My Synology
Nu heb je zo’n mooie NAS met allerlei belangrijke data erop. Misschien wel met van die mooie selfies of andere foto’s die anderen in de iCloud zetten. Nu wil je het liefst natuurlijk dat niemand daarbij kan komen. Je zal de juiste rechten inmiddels wel gezet hebben en misschien op je router wat NAT rules aangemaakt hebben, maar je kan natuurlijk ook altijd nog even de firewall van je NAS instellen.
Heel moeilijk is het allemaal niet, maar je moet geen foutje maken omdat je je daardoor buiten kunt sluiten. Onderstaande stappen helpen je misschien op weg waarbij je minimaal risico loopt. (daarom de 4 sterren)
Even in het kort wat we gaan doen:
- We gaan als eerste zorgen dat je jezelf niet kan buitensluiten
- Daarna gaan we alles dichtzetten (met uitzondering van jezelf)
- En als laatste gaan we beslissen wat we vanaf het internet open willen zetten.
- Als eerste gaan we het Configuratiescherm openen
- Open nu het gele Beveiliging symbooltje (geel schildje)
- De tweede tab brengt je bij de Firewall instellingen
- Heb je meerdere netwerk aansluitingen in gebruik selecteer dat de interface die je wilt gaan beveiligen:
Interface kiezen (Rechts > Dropdown)
- Maak nu een nieuwe regel aan door op het woord “Maken” te drukken.
- De eerste regel is belangrijk want die gaat er voor zorgen dat je jezelf niet gaat blocken.
Firewall regel aanmaken
- Poorten: Geef hier “Alles” aan (we willen dat er nog even niets geblockt wordt)
- Bron IP: Kies voor “Specifiek ip” en daarna op de klop “Selecteren” (zie afbeelding “IP Range aangeven”)
Voer nu bij “Ip-bereik” je IP range in. (vermoedelijk 192.168.X.X of 10X.X.X)
Je kan je IP range achterhalen op een Windows PC door in start “CMD” in te geven en Enter te drukken. Je krijgt nu een DOS-Prompt. Hier voer je “IPCONFIG” in, pak nu het IPV4 address en geef bij bij dit voorbeeld 10.3.0.1 aan dat het Van: 10.3.0.0 aan Tot: 10.3.0.255 in.
IP adres opzoeken
- Actie: Deze laat je gewoon op “Toestaan” staan.
IP Range aangeven
- Druk op “OK” en je komt op het scherm van stap 4
- Onderaarn het scherm kan je de instelling nu op “Toegang weigeren” zetten
Alles blokkeren
- Je hebt nu alles geblokkeerd behalve je eigen netwerk. Vanaf het internet kan je er nu niet meer bijkomen. Je kan nu weer bij stap 5 beginnen. En kan je de een nieuwe regel aanmaken waarbij je een poort “aangepast” of service “kiezen uit een lijst met ingebouwde toepassingen“. Als je vanaf het internet wilt verbinden kan je het beste bij Bron-IP aangeven dat je “Alles” wilt toelaten.
Welke poort hoort bij wat?
Wanneer je wilt weten welke poort bij welke service hoort dan kan je altijd kijken naar de post van Critonline. Hier kan je per service de poort terugvinden. Wanneer je uit de lijst kiest met “kiezen uit een lijst met ingebouwde toepassingen” dan zullen direct de juiste poorten gekozen worden. Let goed op dat je de poorten ook NAT op je router, want anders kan je er vanaf het internet nog niet bij.
Volgorde van regels
Wanneer er iemand verbinding probeert te maken met je NAS, dan zullen alle regels langsgelopen worden. Je Firewall checkt als eerste de bovenste regel, wanneer deze niet van toepassing is, dan gaat de tweede regel tellen, en zo verder. Als laatst wordt er gekeken naar hetgeen je hebt ingesteld bij punt 8 uit het stappenplan.
Mocht je nu niet precies weten hoe je een bepaalde instelling moet maken laat het dan even weten in de reacties hieronder (vergeet mij niet te noemen in het bericht, anders wordt ik niet op de hoogte gebracht), zodat ik eventueel kan helpen.
Aanvulling:
Even een aanvulling.. hou er rekening mee dat als je de synology DHCP server gebruikt een aparte firewallregel maakt zonder region instelling. deze regel moet je op all zetten anders werkt DHCP server niet meer
Ronald, Ga je bij je firewallinstelling ervan uit dat de dhcp ergens anders dan op de NAS draait? De DHCP draait nu ook op mijn NAS en mijn inziens als ik tracht verbinding te maken met de NAS lukt dat dus niet.
