IP range of bepaalde landen uitfilteren

Sylvester · 28 maa 2018, 17:59

Misschien rare vraag?

Ik heb voor mijn NAS een paar poorten open staan en zie dat ik af en toe bezoek krijg van vreemde IP adressen.
Ik kan die stuk per stuk uitsluiten, maar die nemen natuurlijk steeds een ander IP adres om toegang proberen te krijgen.
Een range uitsluiten gaat niet op de NAS.

Ik heb hier een Asus router. Weet iemand of het op één of andere manier mogelijk is om bepaalde externe IP adressen (een range of van een bepaald land) uit te sluiten zodat ze geen toegang krijgen?

Ik weet dat het ook via VPN kan, dan heb je die dingen niet. Maar voor een paar toepassingen moet ik helaas een paar poorten open zetten.

datakiller · 28 maa 2018, 18:02

Heeft die asus router een firewall? Ik kan bvb landen blokkeren met pfsense ook IP-ranges en single IP's.

Sylvester · 28 maa 2018, 18:22

Ja. Het is een RT-AC68u.
Ik heb al zitten zoeken, maar ik vermoed dat ik er niet mijn weg in vind.

Ik zou bijvoorbeeld een IP adres met structuur 40.X.X.X willen uitsluiten.

datakiller · 28 maa 2018, 19:03

Ik zie hier ook niet direct iets staan bij firewall om IP ranges te blokkeren: https://event.asus.com/2012/nw/dummy_ui/en/

40.x.x.x is een 40.0.0.0/8 range.

flt · 30 maa 2018, 12:19

Lukt niet via de GUI.

Indien de firewall aanstaat, zal dit alle inbound verkeer blokkeren tenzij er een portforward aangemaakt is. Een portforward laat direct alle sources toe zonder mogelijkheid om deze te filteren..

Kan je wel omzeilen door het firewall-start of nat-start script aan te passen..

Sylvester · 30 maa 2018, 20:40

OK, dan moet ik het misschien anders gaan proberen. Ik heb geen verstand van die scripts en zo. Toch niet deze.

datakiller · 30 maa 2018, 20:47

Miss eens een PC met een firewall software overwegen?

Sylvester · 30 maa 2018, 20:51

Als je een windows PC bedoelt, dan is dat het laatste dat ik (voor mezelf) in huis zal halen. Dan nog liever geen computer meer.

Ik heb overal firewalls : in de router, op mijn Mac, in de NAS. En volgens mij is de firewall van de 'PC' of 'Mac' hier niet relevant vermits het gaat over een poging tot inbraak op de NAS.

datakiller · 30 maa 2018, 20:55

(facepalms) Slecht uitgelegd van mij dan

Ik bedoelde een PC met 2 LAN poorten (of als je een software zoals pfsense gebruikt 1x WAN poort en 1x LAN) dit zou je dan voor je NAS moeten zetten en daar kan je dan dingen op blokkeren. (Ik gebruik pfsense als router en dit werkt best goed, je moet wel zien dat je een zuinige PC in huis haalt als je dit doet)

Sylvester · 30 maa 2018, 21:16

ah ok, ja. Dat is al iets geavanceerder. Ik zal eerst eens andere opties bekijken. Een oplossing zit misschien in een klein hoekje.
Bv. Als ik het admin account van de NAS uitschakel is dat risico al kleiner.

datakiller · 30 maa 2018, 21:30

die geblokkeerde login pogingen zijn meestal met zo'n user:password lijstjes. Een goed wachtwoord en je moet niet bang zijn.

30 maa 2018, 21:52

Synology heeft zelfs een ingebouwde geo-blocklijst...

Sylvester · 31 maa 2018, 08:35

Als ik uw afbeelding volg : edit profile default > create firewall rules
dan vind ik toch nergens 'Location'.
Doe ik ergens iets fout?

31 maa 2018, 09:08

Dit is het scherm ervoor:

0665F8D8-9D7B-4618-B68E-A7328C180561.jpeg

Sylvester · 31 maa 2018, 17:06

Inderdaad, ik had hem net gevonden maar nog niet de kans gehad om te reageren.
Hiermee kan ik toch al wat. Ik ga alvast wat landen uitsluiten.
Ik geef toe dat ik er geen krak in ben.
Dus als ik het goed heb kan ik bijvoorbeeld alle 40.X.X.X IP adressen uitsluiten door een regel aan te maken :
Firewall-regels > Bron-IP > Specifiek IP
en dan 'subnet' aanduiden met IP adres 40.0.0.0 en subnet 255.0.0.0
Dat klopt toch?

31 maa 2018, 17:40

Is het geen idee om het andersom te doen? Blokkeer alles en laat maar toe wat je wil?

Sylvester · 01 apr 2018, 09:44

Zoals ik al zei : ik ben er geen krak in.
Gek genoeg heb ik dat niet voor mekaar gekregen.
Als je alles blokkeert krijg je een waarschuwing dat dat niet gaat omdat je dan jezelf blokkeert, of zoiets...
Ik ga nog eens even zoeken.

Edit : blijkbaar is de volgorde van belang.
Als je eerst alles uitsluit en dan een land of ip range toelaat, werkt het niet en weigert hij de configuratie.
Als je eerst de toegelaten opties aangeeft, en dan ALLES uitsluit, werkt het wel.
Ik heb het een beetje moeilijk met die logica, maar het kan aan mij liggen.
Je laat 'iets' door én je houdt alles tegen ???
Vreemde logica.

Sinna · 01 apr 2018, 12:27

Dat is de logica: eerst komt eerst maalt. Als een eerdere fw-regel toegang ontzegt, dan kan de volgende dat niet ongedaan maken.
Ik stel alles in zodat de laatste regel een drop-all is.

01 apr 2018, 12:50

Yup.
Firewalls werken volgens het "first match" principe.
Maw de eerste regel die op jouw pakketje van toepassing is wordt uitgevoerd.
Je moet dus altijd de meest specifieke regels bovenaan zetten, en zo afwerken naar de meest algemene, met helemaal onderaan de klassieke "block all".

01 apr 2018, 15:26

^^ zoals hierboven...

Per regel in de firewall rules wordt nagekeken of de inkomende connectie “matcht”, indien ja, dan wordt deze regel uitgevoerd en kijkt de firewall niet meer naar de volgende regels.