Funziona così:
- Generica: nega bangladesh, cina, russia
- DSM: consenti porta 5000 a lan locale
- DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti
- WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
- MailLocale: consenti porte 25, 110, 143 a lan locale
- SMB: consenti porte SMB a lan locale (192.168.1.0/24)
- SMB: consenti porte SMB a 10.0.0.0/8(range VPN)
- VPN: consenti porte server VPN a tutti (meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)
- Predefinita: nega
Le regole (attive) vengono applicate in ordine dall'alto verso il basso.
In questo caso ad esempio consentiamo a tutti(4), quindi internet, le porte della posta su SSL (connessione crittografata) ma limitiamo quelle non crittografate (5) solo alla lan locale. I dispositivi mobili (notebook, smartphone) useranno la regola 4 mentre i PC locali useranno la 5 alleggerendo così il lavoro del NAS.
Siccome nella stessa regola non possiamo filtrare gli ip geograficamente inseriamo a monte (1) il blocco geografico.
Risultato: la regola 4 consentirà a tutto il mondo internet (e dispositivi mobili quando in wifi) accesso al server di posta ma da tutto internet la regola 1 bloccherà gli ip geograficamente riconducibili a certe regioni/paesi.
L'opzione finale (predefinita) bloccherà la restante parte del traffico per il quale non esiste una regola che lo consenta. Se la scelta predefinita è consenti le regole non avranno effetto in quanto comunque in fondo tutto passerà. Ovvero, avranno effetto solo le regole "nega". E' però molto più semplice (una questione di proporzioni) negare tutto e creare le eccezioni "consenti".
Nel caso di uso del server VPN sul NAS vanno considerate nelle regole anche le subnet dalle quali il servizio assegna gli IP ai client
Personalmente gestisco più servizzi con la stessa regola, raggruppati tematicamente: Web (webserver, dns), Mail, Amministrazione remota (es 5001 raggiungibile da VPN telelavoro e/o VPN statiche branch-office, mai pubblicamente), Amministrazione locale( 5000 funzionante solo su lan locale), Servizi rete locali/remoti (quali NTP, SMB, PrintServer, DHCP .... mai pubblici, al massimo via VPN). Questo evita che mi sparisca la regola perche spesso durante l'aggiornamento delle app purttroppo qualche pezzo viene perso e va rispuntato il servizio (la porta) dal elenco.
Le regole così formate (anche più dettagliate, con le aperture minime e mirate in base ai client ed utilizzo dei servizi) ti proteggono anche in caso di errate configurazioni router (port forwarding) o in caso a divenire infetta ed attaccare fosse una macchina interna.
Una buona norma è inserire nella white list del blocco automatico IP un indirizzo non usato (o su altra subnet in caso di reti locali multiple) così si avrà sempre un IP franco ma del quale la macchina interna potenzialmente infetta non può abitualmente approfittarne.