Многие люди задумываются о безопасности своего сервера особенно тщательно и на это есть свои причины. В этом материале я расскажу как защитить ваш сервер от внешних атак особенно тщательно с помощью SafeLine WAF фаервола
Оглавление
Введение
SafeLine WAF — это полнофункциональный веб-прикладной фаервол (WAF) с открытым исходным кодом, который вы можете развернуть на своём собственном оборудовании. Его главная философия — «самообслуживание»: вы полностью контролируете свои данные и инфраструктуру.
Мой обзор на SafeLine WAF я делал тут. Там есть и статья и видео. Единственное после того обзора компания дала больше возможностей в бесплатной версии и теперь ей можно вполне себе пользоваться. Так же добавлена версия Lite за вменяемые деньги.
SafeLine WAF я использую уже давно, есть некий опыт, которым я и хочу поделиться. Так же делаю себе на память, что бы в будущем было от чего отталкиваться самому.
В стандартной настройке безопасности NAS (Настройка безопасности Synology NAS защищаем данные от внешних угроз) фокус смещён на оборону «на стенах крепости». Мы настраиваем сложные пароли, двухфакторную аутентификацию и строгие правила фаервола именно для того, чтобы выдержать штурм, когда злоумышленник уже постучался в дверь. Эти меры критически важны, но они активируются в тот момент, когда атака уже достигла вашего сервера, потребляет его ресурсы и проверяет его устойчивость.
WAF, такой как SafeLine, кардинально меняет подход, вынося линию обороны далеко за периметр. Он действует как интеллектуальный фильтр или контрольно-пропускной пункт, который анализирует весь входящий веб-трафик до того, как тот коснётся вашего NAS. Подозрительные запросы, автоматизированные атаки на подбор паролей (брутфорс) и попытки эксплуатации уязвимостей отсекаются и блокируются на этом внешнем рубеже. Таким образом, до вашего сервера доходят только легитимные запросы, что в разы снижает нагрузку на его систему безопасности и повышает общую надёжность защиты, создавая эшелонированную оборону.
Крайне важный бонус этого подхода — разгрузка вашего основного интернет-канала. При DDoS-атаке или массовом сканировании удар принимает на себя хостинг с WAF, обладающий гораздо более широким и защищённым каналом, чем ваш домашний или офисный провайдер. В результате ваш NAS не только безопаснее, но и стабильнее, так как его канал не забивается мусорным трафиком, а используется исключительно для полезной нагрузки.
У защиты WAF есть минусы
1 — Защита только веб-трафика. Ключевое ограничение WAF — его архитектурная специализация. Он эффективно фильтрует только трафик, идущий по протоколам HTTP и HTTPS (веб-трафик). Это делает его отличным щитом для веб-интерфейсов вашего NAS, таких как панель управления DSM, Synology Photos, File Station или веб-версия Drive. Однако он полностью беспомощен перед любыми другими протоколами. Службы, работающие через специальные клиенты и собственные порты, обходят WAF. Например:
- Синхронизация файлов через клиент Synology Drive на компьютере.
- Резервное копирование через Active Backup for Business.
- Передача файлов по сетевым протоколам SMB (сетевой диск), AFP, FTP.
- Удалённое управление по SSH или доступ к базам данных.
2 — Сложность с сертификатами. Проброс портов напрямую на NAS для невеб-сервисов (Drive, SSH и т.д.) создаёт важное техническое следствие: необходимость иметь действительный SSL-сертификат для вашего домена прямо на самом NAS.
Причина в новой схеме маршрутизации:
- Ваш домен (например, nas.yourdomain.com) указывает на IP-адрес VPS с WAF.
- WAF перенаправляет веб-трафик (порт 443) на ваш NAS через зашифрованный внутренний канал. Для этого WAF нужен сертификат.
- Однако если вы хотите напрямую и безопасно (по HTTPS) получить доступ, например, к Drive клиент на ПК через тот же самый домен, минуя WAF, то этот же домен должен быть доступен и иметь сертификат на самом Synology. А для этого на самом NAS уже должен быть установлен такой же сертификат.
Это приводит к двум основным путям решения, оба сложнее стандартного получения сертификата через HTTP (порт 80):
- Использование DNS API (например, через acme.sh). Это предпочтительный автоматизированный метод. Скрипт, запущенный на NAS, будет подтверждать ваше владение доменом через API вашего регистратора (Cloudflare, reg.ru и т.д.) для выдачи бесплатного сертификата Let’s Encrypt.
- Покупка коммерческого SSL-сертификата на год с последующим ручным импортом его в панель управления Synology DSM и в конфигурацию SafeLine WAF на VPS.
Таким образом, внедрение WAF добавляет дополнительный слой инфраструктурной сложности в управление SSL-сертификатами для обеспечения сквозной безопасности.
3 — Проблемы совместимости с потоковыми сервисами и медиаконтентом. Даже при корректной настройке WAF могут возникать проблемы совместимости с отдельными сервисами, особенно с теми, что используют сложные или нестандартные способы потоковой передачи данных. Это не общий сбой, а точечная несовместимость.
Пример из практики:
- ❌ Не работают через WAF: Встроенные сервисы Synology Photos и Synology Drive для просмотра видео. Файлы загружаются, превью генерируются, но прямое воспроизведение видео в приложениях часто прерывается или не запускается.
- ✅ Отлично работают через WAF: Сторонние медиасерверы, такие как Emby, Jellyfin или Plex, а также статическое скачивание файлов через Drive или Photos.
Скорее всего, родные приложения Synology для передачи видео файлов используют дополнительные UDP-соединения, специфические методы кэширования или потоковой передачи (Chunked Transfer), которые WAF по умолчанию может неправильно интерпретировать, обрывать или перенаправлять. Сторонние медиасерверы зачастую используют более стандартизированные подходы (например, через HLS — HTTP Live Streaming), которые WAF корректно пропускает.
Этот минус наглядно показывает, что внедрение WAF может потребовать точной и индивидуальной настройки правил под конкретные сервисы. Для критически важных функций (как просмотр видео) иногда приходится искать компромисс: либо временно отключать WAF для этого сервиса, либо переносить все на прямое подключение через VPN.
Системные требования для SafeLine Community Edition
Для развертывания и работы Self-Hosted WAF SafeLine (CE) необходима следующая минимальная конфигурация:
| Компонент | Минимальные требования | Примечания и рекомендации |
|---|---|---|
| Операционная система | Linux | Требуется для работы Docker. Обычно используется Ubuntu, Debian, CentOS или AlmaLinux. |
| Архитектура процессора | x86_64 или arm64 | x86_64 для большинства VPS, arm64 для устройств на базе ARM (например, Raspberry Pi 4). |
| Инструкции процессора | Поддержка набора SSSE3 | Критически важно для x86_64. Проверить можно командой: grep ssse3 /proc/cpuinfo |
| Программные зависимости | Docker версии 20.10.14 или выше | Ядро системы. Установите по официальной инструкции. |
| Программные зависимости | Docker Compose версии 2.0.0или выше | Инструмент для оркестрации контейнеров. Часто идет в комплекте с Docker. |
| Вычислительные ресурсы | 1 ядро CPU, 1 ГБ оперативной памяти | Для тестирования или небольшой нагрузки. Для продакшена рекомендуется 2+ ядра и 2+ ГБ RAM. |
| Дисковое пространство | 5 ГБ | Для установки и работы системы. Дополнительно нужно место под логи и резервные копии конфигураций. |
🔍 Дополнительные требования для работы
- Сетевой доступ: Сервер должен иметь статический IP-адрес или динамический DNS (DDNS) и открытые порты (80/TCP, 443/TCP, 9443/TCP). Порты 80/443 для веб-трафика, 9443 — для панели управления WAF.
- Доменное имя: Желательно иметь зарегистрированное доменное имя (например,
waf.your-domain.com), чтобы на него были направлены A-записи с IP-адреса сервера. Это необходимо для правильной работы SSL-сертификатов. - Внешний хостинг (VPS): Для защиты домашнего сервера рекомендуется устанавливать SafeLine на внешний VPS-хостинг с публичным IP-адресом.
Требования достаточно лёгкие. Систему можно запустить даже на недорогом VPS-тарифе или старой мини-ПК. Главное — убедиться в поддержке SSSE3 (для x86) и свежих версиях Docker.
Я проверял на разных тарифах и обнаружил такую закономерность. На VPS с меньше чем 2ГБ ОЗУ автоматический скрипт не ставится, выдает ошибку нехватки памяти. Можно поставить вручную, но тогда будет нехватка памяти и SafeLine WAF будет работать крайне медленно и не стабильно.
Хостинг для SafeLine WAF
Хостинг VPS под эту задачу из статьи я рекомендую firstbyte.ru, с тарифом MSK-KVM-SSD, который можно настроить и добавить нужное количество ОЗУ. В месяц в Российской локации у меня выходит 239 рублей. Если нужен за пределами РФ, то можно рассмотреть Аеза. Лучше выбирать локацию исходя из вашего проживания. Согласитесь не логично подключаться к вашему серверу в РФ из РФ через Амстердам. Да и работать VPN туннель за пределы РФ не будет из-за блокировок, которые на момент написания статьи носят массовый характер.
