Файрволл или Брандмауэр или Firewall как вы его не назовите, но сути это не меняет. Это защита работающая на сетевом уровне для защиты вашего сервера или просто ПК от несанкционированного доступа, от атак. Я расскажу как настраивать этот файрволл на Synology NAS что бы свести к минимуму атаки на ваше устройство из сети Интернет.
Любой компьютер или сервер любое устройство в сети интернет может соединиться с любым устройством так же подключенным к этой сети. В этом и заключается вся суть сети Интернет, глобальная связь между всеми устройствами. Я не буду в этой статье вдаваться в принципы работы IP сетей скажу только одно, зловреды постоянно сканируют сеть в поисках незащищенных устройств, что бы попытаться получить к ним доступ. Для чего? не важно, это на совести создателей этих самых зловредов их еще называют ботами.
Как только зловреды найдут ваш сервер они начинают подбирать пароли или пытаться воспользоваться уязвимостями, которые еще не устранили, а таких бывает много, особенно если не обновлять систему.
Основная масса этих ботов расположена не в нашей стране, как правило это Китай, Полистина, Амстердам. Но это не единственные страны где обитают эти зловреды.
Мой опыт борьбы с ботами довольно обширный, в своем распоряжении я имею несколько десятков серверов, которые видны в интернете и когда дело дошло до Synology я сразу смекнул что надо делать. Нужно закрыть наш Synology фаерволом, но так что бы я сам мог спокойно к нему подключаться через интернет.
Можно долго и упорно блокировать на файрволле каждый IP адрес, который пытается взломать ваш сервер или даже составлять огромные конфигурации сетей, которые нужно заблокировать, но это вызовет лишь большую нагрузку на сетевой стек сервера и усложнит конфигурацию.
Я предлагаю вам сделать следующее:
- Разрешить локальную сеть
- Разрешить сети согласно геопозиционирования по странам, выбрав те страны, из которых мы хотели бы получить доступ к нашему серверу.
- Дополнительно можно разрешить порты, которые защищены от подбора паролей. Как правило у Synology это порты, на которых работают встроенные службы DSM (5000, 5001, Drive). Эти порты так же нужны для работы quick Connect
- Остальное все запрещаем.
Страны я выбрал следующие: Россия, Казахстан, Белоруссия. А вот Украину осторожно. Там много ботов, согласно моим данным. По крайней мере меня с Украины часто пытались взламывать. Не знаю с чем это связано именно на Украине, но видимо хохлы сильно любят халяву.
Такие настройки фаервола позволят практически полностью прекратить попытки взлома вашего сервера.
Самое главное, что нужно помнить – безопасность не бывает безопасной. Поэтому не поленитесь, настройте фаеврол на вашем Synology и быть может это поможет вам остаться в безопасности, по крайней мере это снизит коэффициент угроз, которыми кишит интернет.
Я так же снял небольшой видео-ролик и выложил его в интернете. Вы можите ознакомиться с ним на этом сайте или перейти на хостинг видео-роликов, как вам удобно.
Этот ролик нужно добавить к первоначальной настройке, так как в плане безопасности имеет первоочередность перед другими действиями ( настройками video, photo резервных копий и всего остального)
Странно, вроде сделал всё так же но при активации этого профиля пропадает доступ по DDNS и не работает WireGuard (который в докере)
Что-то не так сделали, проверьте внимательно
Сверху вниз:
1. Порты DSM и Drive TCP которые пробросил сервер автоматически (по уведомлению firewall) -разрешить
2. И 3. Порты WireGuard вручную -разрешить
4. Все порты tcp/udp 192.168.1.0/255.255.255.0 -разрешить
5. Все порты TCP Страны которым дозволяется доступ – разрешить
6. Все порты, все протоколы, все IP -запретить
Выглядит все верно. Они же в такой последовательности указанны в фаерволе? Он читает сверху в низ. И проверьте, что бы все правила по умолчанию для всех интерфейсов были разрешено.
