Negozio Synology prezzi bassi

attacchi mail server

Gestire la posta elettronica sul NAS, sincronizzazione di agenda e contatti

Re: attacchi mail server

Messaggioda AleROMA79 » mercoledì 26 aprile 2017, 11:59

ciao dmajo puoi darmi una mano con la configurazione qui sopra
secondo te puo andar bene??

grazie
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
 
Messaggi: 286
Iscritto il: martedì 23 dicembre 2014, 20:15

Re: attacchi mail server

Messaggioda AleROMA79 » lunedì 1 maggio 2017, 10:54

Ciao a tutti

Sono stato 2 giorni fuori Italia e ho provato a collegarmi con dsfile al mio nas ma non mi faceva accedere!!

Proprio perché credo che abbia funzionato la regola 'permetti solo a ip italiano', però lo strano è che non mi ha avvertito!!
Io ho fleggato la spunta per essere avvertito!!
Mi doveva dire che io straniero aveva tentato di entrare o sbaglio??
Grazie
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
 
Messaggi: 286
Iscritto il: martedì 23 dicembre 2014, 20:15

Re: attacchi mail server

Messaggioda AleROMA79 » venerdì 2 giugno 2017, 12:55

dMajo ha scritto:Alcune precisazioni: i blocchi del firewall si basano sull'origine del traffico. Quello del nas blocca solo il traffico in ingresso e non in uscita.
Per origine s'intende l'iniziatore della sessione/richiesta, il traffico di ritorno/risposta fa parte della stessa regola.
Quindi in caso di ddns il nas sarà sempre in grado di aggiornare il record, a prescindere.

Non ho intenzione di disquisire sulla scelta delle nazioni del blocco geografico, ognuno faccia come vuole.
Però dal punto di vista tecnico, perche il firewall funzioni va impostato così:
  • nella tendina dove vedi tutte le interfaccie devi selezionare ogni singola nic del nas (solo la 1 nel caso del tuo DS216) e in fondo alla pagina scegliere "nega" come opzione di default.
    Ora tutto il traffico in ingresso per cui non esiste un eccezione verrà bloccato
  • Poi nella sceda tutte le interfaccie, come prima regola imposti il blocco degli ip geografici segliendo le nazioni che vuoi bloccare e impostando l'azione su "nega"
  • Poi nelle regole successive devi impostare un azione "consenti" per tutti i servizi(porte) che vuoi rendere disponibili come (dsm-5000, smb, le varie station, ...) segliendo tutti gli IP per renderli disponibili da internet
    Oppure scegliendo la subnet locale (presumibilmente 192.168.1.0/24) per renderli accessibili solo dalla LAN.
    (Esempio: tutti gli IP ler le porte aggiuntive ssl delle varie station, ma solo IP locali per il DSM-5000/1)

Funziona così:
Generica: nega bangladesh, cina, russia

DSM: consenti porta 5000 a lan locale
DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti

WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
MailLocale: consenti porte 25, 110, 143 a lan locale

SMB: consenti porte SMB a lan locale (192.168.1.0/24)
SMB: consenti porte SMB a 10.0.0.0/8(range VPN)

VPN: consenti porte server VPN a tutti
(meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)

Predefinita: nega



ciao dmajo,
ho letto tutti i tuoi consigli e sto modificando il firewall cosi
spero di aver indovinato questa volta..

Generica: nega bangladesh, cina, russia
fatto nella regola 1, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0

DSM: consenti porta 5000 a lan locale
DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti
fatto nella regola 2, ho consentito traffico sulla porta https del nas solo per la rete interna lan, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0
inoltre nella regola 4 ho consentito traffico sulla porta https del nas per tutti, altrimenti quando sono fuori casa ad esempio sul cellulare non posso accedere, è giusto??

WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
MailLocale: consenti porte 25, 110, 143 a lan locale
non mi servono questi due servizi quindi non ho fatto la regola

SMB: consenti porte SMB a lan locale (192.168.1.0/24)
SMB: consenti porte SMB a 10.0.0.0/8(range VPN)
nella regola 3 ho attivato i file di windows per tutta la rete interna, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0

VPN: consenti porte server VPN a tutti
(meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)
regola 5 e 6, ho consentito traffico per VPN solo a 2 indirizzi pubblici precisi perche mi connetto in vpn solo da quei due.
https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0


Predefinita: nega
cosa intendi qui??
intendi di bloccare le 3 schede LAN, PPP, VPN. https://www.dropbox.com/s/901duuaz1hf4m ... 2.JPG?dl=0
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
 
Messaggi: 286
Iscritto il: martedì 23 dicembre 2014, 20:15

Re: attacchi mail server

Messaggioda AleROMA79 » domenica 4 giugno 2017, 22:17

aggiungo inoltre che ho inserito la regola per il DLNA
ho consentito il servizio "server media" alla rete interna 192.xxx
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
 
Messaggi: 286
Iscritto il: martedì 23 dicembre 2014, 20:15

Re: attacchi mail server

Messaggioda dMajo » martedì 6 giugno 2017, 9:36

Meglio


2/3 quando vuoi consentire un'intera lan usa l'indirizzo di questa piuttosto che il range ip: es 192.168.1.0 (indirizzo della lan)/255.255.255.0(maschera che la identifica)

Nega: si intendo quello. Così per predefinizione tutto viene bloccato ad eccezione del traffico per il quale esiste una regola consenti.

VPN: attenzione che il client vpn riceve un indirizzo privato dal server vpn. Aggiungi anche le lan dalle quali il server assegna gli indirizzi (le vedi nella configurazione del server vpn). Con 10.0.0.0/255.0.0.0 copri tutte e 3 le tipologie di vpn.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: attacchi mail server

Messaggioda AleROMA79 » martedì 6 giugno 2017, 20:59

grazie mille per la risposta e per l'aiuto sull'argomento delicato
spero ora di aver fatto tutto ok.. successivamente aggiungerò un'altra regola per bloccare altri 15 paesi (ogni regola puo tenerne solo 15 paesi massimo)

https://www.dropbox.com/s/ko94q9exw8ios ... e.jpg?dl=0

regola 1: blocca i 15 paesi a rischio
regola 2: consente https (file station e altro) alla rete interna
regola 3: consente smb cartelle windows alla rete interna
regola 4: consente DLNA alla rete interna
regola 5: consente https a rete esterna (cellulari o altri pc)
regola 6: consente ip pubblico1 per vpn
regola 7: consente ip pubblico2 per vpn
regola 8: consente vpn ad indirizzi privati assegnati da vpn

ovviamente poi sul router apro solamente la porta https e della vpn
tutto giusto??
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
AleROMA79
Utente
Utente
 
Messaggi: 286
Iscritto il: martedì 23 dicembre 2014, 20:15

Precedente

Torna a Mail Server, Mail Station & Cal/CardDAV

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron