ciao dmajo puoi darmi una mano con la configurazione qui sopra
secondo te puo andar bene??
grazie
attacchi mail server
Re: attacchi mail server
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Re: attacchi mail server
Ciao a tutti
Sono stato 2 giorni fuori Italia e ho provato a collegarmi con dsfile al mio nas ma non mi faceva accedere!!
Proprio perché credo che abbia funzionato la regola 'permetti solo a ip italiano', però lo strano è che non mi ha avvertito!!
Io ho fleggato la spunta per essere avvertito!!
Mi doveva dire che io straniero aveva tentato di entrare o sbaglio??
Grazie
Sono stato 2 giorni fuori Italia e ho provato a collegarmi con dsfile al mio nas ma non mi faceva accedere!!
Proprio perché credo che abbia funzionato la regola 'permetti solo a ip italiano', però lo strano è che non mi ha avvertito!!
Io ho fleggato la spunta per essere avvertito!!
Mi doveva dire che io straniero aveva tentato di entrare o sbaglio??
Grazie
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Re: attacchi mail server
ciao dmajo,dMajo ha scritto: Alcune precisazioni: i blocchi del firewall si basano sull'origine del traffico. Quello del nas blocca solo il traffico in ingresso e non in uscita.
Per origine s'intende l'iniziatore della sessione/richiesta, il traffico di ritorno/risposta fa parte della stessa regola.
Quindi in caso di ddns il nas sarà sempre in grado di aggiornare il record, a prescindere.
Non ho intenzione di disquisire sulla scelta delle nazioni del blocco geografico, ognuno faccia come vuole.
Però dal punto di vista tecnico, perche il firewall funzioni va impostato così:Funziona così:
- nella tendina dove vedi tutte le interfaccie devi selezionare ogni singola nic del nas (solo la 1 nel caso del tuo DS216) e in fondo alla pagina scegliere "nega" come opzione di default.
Ora tutto il traffico in ingresso per cui non esiste un eccezione verrà bloccato- Poi nella sceda tutte le interfaccie, come prima regola imposti il blocco degli ip geografici segliendo le nazioni che vuoi bloccare e impostando l'azione su "nega"
- Poi nelle regole successive devi impostare un azione "consenti" per tutti i servizi(porte) che vuoi rendere disponibili come (dsm-5000, smb, le varie station, ...) segliendo tutti gli IP per renderli disponibili da internet
Oppure scegliendo la subnet locale (presumibilmente 192.168.1.0/24) per renderli accessibili solo dalla LAN.
(Esempio: tutti gli IP ler le porte aggiuntive ssl delle varie station, ma solo IP locali per il DSM-5000/1)
Generica: nega bangladesh, cina, russia
DSM: consenti porta 5000 a lan locale
DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti
WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
MailLocale: consenti porte 25, 110, 143 a lan locale
SMB: consenti porte SMB a lan locale (192.168.1.0/24)
SMB: consenti porte SMB a 10.0.0.0/8(range VPN)
VPN: consenti porte server VPN a tutti
(meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)
Predefinita: nega
ho letto tutti i tuoi consigli e sto modificando il firewall cosi
spero di aver indovinato questa volta..
Generica: nega bangladesh, cina, russia
fatto nella regola 1, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0
DSM: consenti porta 5000 a lan locale
DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti
fatto nella regola 2, ho consentito traffico sulla porta https del nas solo per la rete interna lan, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0
inoltre nella regola 4 ho consentito traffico sulla porta https del nas per tutti, altrimenti quando sono fuori casa ad esempio sul cellulare non posso accedere, è giusto??
WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
MailLocale: consenti porte 25, 110, 143 a lan locale
non mi servono questi due servizi quindi non ho fatto la regola
SMB: consenti porte SMB a lan locale (192.168.1.0/24)
SMB: consenti porte SMB a 10.0.0.0/8(range VPN)
nella regola 3 ho attivato i file di windows per tutta la rete interna, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0
VPN: consenti porte server VPN a tutti
(meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)
regola 5 e 6, ho consentito traffico per VPN solo a 2 indirizzi pubblici precisi perche mi connetto in vpn solo da quei due.
https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0
Predefinita: nega
cosa intendi qui??
intendi di bloccare le 3 schede LAN, PPP, VPN. https://www.dropbox.com/s/901duuaz1hf4m ... 2.JPG?dl=0
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Re: attacchi mail server
aggiungo inoltre che ho inserito la regola per il DLNA
ho consentito il servizio "server media" alla rete interna 192.xxx
ho consentito il servizio "server media" alla rete interna 192.xxx
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
Re: attacchi mail server
Meglio
2/3 quando vuoi consentire un'intera lan usa l'indirizzo di questa piuttosto che il range ip: es 192.168.1.0 (indirizzo della lan)/255.255.255.0(maschera che la identifica)
Nega: si intendo quello. Così per predefinizione tutto viene bloccato ad eccezione del traffico per il quale esiste una regola consenti.
VPN: attenzione che il client vpn riceve un indirizzo privato dal server vpn. Aggiungi anche le lan dalle quali il server assegna gli indirizzi (le vedi nella configurazione del server vpn). Con 10.0.0.0/255.0.0.0 copri tutte e 3 le tipologie di vpn.
2/3 quando vuoi consentire un'intera lan usa l'indirizzo di questa piuttosto che il range ip: es 192.168.1.0 (indirizzo della lan)/255.255.255.0(maschera che la identifica)
Nega: si intendo quello. Così per predefinizione tutto viene bloccato ad eccezione del traffico per il quale esiste una regola consenti.
VPN: attenzione che il client vpn riceve un indirizzo privato dal server vpn. Aggiungi anche le lan dalle quali il server assegna gli indirizzi (le vedi nella configurazione del server vpn). Con 10.0.0.0/255.0.0.0 copri tutte e 3 le tipologie di vpn.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: attacchi mail server
grazie mille per la risposta e per l'aiuto sull'argomento delicato
spero ora di aver fatto tutto ok.. successivamente aggiungerò un'altra regola per bloccare altri 15 paesi (ogni regola puo tenerne solo 15 paesi massimo)
https://www.dropbox.com/s/ko94q9exw8ios ... e.jpg?dl=0
regola 1: blocca i 15 paesi a rischio
regola 2: consente https (file station e altro) alla rete interna
regola 3: consente smb cartelle windows alla rete interna
regola 4: consente DLNA alla rete interna
regola 5: consente https a rete esterna (cellulari o altri pc)
regola 6: consente ip pubblico1 per vpn
regola 7: consente ip pubblico2 per vpn
regola 8: consente vpn ad indirizzi privati assegnati da vpn
ovviamente poi sul router apro solamente la porta https e della vpn
tutto giusto??
spero ora di aver fatto tutto ok.. successivamente aggiungerò un'altra regola per bloccare altri 15 paesi (ogni regola puo tenerne solo 15 paesi massimo)
https://www.dropbox.com/s/ko94q9exw8ios ... e.jpg?dl=0
regola 1: blocca i 15 paesi a rischio
regola 2: consente https (file station e altro) alla rete interna
regola 3: consente smb cartelle windows alla rete interna
regola 4: consente DLNA alla rete interna
regola 5: consente https a rete esterna (cellulari o altri pc)
regola 6: consente ip pubblico1 per vpn
regola 7: consente ip pubblico2 per vpn
regola 8: consente vpn ad indirizzi privati assegnati da vpn
ovviamente poi sul router apro solamente la porta https e della vpn
tutto giusto??
UPS: APC Back-UPS 700 VA, 230 V, AVR, prese Schuko (BX700U-GR)
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360
NAS: DS216+II
ISP: Fibra 100 download, 40 upload
CLI: Windows 7
Altro: iPhone 5S, Tv Sony Bravia KDL-50W828B, Chromecast, Xbox 360