Да, да, всё именно так
У меня похоже что не работает. Если я подключаюсь к NAS из локалки, то вижу с какого ip я зашел. если через интернет, то вижу вместо своего IP – шлюз от роутера(от сюда у брандмауэра правила не работают, так как все подключения из вне определяются как один ip от шлюза). может где настройки изменить нужно? IP статический.
Похоже у вас обратный NAT у провайдера, обратитесь к ним, возможно они помогут или нужно менять провайдера.
Я пробовал. неделю на ростелекоме, потом на ТТК с тем же результатом. мне кажется что где то настройки сети. года 2-3 назад эксперементировал с хренолоджи(было тоже самое), но не помню как исправил.
Сеть тут не причем, это обратный NAT может даже на вашем роутере
Техподдержка кинетика сказала, что это на стороне провайдера, админы провайдера сказали, что они ни чего менять и перенастраивать не будут. блин провайдеры закончились. как теперь из положения выходить? может какие то хитрые скрипты есть?
Ну то что провайдер отказал это понятно, но не все же провайдеры такое делают. Если это на стороне провайдера, то ничего вы не сделаете никакими скриптами.
С портами разобрался. даже подня свой днс. но захотел установить Piwigo+Mariadb и вот уже два дня ищу проблему. дело в том, что как только я включаю последнее правило(запретить все все) эта прога становится недоступна. это я выяснил, когда последовательно подрубал правила(в момент установки сама пиви появилась, а когда пошла сама установка – ушла с радаров, грешу на sql). прогу ставил в доккере, как и все остальные и только с ней такая проблема. обратный прокси не помогает, пробовал прописывать внутреннюю сеть контейнера, не помогло. как посмотреть что можно еще внести в фаервол? киплю уже
Ну тут только разрешать локальную сеть и сеть докера, может вы не ту сеть докера разрешили в фаерволе, проверьте.
К сожалению правильно, прямо с доккера копировал. единственное не дает покоя, что в журнале мариидб есть строчки:
023-01-10 7:54:35 0 [Warning] You need to use –log-bin to make –expire-logs-days or –binlog-expire-logs-seconds work.
2023-01-10 7:54:35 0 [Note] InnoDB: Buffer pool(s) load completed at 230110 7:54:35
2023-01-10 7:54:35 0 [Note] Server socket created on IP: ‘0.0.0.0’.
2023-01-10 7:54:35 0 [Note] Server socket created on IP: ‘::’.
2023-01-10 7:54:35 0 [Note] mariadbd: ready for connections.
Version: ‘10.10.2-MariaDB-1:10.10.2+maria~ubu2204’ socket: ‘/run/mysqld/mysqld.sock’ port: 3306 mariadb.org binary distribution
мариядб создала сокет на нулевом IP. я не очень понимаю эти тонкости контейнеров.
это не тонкости контейнера, это обычное поведение программы мариадб или что там, она то не знает что она в контейнере работает и знать ей этого то и не нужно. Из вывода видно, что она слушает на всех интерфейсах и любых ип, естественно которые ей доступны. А доступны ей только те что в контейнере, если это бридж то бридж если хост то хост.
Попробуйте в фаерволе разрешить 127.0.0.0/8 сетку.
он не дает ставить эту сетку, область красным горит
Добрый вечер, столкнулся с тем, что некоторые люди не могут попасть ко мне на сайт, либо в облако. Не пускает брандмауэр. IP не распознаётся как российский. Да я и сам попал в такую ситуацию, находясь в соседнем городе в командировке. Этот список ip адресов как то можно руками дополнять или обновить?
Нет, не правится. Это международная база GEOIP. Разрешите виртуальным хостам со всех ип адресов доступ на фаерволе
так у меня виртуальные хосты сидят на 443, и веб морда от NAS тоже. они будут разделяться по доступу?
Нет, не будут.