Konfiguracja reguł zapory sieciowej (firewall)

ODPOWIEDZ
Awatar użytkownika
lepian
Wtajemniczony
Posty: 174
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa
Kontaktowanie:

Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian » wt paź 25, 2016 10:59 pm

Zapoznałem się z dokumentacją https://www.synology.com/pl-pl/knowledg ... y_firewall
Poustawiałem na razie blokady na kraje typu USA, Rosja, Chiny itp.
Macie jakieś fajne regułki do zabezpieczenia Synka? Co najmniej jeden muszę mieć wystawiony na zewnątrz bez VPN.
Blokowanie IP po kilku błędnych próbach mam włączone.
grandefortuna.pl

"Każde urządzenie będzie działać lepiej, kiedy włożysz wtyczkę do gniazdka"

Przemuss
Uczeń Mistrza
Posty: 652
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: Przemuss » śr paź 26, 2016 8:49 am

Wystawiasz jako DMZ czy przekierowane konkretne porty?
Tego pierwsze nie zalecam. W tym drugim warto pobawić sie konfiguracją routera by blokował całe zakresy dla danych krajów.
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

Awatar użytkownika
lepian
Wtajemniczony
Posty: 174
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa
Kontaktowanie:

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian » śr paź 26, 2016 6:37 pm

Wystawiam tylko potrzebne porty. Pytanie czy zapora w Synology do czegoś się nadaje czy nie zawracać sobie nią głowy . Gdzieś czytałem ze ruch z sieci lokalnej puszcza w całości. Czyli przy przekierowaniu portów wogle nie chroni bo gada sobie z routerem po lokalnej klasie adresowej.
grandefortuna.pl

"Każde urządzenie będzie działać lepiej, kiedy włożysz wtyczkę do gniazdka"

Awatar użytkownika
mikhnal
Wyrocznia
Posty: 1173
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: mikhnal » śr paź 26, 2016 8:18 pm

Domyślne ustawienia są właściwe. Jak Ty sobie to wyobrażasz, że NAS będzie domyślnie blokował ruch z sieci wewnętrznej? Przecież to urządzenie z zasady ma udostępniać swoje zasoby właśnie w sieci wewnętrznej. Blokowanie możesz sobie ręcznie ustawić.
DS3018xs
DSM 6.2.1-23824
16GB RAM DDR4 2400 CL17 ECC
6x WD Red 6TB RAID 5 btrfs
2x WD Blue M.2 250GB RAID 1 SSD Read/Write Cache @ M2D17
APC Back USP ES 700G
RT2600ac
SRM 1.1.7-6941 Update 3

Awatar użytkownika
lepian
Wtajemniczony
Posty: 174
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa
Kontaktowanie:

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian » śr paź 26, 2016 9:15 pm

Zastanawiam się czy włączać zaporę w synology i obciążać procek czy zdać się tylko na router i nie dublować firewall'a
grandefortuna.pl

"Każde urządzenie będzie działać lepiej, kiedy włożysz wtyczkę do gniazdka"

Awatar użytkownika
mikhnal
Wyrocznia
Posty: 1173
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: mikhnal » śr paź 26, 2016 10:27 pm

Możesz włączyć FW, ustaw blokowanie z zewnątrz dla Chin, Rosji, Ukrainy, USA bo stąd leci najwięcej ataków.
Masz zmienione podstawowe porty dostępowe? DSM, SSH, FTP? To podstawa podstaw ochrony.
DS3018xs
DSM 6.2.1-23824
16GB RAM DDR4 2400 CL17 ECC
6x WD Red 6TB RAID 5 btrfs
2x WD Blue M.2 250GB RAID 1 SSD Read/Write Cache @ M2D17
APC Back USP ES 700G
RT2600ac
SRM 1.1.7-6941 Update 3

Awatar użytkownika
lepian
Wtajemniczony
Posty: 174
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa
Kontaktowanie:

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian » śr paź 26, 2016 10:59 pm

SSH i FTP na zewnątrz to proszenie się o kłopoty, ja katuje userów File Station przez www+ssl
w miarę się sprawdza. 30 userów ogólnie i jednocześnie 4-5 online. Blokady geo lokalizacyjne ustawiłem. Zastanawiam się jak jeszcze uszczelnić system.
grandefortuna.pl

"Każde urządzenie będzie działać lepiej, kiedy włożysz wtyczkę do gniazdka"

Przemuss
Uczeń Mistrza
Posty: 652
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: Przemuss » czw paź 27, 2016 3:57 pm

Nawet dla sieci lokalnej warto zdefiniować na co ma synek odpowiadać. Osobiście mam tak ustawione iż odblokowałem tylko konkretne porty, a reszta jest wycięta. Natomiast wszystkie porty są dostępne na adres służbowego kompa. Natomiast jeden z synków jest dostępny dla konkretnych adresów IP.
Także możliwości są bardzo duże. Trzeba to tylko ustawić we właściwej kolejności jak to w regułach firewall-a.

Co do blokowania tego co zewnątrz. Czasem łatwiej jest zdefiniować dla kogo ma być widoczny niż kogo ma blokować.
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

Awatar użytkownika
lepian
Wtajemniczony
Posty: 174
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa
Kontaktowanie:

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian » czw paź 27, 2016 9:27 pm

Czyli ustawiam regułkę porty dopuszczonych usług + klasę adresową sieci wewnętrznej na akceptuj i zezwól na interfejsie LAN
i Jeśli żadna reguła nie pasuje ustawiam odmów dostępu. Jak dobrze rozumiem to mi przefiltruje sieć lokalną.
grandefortuna.pl

"Każde urządzenie będzie działać lepiej, kiedy włożysz wtyczkę do gniazdka"

Przemuss
Uczeń Mistrza
Posty: 652
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: Przemuss » pt paź 28, 2016 9:18 am

Jak dobrze ustawisz reguły to odsiejesz zbędny ruch do synka.
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676

ODPOWIEDZ