Добавлять 2 и более ядра я особого смысла не вижу, т.к. в бесплатной версии SafeLine WAF разрешен только один поток. Но второе ядро позволит выполнять фоновые задачи и другие процессы более эффективнее чем одноядерный VPS. Тут решать вам.
Установка SafeLine WAF
Сама установка SafeLie WAF описана в документации и по факту выполняется одной командой:
bash -c "$(curl -fsSLk https://waf.chaitin.com/release/latest/manager.sh)" -- --enТам вообще ничего сложного нет, скрипт все сделает за вас.
Дальше вам нужно поднять VPN между вашим Synology NAS и VPS. Тут уже решать полностью вам как это делать. Лучше всего конечно для производительности будет Wireguard. Например, я поднял такой туннель на своем Mikrotik, но не стал весь трафик туда передавать, а маршрутизирую в туннель только тот трафик, который пришел из этого туннеля. Про это я писал тут Mikrotik как не запутаться между провайдером и VPN
В общем базируйтесь на моей статье ниже и делайте как вам нужно исходя из ваших потребностей.
Единственное отличие будет в том, что порты, которые используются на SafeLine WAF не нужно пробрасывать на фаерволе в сервер. А порты 6690, 5510 и другие TCP нужно пробрасывать в обход WAF.
Проброс портов из интернета в Synology NAS полностью не нужен в этом случаи. Трафик должен ходить через VPS на сервер по VPN туннелю. Если вы пробрасываете порты на роутере в Synology да же после настройки защиты SafeLine WAF, то вы совершаете ошибку. Вы просто обнуляете всю защиту WAF.
Настройка Synology
Настройка правил SafeLine WAF будет осуществляться в режиме проксирования. Следовательно, что бы Synology DSM видел реальный IP адрес клиента нужно ему это объяснить. Для этого откройте Панель управления — Безопасность и на первой вкладке доверительные прокси-серверы нужно добавить либо ваш IP адрес SafeLine в VPN туннели либо всю сеть VPN.
Настройка SafeLine WAF
Самым первым шагом нужно получить SSL сертификат. Это можно сделать как с помощью бесплатного Let’s Encrypt с автоматическим продлением через 90 дней, так и путем импорта купленного.
В настройках HTTP Flood активируйте лимиты по умолчанию
Теперь можно приступать к настройке Application.
Настройка app DSM
Создадим первую для DSM и ее служб.
- Тут нужно указать ваш домен, по которому вы подключаетесь к Synoloyg DSM.
- Обычно тут порты 5000 и 5001. Вы можете указать их. Я же подключаюсь по стандартным портам 80 и 443, поэтому указал такие.
- Выберите ваш SSL сертификат, если вы используете зашифрованное соединение
- Укажите IP адрес вашего сервера в вашем VPN туннели и порт по которому доступен DSM. Обычно это 5000 или 5001.
- Можно включить проверку на соединение. Тогда SafeLine WAF будет посылать один покет для проверки в минуту, чтобы знать доступен ли сервер.
Когда вы создали первое приложение оно должно выглядеть примерно так. Вам нужно включить защиту от HTTP FLOOD и от атак, а защиту BOT Protection не включайте, если вы планируете использовать мобильные приложения. Они просто не пройдут через защиту от ботов.
В настройках HTTP Flood нужно увеличить пороги срабатывания, в противный случае вы не сможете управлять сервером через DSM
Настройка app Emby
Для медиа сервера Emby делаем все то же самое, но только указываем порты 8096
Настройка app WebDAV
Для службы WebDAV все то же самые настройки, только порты 5006
Настройка app Bitwarden
Если у вас есть Bitwarden или Vaultwarden, то не забывайте и про эти особо важные службы. Единственное указывайте порты контейнеров для upstreem.
Настройка app Default
Рекомендую настроить страницу по умолчанию. Она будет открываться всем, кто попадает на ваш SafeLine WAF по ошибке или для ботов, которые заходят по IP или неверному домену. Для этого создайте не реверс прокси, а статический файл. Попросите DeepSeek или любой другой чат бот ИИ сделать вам такую HTML страницу. Не забудьте тут активировать BOT Protection. Он поможет избавиться от 90% зловредов, которые будут сканировать ваш VPS.
Например, моя страница заглушки выглядит так
Таким образом можно добавлять необходимые вам службы через SafeLine WAF
Итог
По итогу вы получите не превзойдённую систему защиты, которую еще не видел Synology NAS
В логах начнут появляться сообщения об отбитых атаках в нереально большом размере.
Теперь вы знаете как настроить мощную защиту Synology на базе SafeLine WAF
