attacchi mail server

[AleROMA79]

ciao dmajo puoi darmi una mano con la configurazione qui sopra
secondo te puo andar bene??

grazie

[AleROMA79]

Ciao a tutti

Sono stato 2 giorni fuori Italia e ho provato a collegarmi con dsfile al mio nas ma non mi faceva accedere!!

Proprio perché credo che abbia funzionato la regola 'permetti solo a ip italiano', però lo strano è che non mi ha avvertito!!
Io ho fleggato la spunta per essere avvertito!!
Mi doveva dire che io straniero aveva tentato di entrare o sbaglio??
Grazie

[AleROMA79]

Alcune precisazioni: i blocchi del firewall si basano sull'origine del traffico. Quello del nas blocca solo il traffico in ingresso e non in uscita.
Per origine s'intende l'iniziatore della sessione/richiesta, il traffico di ritorno/risposta fa parte della stessa regola.
Quindi in caso di ddns il nas sarà sempre in grado di aggiornare il record, a prescindere.

Non ho intenzione di disquisire sulla scelta delle nazioni del blocco geografico, ognuno faccia come vuole.
Però dal punto di vista tecnico, perche il firewall funzioni va impostato così:

• nella tendina dove vedi tutte le interfaccie devi selezionare ogni singola nic del nas (solo la 1 nel caso del tuo DS216) e in fondo alla pagina scegliere "nega" come opzione di default.
  Ora tutto il traffico in ingresso per cui non esiste un eccezione verrà bloccato
• Poi nella sceda tutte le interfaccie, come prima regola imposti il blocco degli ip geografici segliendo le nazioni che vuoi bloccare e impostando l'azione su "nega"
• Poi nelle regole successive devi impostare un azione "consenti" per tutti i servizi(porte) che vuoi rendere disponibili come (dsm-5000, smb, le varie station, ...) segliendo tutti gli IP per renderli disponibili da internet
  Oppure scegliendo la subnet locale (presumibilmente 192.168.1.0/24) per renderli accessibili solo dalla LAN.
  (Esempio: tutti gli IP ler le porte aggiuntive ssl delle varie station, ma solo IP locali per il DSM-5000/1)

Funziona così:
Generica: nega bangladesh, cina, russia

DSM: consenti porta 5000 a lan locale
DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti

WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
MailLocale: consenti porte 25, 110, 143 a lan locale

SMB: consenti porte SMB a lan locale (192.168.1.0/24)
SMB: consenti porte SMB a 10.0.0.0/8(range VPN)

VPN: consenti porte server VPN a tutti
(meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)

Predefinita: nega

ciao dmajo,
ho letto tutti i tuoi consigli e sto modificando il firewall cosi
spero di aver indovinato questa volta..

Generica: nega bangladesh, cina, russia
fatto nella regola 1, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0

DSM: consenti porta 5000 a lan locale
DSApps: consenti porte 7001(FS), 8001(DS), 8801(AS), 9008(VS), 9351(NS) a tutti
fatto nella regola 2, ho consentito traffico sulla porta https del nas solo per la rete interna lan, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0
inoltre nella regola 4 ho consentito traffico sulla porta https del nas per tutti, altrimenti quando sono fuori casa ad esempio sul cellulare non posso accedere, è giusto??

WebMailPubblico: consenti porte 25, 53, 80, 443, 465, 993, 995 a tutti
MailLocale: consenti porte 25, 110, 143 a lan locale
non mi servono questi due servizi quindi non ho fatto la regola

SMB: consenti porte SMB a lan locale (192.168.1.0/24)
SMB: consenti porte SMB a 10.0.0.0/8(range VPN)
nella regola 3 ho attivato i file di windows per tutta la rete interna, https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0

VPN: consenti porte server VPN a tutti
(meglio non farlo sul NAS perche vanifica tutte le altre regole (sia del NAS che dell'eventuale firewall/router esterni) che invece continuano ad operare se il server VPN si trova sul router)
regola 5 e 6, ho consentito traffico per VPN solo a 2 indirizzi pubblici precisi perche mi connetto in vpn solo da quei due.
https://www.dropbox.com/s/uvw9bm1x287nw ... e.jpg?dl=0

Predefinita: nega
cosa intendi qui??
intendi di bloccare le 3 schede LAN, PPP, VPN. https://www.dropbox.com/s/901duuaz1hf4m ... 2.JPG?dl=0

[AleROMA79]

aggiungo inoltre che ho inserito la regola per il DLNA
ho consentito il servizio "server media" alla rete interna 192.xxx

[dMajo]

Meglio


2/3 quando vuoi consentire un'intera lan usa l'indirizzo di questa piuttosto che il range ip: es 192.168.1.0 (indirizzo della lan)/255.255.255.0(maschera che la identifica)

Nega: si intendo quello. Così per predefinizione tutto viene bloccato ad eccezione del traffico per il quale esiste una regola consenti.

VPN: attenzione che il client vpn riceve un indirizzo privato dal server vpn. Aggiungi anche le lan dalle quali il server assegna gli indirizzi (le vedi nella configurazione del server vpn). Con 10.0.0.0/255.0.0.0 copri tutte e 3 le tipologie di vpn.

[AleROMA79]

grazie mille per la risposta e per l'aiuto sull'argomento delicato
spero ora di aver fatto tutto ok.. successivamente aggiungerò un'altra regola per bloccare altri 15 paesi (ogni regola puo tenerne solo 15 paesi massimo)

https://www.dropbox.com/s/ko94q9exw8ios ... e.jpg?dl=0

regola 1: blocca i 15 paesi a rischio
regola 2: consente https (file station e altro) alla rete interna
regola 3: consente smb cartelle windows alla rete interna
regola 4: consente DLNA alla rete interna
regola 5: consente https a rete esterna (cellulari o altri pc)
regola 6: consente ip pubblico1 per vpn
regola 7: consente ip pubblico2 per vpn
regola 8: consente vpn ad indirizzi privati assegnati da vpn

ovviamente poi sul router apro solamente la porta https e della vpn
tutto giusto??