Polskie Forum Synology

Zapoznałem się z dokumentacją https://www.synology.com/pl-pl/knowledg ... y_firewall
Poustawiałem na razie blokady na kraje typu USA, Rosja, Chiny itp.
Macie jakieś fajne regułki do zabezpieczenia Synka? Co najmniej jeden muszę mieć wystawiony na zewnątrz bez VPN.
Blokowanie IP po kilku błędnych próbach mam włączone.

Wystawiasz jako DMZ czy przekierowane konkretne porty?
Tego pierwsze nie zalecam. W tym drugim warto pobawić sie konfiguracją routera by blokował całe zakresy dla danych krajów.

Wystawiam tylko potrzebne porty. Pytanie czy zapora w Synology do czegoś się nadaje czy nie zawracać sobie nią głowy . Gdzieś czytałem ze ruch z sieci lokalnej puszcza w całości. Czyli przy przekierowaniu portów wogle nie chroni bo gada sobie z routerem po lokalnej klasie adresowej.

Domyślne ustawienia są właściwe. Jak Ty sobie to wyobrażasz, że NAS będzie domyślnie blokował ruch z sieci wewnętrznej? Przecież to urządzenie z zasady ma udostępniać swoje zasoby właśnie w sieci wewnętrznej. Blokowanie możesz sobie ręcznie ustawić.

Zastanawiam się czy włączać zaporę w synology i obciążać procek czy zdać się tylko na router i nie dublować firewall'a

Możesz włączyć FW, ustaw blokowanie z zewnątrz dla Chin, Rosji, Ukrainy, USA bo stąd leci najwięcej ataków.
Masz zmienione podstawowe porty dostępowe? DSM, SSH, FTP? To podstawa podstaw ochrony.

SSH i FTP na zewnątrz to proszenie się o kłopoty, ja katuje userów File Station przez www+ssl
w miarę się sprawdza. 30 userów ogólnie i jednocześnie 4-5 online. Blokady geo lokalizacyjne ustawiłem. Zastanawiam się jak jeszcze uszczelnić system.

Nawet dla sieci lokalnej warto zdefiniować na co ma synek odpowiadać. Osobiście mam tak ustawione iż odblokowałem tylko konkretne porty, a reszta jest wycięta. Natomiast wszystkie porty są dostępne na adres służbowego kompa. Natomiast jeden z synków jest dostępny dla konkretnych adresów IP.
Także możliwości są bardzo duże. Trzeba to tylko ustawić we właściwej kolejności jak to w regułach firewall-a.

Co do blokowania tego co zewnątrz. Czasem łatwiej jest zdefiniować dla kogo ma być widoczny niż kogo ma blokować.

Czyli ustawiam regułkę porty dopuszczonych usług + klasę adresową sieci wewnętrznej na akceptuj i zezwól na interfejsie LAN
i Jeśli żadna reguła nie pasuje ustawiam odmów dostępu. Jak dobrze rozumiem to mi przefiltruje sieć lokalną.

Jak dobrze ustawisz reguły to odsiejesz zbędny ruch do synka.