Polskie Forum Synology

nie ma warunku "wszystko inne"
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.

reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology

SnejX pisze:nie ma warunku "wszystko inne"
"wszystko inne" czyli to co nie dopasowało się do wcześniejszych reguł.

reguły od dołu? tzn że "zabroń wszystko" powinno być na górze tej listy? - no i dobrze napisałem, że nie znam reguł jakimi w firewallu kieruje się Synology

Ależ oczywiście, że jest warunek „wszystko inne” - jest dostępny po wyborze konkretnego interfejsu - możesz zabronić lub pozwolić na ruch, który nie spełnia warunków zapory. Warunki są sprawdzane od pierwszego na górze do ostatniego na dole, a następnie od najwyższego w konkretnym interfejsie do najniższego w wybranym interfejsie sieciowym.

Więc tak:
Domeny brak a aktualnie reguły zapory są wyłączone.

Wyniki logowania:
Logowanie poza siecią LAN:

• przez QuickConnect (www.quickconnect.to) = działa. Jestem widoczny pod zewnętrznym adresem IP (połączenie przez router w komórce),

• przez VPN = działa. Loguję się do serwera, który ma IP w LANie 192.168.0.11. Jestem widoczny jako 10.0.0.1.

Logowanie we fizycznym obrębie sieci LAN:

• bezpośrednio poprzez IP serwera 192.168.0.11 = działa. Jestem widoczny pod adresem 192.168.0.115 (DHCP),

• przez QuickConnect = działa. Z automatu przełącza się na IP serwera 192.168.0.11. Widoczny jestem pod adresem 192.168.0.115 (DHCP)

EDIT: przedtem mi nie przełączało na wewnętrzne IP. Teraz już jest git.

Docelowo chciałbym:

• ograniczyć połączenia Synology Drive do obszaru Polski,

• ograniczyć logowanie do DSM do:

• • jednego zewnętrznego stałego adresu IP (dla przykładu niech będzie 213.180.141.140),

• • sieci lokalnej (192.168.0.1-254),

• • możliwości zalogowania poprzez VPN (dynamiczna pula 10.0.0.0),

• • resztę jakichkolwiek połączeń wyciąć.

Może ktoś da screena? Bo ustawiam i ustawiam i działać nie chce. Jeżeli u kogoś zadziała a u mnie nie, to będzie oznaczało, że mam coś nakopane w ustawieniach.

A tak?
niestety nie mam dostępu przez QC. Loguję się z Windowsa poprzez VPN i wtedy po sieci lokalnej.
- ograniczyłem dostęp tylko do obszaru Polski z uwzględnieniem portu 5000 (DSM HTTP), 5001 (DSM HTTPS), 6690 (Synology Drive Server), oraz 1723 (VPN) za pomocą wyboru aplikacji w polu wyboru,
- wpisałem swoje stałe IP, z którego korzysta Synology.

Dobrze myślę?

Dodam, że Synology Drive Client działa. VPN też. Ale QC przez www.quickconnect.to już nie. Ręce mi już opadają.

Jak wyłączę blokadę dla wszystkiego (najniższa reguła), to QC działa. Zauważyłem, że w Panelu sterowania wchodząc do zakładki QuickConnect, momentalnie pyta się, czy wprowadzić ustawienia do firewalla na zasadzie: 5000, 5001, 6690 dla wszystkich protokołów i zewsząd. Reguła pojawia się na samej górze. Wtedy QC działa.

Nic w tym dziwnego, QC wymaga połączenia z serwerami spoza geoip Polski.
Ustawiłeś w pierwszej regule ruch tylko z Polski, później dopuściłeś sieć lokalną i zblokowałeś jakikolwiek pozostały ruch.

OK. Teraz już kumam. Faktycznie swojego czasu podczas logowania przez QuickConnect w adresie było "de". Teraz jest dodawany człon "cz2" czyli adres wygląda: "moja nazwa QC".cz2.quickconnect.to. Jak dodałem Czechy do reguły, to już mogę się zalogować bez problemu.
Tylko jeszcze jedna sprawa mnie nurtuje. Będąc poza siecią lokalną na terenie Polski nie mam dostępu do DSM (gdy nie mam reguły zezwalającej na Czechy) --> OK, niechaj tak będzie (na marginesie, ciekawe, czy można wskazać bezpośrednio czeski serwer jako regułę???). Ale jakim cudem Synology Drive Client na laptopie będąc w Polsce ma dostęp do serwera Synology (port 6690)?. Rozumiem, że ten ruch też idzie przez serwery Synology, więc powinno lecieć przez Czechy.

Jeszcze jedno pytanie. Czyli używając QuickConnect jest sens ustawiać firewalla, skoro to i tak przechodzi przez serwery Synology? Mam u siebie przekierowane dwa porty pod HyperBackup i VPN. Parę dni temu ktoś mnie skanował z Rosji (przynajmniej tak mi pokazało). Po paru próbach IP tychże towarzyszy zostało dodane do czarnej listy.