Hallo Bernard, bedankt voor je reactie. In een andere post over het blokkeren van landen (http://mysynology.nl/bepaalde-landen-blokkeren-via-de-synology-firewall/) stond het volgende al aangegeven, maar zal het hier ook nog even onder in de post opnemen: “hou er rekening mee dat als je de synology DHCP server gebruikt een aparte firewall regel maakt zonder region instelling. deze regel moet je op all zetten anders werkt DHCP server niet meer”
Ok, ik zal het een en ander conform je advies aanpassen. Naar ik aanneem geldt dit dan ook voor de DNS server?
Ik denk dat ik je vraag iets te snel gelezen heb, excuses daarvoor. Maar mogelijk de oplossing:
Accepteer poort 67+68 van “any” naar je DS.
Waarom:
Wanneer een client voor de eerste keer verbinding maakt via DHCP dan komt het eerste pakket van IP 0.0.0.0
Dit IP adres wordt niet bekeken door je firewall en zal daarom geblockt worden.
Is dit te zien als een methode om hele IP-ranges te blokken? Ik zie nu in mijn blok-list dat van bepaalde ranges telkens met een volgend nummer wordt geprobeerd om binnen te komen. Ik draai een ftp-,web- en mail server, het lijkt mij dus niet verstandig om alles dicht te zetten en alleen intern toe te staan.
Misschien dat je kan achterhalen uit welk land die Range komt. Dan hoef je alleen maar dat land te blokkeren en ben je al klaar!
offtopic: Ha… moest je ook even updaten? De server was een tijdje uit de lucht.;-)
ontopic: achterhalen welk land is een makkie met een ip-trace. Alleen om nou heel China uit te sluiten om één boefje en ook de USA… da’s schieten met een kanon op een mug.
Ik deed het nu zo en vraag je oordeel: Ik maakte een firewallregel aan met “alle poorten” specifiek IP en dan de range en als regel weigeren. Onderdaan het hoofdscherm zette ik alles wat niet voldoet aan de regels op doorlaten. Ik geloof dat ik het begin te snappen…
Hoi Ulco,
Klopt helemaal… moest ook even mijn NAS van een update voorzien.
Wat betreft je vraag. ik doe het precies andersom. Ik sluit alles af en laat alleen door waarvan ik wil dat het doorgelaten wordt. Zo kan ik precies in mijn firewall zien wat kan. Dit lijkt mij toch nog wat veiliger dan het andersom te doen. Dus eigenlijk zoals ik in het artikel al aangaf.
Ronald,
Ik was er diepgaand mee bezig, sloot ranges uit op mijn LAN1 interface, het leek te werken. Totdat ik 5.1 installeerde… wat blijkt, daar wordt bij mij op level “algemeen” een firewallregel toegevoegd, waarin de tijdens de installatie aangegeven poorten open worden gezet.
DSM laat de algemene regel voorgaan op de interface-specifieke, dus hielpen mijn regels niet meer. Ik heb nu de landuitsluiting en de uitsluiting van een paar ranges naar het algemeen-level verplaatst en daar bovenaan gezet, want ook daat bepaald de volgorde nog ’s de prioriteit. Dus eerst kijken of het uit het geblokkeerde land komt (weigeren) of uit een van de opgegeven ranges (ook weigeren) en dan de “eigen” synologyregel (als toestaan).
Het lijkt nu weer dicht te zitten. Zo niet, zul je nog van me lezen. Het leek me wel een interessante toevoeging!
Hey Ronald,
Thx voor de inleiding in het opzetten van firewall regels! Ik heb nu al 2 jaar mijn NAS en gebruikte die tot zonet zonder firewall regels omdat ik het nooit nodig achtte. Ik ben misschien geen techie, maar ik leer het wel snel.
Ronald, volgens mij is een deel van de tekst (item 4 t/m 6) weggevallen. Is dit nog te achterhalen?
Hoi, goeie berichten, om de firewall aan te zetten.
Nu heb ik alleen mn Nas als backup systeem aan staan, op een tuis netwerk achter de router van de provider. Mn lokale netwerk IP ken ik wel. Maar ik draai ook een sync naar cloud space.
Nu weet ik niet of deze een bepaald adres of poort gebruikt. aangezien deze dus wel naar t internet gaat.
Ik wil dus alleen de IP’s van mn lokale PCs toe staan. en wat moet ik doen tbv de cloud toegang.