dlatego, że system rozpoznaje takie "połączenie" jako ESTABLISHED, a takie są na samym początku listy iptables (niewidoczne w interfejsie) z regułą "allow". Jeśli zaczniesz od kolejności najpierw blokuj i test a potem odblokuj, to działa od razu.

[Przemuss]

Kolejność reguł w firewall ma bardzo duże znaczenie. Nie trzeba dodawać reguły blokowania wszystkiego. Wystarczy pod listą wybrać opcję "blokuj" to co nie pasuje do powyższych (czy jakoś tak).
Co do portu zarządzania to proponuje zmienić. Otwarcie tego portu na świat to bardzo duże ryzyko. Już lepiej zestaw sobie vpn przy pomocy którego będziesz mógł zarządzać synkiem.

Wysłane z mojego HTC Desire 820 przy użyciu Tapatalka

[wlodekh]

Rzeczywiście kolejność reguł ma znaczenie, człowiek uczy się całe życie, dzięki za wskazówki!

Nie trzeba dodawać reguły blokowania wszystkiego. Wystarczy pod listą wybrać opcję "blokuj" to co nie pasuje do powyższych (czy jakoś tak).

Jakoś nie mogłem tego znaleźć więc zostawiłem tak jak mam. Zmieniłem natomiast zgodnie z sugestią port 5000, póki co wszystko ładnie działa. VPN oczywiście mam, ale łączę się przez niego tylko jak jestem gdzieś "w świecie" ze swoim laptopem, w pracy nie mogę używać VPN.

[xurc]

w pracy nie mogę używać VPN.

Czyżby blokowane porty? Jeśli nie korzystasz z usług HTTPS, to proponuję wystawić VPN na porcie 443. Ten port zwykle nie jest blokowany. Ja tak się właśnie łączę przez OpenVPN. Potem już po localu do DSM, ssh i generalne cała reszta.

[wlodekh]

VPN jest super, ale dostęp przez web i tak wg mnie musi zostać: jestem np. u szwagra, nie mam swojego laptopa i co? Mam na jego maszynie stawiać OpenVPN? To samo u cioci na imieninach? A co z udostępnianiem linku lub żądaniem do pliku, mam na każdym wymusić dostęp przez VPN? Nierealne.
Wydaje mi się, że to co zrobiłem: reguły na firewallu, zmieniony port dostępu przez web, wyłączone ssh, ftp, wyłączone konto admin - powinno wystarczyć. Oczywiście nigdy nie jest się na 100% zabezpieczonym więc zobaczymy, ale z drugiej strony nie popadajmy w paranoję, serwer przede wszystkim ma być użyteczny.