Konfiguracja reguł zapory sieciowej (firewall)

ODPOWIEDZ
Awatar użytkownika
lepian
Wtajemniczony
Posty: 160
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa

Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian »

Zapoznałem się z dokumentacją https://www.synology.com/pl-pl/knowledg ... y_firewall
Poustawiałem na razie blokady na kraje typu USA, Rosja, Chiny itp.
Macie jakieś fajne regułki do zabezpieczenia Synka? Co najmniej jeden muszę mieć wystawiony na zewnątrz bez VPN.
Blokowanie IP po kilku błędnych próbach mam włączone.
Przemuss
Wyrocznia
Posty: 1086
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: Przemuss »

Wystawiasz jako DMZ czy przekierowane konkretne porty?
Tego pierwsze nie zalecam. W tym drugim warto pobawić sie konfiguracją routera by blokował całe zakresy dla danych krajów.
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Awatar użytkownika
lepian
Wtajemniczony
Posty: 160
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian »

Wystawiam tylko potrzebne porty. Pytanie czy zapora w Synology do czegoś się nadaje czy nie zawracać sobie nią głowy . Gdzieś czytałem ze ruch z sieci lokalnej puszcza w całości. Czyli przy przekierowaniu portów wogle nie chroni bo gada sobie z routerem po lokalnej klasie adresowej.
Awatar użytkownika
mikhnal
Jedi of Synology
Posty: 1937
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: mikhnal »

Domyślne ustawienia są właściwe. Jak Ty sobie to wyobrażasz, że NAS będzie domyślnie blokował ruch z sieci wewnętrznej? Przecież to urządzenie z zasady ma udostępniać swoje zasoby właśnie w sieci wewnętrznej. Blokowanie możesz sobie ręcznie ustawić.
DS3018xs
DSM 6.2.4-25556
2x 16GB RAM KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3400 read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x SilverStone FW91 fan mod
RT2600ac + MR2200ac
SRM 1.2.4-8081 Update 2
Awatar użytkownika
lepian
Wtajemniczony
Posty: 160
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian »

Zastanawiam się czy włączać zaporę w synology i obciążać procek czy zdać się tylko na router i nie dublować firewall'a
Awatar użytkownika
mikhnal
Jedi of Synology
Posty: 1937
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: mikhnal »

Możesz włączyć FW, ustaw blokowanie z zewnątrz dla Chin, Rosji, Ukrainy, USA bo stąd leci najwięcej ataków.
Masz zmienione podstawowe porty dostępowe? DSM, SSH, FTP? To podstawa podstaw ochrony.
DS3018xs
DSM 6.2.4-25556
2x 16GB RAM KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3400 read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x SilverStone FW91 fan mod
RT2600ac + MR2200ac
SRM 1.2.4-8081 Update 2
Awatar użytkownika
lepian
Wtajemniczony
Posty: 160
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian »

SSH i FTP na zewnątrz to proszenie się o kłopoty, ja katuje userów File Station przez www+ssl
w miarę się sprawdza. 30 userów ogólnie i jednocześnie 4-5 online. Blokady geo lokalizacyjne ustawiłem. Zastanawiam się jak jeszcze uszczelnić system.
Przemuss
Wyrocznia
Posty: 1086
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: Przemuss »

Nawet dla sieci lokalnej warto zdefiniować na co ma synek odpowiadać. Osobiście mam tak ustawione iż odblokowałem tylko konkretne porty, a reszta jest wycięta. Natomiast wszystkie porty są dostępne na adres służbowego kompa. Natomiast jeden z synków jest dostępny dla konkretnych adresów IP.
Także możliwości są bardzo duże. Trzeba to tylko ustawić we właściwej kolejności jak to w regułach firewall-a.

Co do blokowania tego co zewnątrz. Czasem łatwiej jest zdefiniować dla kogo ma być widoczny niż kogo ma blokować.
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Awatar użytkownika
lepian
Wtajemniczony
Posty: 160
Rejestracja: wt paź 25, 2016 2:46 am
Lokalizacja: W-wa

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: lepian »

Czyli ustawiam regułkę porty dopuszczonych usług + klasę adresową sieci wewnętrznej na akceptuj i zezwól na interfejsie LAN
i Jeśli żadna reguła nie pasuje ustawiam odmów dostępu. Jak dobrze rozumiem to mi przefiltruje sieć lokalną.
Przemuss
Wyrocznia
Posty: 1086
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Konfiguracja reguł zapory sieciowej (firewall)

Post autor: Przemuss »

Jak dobrze ustawisz reguły to odsiejesz zbędny ruch do synka.
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
ODPOWIEDZ