Konfiguracja zapory sieciowej z serwerze Synology
- FloydKulis
- Amator
- Posty: 55
- Rejestracja: ndz paź 06, 2019 10:18 pm
-
- Zawsze On-Line
- Posty: 519
- Rejestracja: ndz sty 24, 2016 10:46 am
Re: Konfiguracja zapory sieciowej z serwerze Synology
Utwórz regułę przepuszczającą ruch pomiędzy siecią w której stoi NAS, a interfejsem sieciowym Docker’a.
Adresacje sieci dockera znajdziesz w aplikacji w sekcji „sieć”.
Adresacje sieci dockera znajdziesz w aplikacji w sekcji „sieć”.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
-
- Amator
- Posty: 33
- Rejestracja: śr maja 17, 2023 4:18 pm
Re: Konfiguracja zapory sieciowej z serwerze Synology
Troche odkopie temat. Napotkałem ten wątek i zacząłem się bawić Firewall'em ale to co napisał kolega wyżej mnie zaniepokoiło. Chciałbym żeby mój NAS sam się aktualizował lub chociaż informował mnie że aktualizacje są dostępne. Przy ustawieniu jak z pierwszego posta tego wątku czyli lokalne IP/VPN IP/PL IP zezwól reszta nie oznacza że nie będzie autoaktualizacji?look12 pisze: ↑sob mar 07, 2020 7:37 pm Skonfiguruj DDNS zamiast QC i nie będziesz musiał przerzucać zapytań do serwerów Synology.
Odpowiadając na pytanie, czy można dopuścić serwer QC zamiast podawać geoip kraju w którym się znajduje serwer - tak można, trzeba poznać adres IP serwera i skonfigurować zaporę dopuszczając adres IP.
Bardzo krytycznie konfigurujesz NAS’a przy okazji wycinasz autoupdate aplikacji i DSM.
-
- Zawsze On-Line
- Posty: 519
- Rejestracja: ndz sty 24, 2016 10:46 am
Konfiguracja zapory sieciowej z serwerze Synology
Musisz dopuścić ruch z serwerów aktualizacji.
Tu masz wykaz nazw serwerów z jakimi łączy się DSM:
https://kb.synology.com/pl-pl/DSM/tuto ... g_software
Po rozwiązaniu nazwy na IP możesz skonfigurować ruch zapory. Tyle, że istnieje ryzyko, że adres IP serwera może ulec zmianie przy zachowaniu przyjaznej nazwy domenowej.
Tu masz wykaz nazw serwerów z jakimi łączy się DSM:
https://kb.synology.com/pl-pl/DSM/tuto ... g_software
Po rozwiązaniu nazwy na IP możesz skonfigurować ruch zapory. Tyle, że istnieje ryzyko, że adres IP serwera może ulec zmianie przy zachowaniu przyjaznej nazwy domenowej.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
-
- Amator
- Posty: 33
- Rejestracja: śr maja 17, 2023 4:18 pm
Re: Konfiguracja zapory sieciowej z serwerze Synology
Jaka jest powszechna praktyka w tym temacie? Zostawić jak jest, wyłączyć firewall bo mam w routerze czy jednak bawić się w dopuszczenie tych IP?look12 pisze:Musisz dopuścić ruch z serwerów aktualizacji.
Tu masz wykaz nazw serwerów z jakimi łączy się DSM:
https://kb.synology.com/pl-pl/DSM/tuto ... g_software
Po rozwiązaniu nazwy na IP możesz skonfigurować ruch zapory. Tyle, że istnieje ryzyko, że adres IP serwera może ulec zmianie przy zachowaniu przyjaznej nazwy domenowej.
Sent from my SM-G781B using Tapatalk
-
- Zawsze On-Line
- Posty: 519
- Rejestracja: ndz sty 24, 2016 10:46 am
Konfiguracja zapory sieciowej z serwerze Synology
W mój poprzedni post wkradł się skrót myślowy. Opis był odniesieniem się do wpisu w zaporze dopuszczającego ruch w obu kierunkach tylko z adresacji geoip PL (w tym konkretnym przypadku skonfigurowanym na NAS). W tym kontekście była informacja o wpisaniu serwerów aktualizacji do zapory i to może być mylące.
Ale do rzeczy, jak najbardziej warto włączyć zaporę na NAS, nawet jeżeli znajduje się w sieci lokalnej, a już obowiązkowo gdy NAS zostanie wystawiony w DMZ.
W sieci lokalnej do uznania i w ramach potrzeb dopuszczasz ruch lokalny ograniczając do konkretnych usług lub nie.
Jeżeli nie wystawiasz usług NAS bezpośrednio w Internecie (tj. poprzez przekierowanie portów na routerze), to ograniczenie geoip nie ma większego znaczenia. Ruch przychodzący z Internetu nie dotrze do NAS’a (o ile nie zostało przejęte jakieś urządzenie w sieci lokalnej, które otwiera drogę do nawiązania połączeń z innymi urządzeniami w sieci LAN - dlatego można rozważyć ograniczenie dostępu do NAS do konkretnych usług w sieci LAN, a jeżeli uznasz że jest to istotne, to do konkretnych urządzeń).
Jeżeli NAS nie jest zablokowany na routerze, jako urządzenie które nie ma dostępu do Internetu i nie blokujesz na NAS ruchu po https, to serwer zaktualizuje się zgodnie z polityką skonfigurowaną na urządzeniu. Nie musisz niczego nadzwyczajnego konfigurować w zaporze. NAS zainicjuje połączenie wychodzące i jeżeli po drodze nie napotka blokady zrobi co trzeba.
Ale do rzeczy, jak najbardziej warto włączyć zaporę na NAS, nawet jeżeli znajduje się w sieci lokalnej, a już obowiązkowo gdy NAS zostanie wystawiony w DMZ.
W sieci lokalnej do uznania i w ramach potrzeb dopuszczasz ruch lokalny ograniczając do konkretnych usług lub nie.
Jeżeli nie wystawiasz usług NAS bezpośrednio w Internecie (tj. poprzez przekierowanie portów na routerze), to ograniczenie geoip nie ma większego znaczenia. Ruch przychodzący z Internetu nie dotrze do NAS’a (o ile nie zostało przejęte jakieś urządzenie w sieci lokalnej, które otwiera drogę do nawiązania połączeń z innymi urządzeniami w sieci LAN - dlatego można rozważyć ograniczenie dostępu do NAS do konkretnych usług w sieci LAN, a jeżeli uznasz że jest to istotne, to do konkretnych urządzeń).
Jeżeli NAS nie jest zablokowany na routerze, jako urządzenie które nie ma dostępu do Internetu i nie blokujesz na NAS ruchu po https, to serwer zaktualizuje się zgodnie z polityką skonfigurowaną na urządzeniu. Nie musisz niczego nadzwyczajnego konfigurować w zaporze. NAS zainicjuje połączenie wychodzące i jeżeli po drodze nie napotka blokady zrobi co trzeba.
DS916+ /7.1-42661/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
DS112+ /6.2.4-25556/
RT2600ac /SRM 1.3-9193/
-
- Amator
- Posty: 33
- Rejestracja: śr maja 17, 2023 4:18 pm
Re: Konfiguracja zapory sieciowej z serwerze Synology
Dzięki za informacje! Wobec tego włączam zaporę
Sent from my SM-G781B using Tapatalk
Sent from my SM-G781B using Tapatalk