synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › FireWall Self и другие

FireWall Self и другие

Gu_ · 06.03.2015

1815+ и все обновления

 

задействовал 2 сетевухи. в фаэре на всех интерфейсах - по умолчанию "отказать в доступе"*.

 

сетевые настройки:

 

лвс1 - 192.168.0.2,255x3.0

лвс2 - 172.16.0.2,255x3.0,gw:172.16.0.1(шлюз по умолчанию, dmz на роутере)

 

dns вручную: 8.8.8.8

 

правила fw:

 

лвс1 - разрешить доступ, все порты, 192.168.0.3 (АРМ управления)

лвс2 - *

 

порт управления web доступом изменен на 6xxxx. https приоритет вкл. сертиф. есть.

 

в сети 192.xxx инета нету.

 

применяем, рибут, ок. заходим с 192.168.0.3 на https://192.168.0.2:6xxxx, ок.

 

заходим в центр пакетов - ок, вижу что наличие проверяет, скачивать дает, и показывает все с сообществ. тоесть доступ в инет есть (80 порт открыт).

 

Почему?

 

Пытался явно задавать в fw на лан2 - "все порты, любой ип, отказать", "1-65535, отказать" .. короче в разных вариантах. и это при *

 

Ладно думаю, сама пусть лазиет. Ставим Transmission последний с общих пакетов. запускаем, даем доступ к порту, качаем чтонить, убираем доступ порта, рибутим на всякий случай.

Запустились. Через TransmWebGui смотрим - идет раздача (и треккеры работают по 80). В мониторинге DS лан2 видно активность. Смотрим на роутере порты - 80,53 и тп.

 

Т.е. фаэр не работает.

 

Где это залочить и почему по умолчанию правила фаэра не распространяются на сам девайс и внешние приложения? как винда прямо - все враги, одна я хорошая, потому мне наружу можно все.

Вижу, что при применении правил проверяется доступность к управляющему ПК. Но все остальное открыто наружу.

 

тут вот нашел небольшую проблему, попробовал через putty подправить правила в разных вариантах с рибутом (на лан2, общих port:sys:all) нет эффекта. явный бинд на лан2 в настройках файла transm. тоже роли не играет.

 

http://forum.synology.com/enu/viewtopic.ph...190&t=86939

 

помогите плз. может чето не так понимаю или тут логика другая? Вопрос в том, чтобы на фаэре открывать только то что надо (или хотябы закрывать что не надо), а не видеть, что он бесполезен и гдето выше него есть какието открытые порты.

polanat · 07.03.2015
помогите плз. может чето не так понимаю или тут логика другая? Вопрос в том, чтобы на фаэре открывать только то что надо (или хотябы закрывать что не надо), а не видеть, что он бесполезен и гдето выше него есть какието открытые порты.

Для начала проанализируйте содержимое файликов в /etc/firewall ...

Gu_ · 08.03.2015

был я там, лишнего ничего нет. пытался добавлять правила как в ссылке ниже с Sys: - не помогает. да даже если все правила убрать на 2 интерфейсе где инет то там должно умолчальное "отказать в доступе" работать. но это не так.

polanat · 08.03.2015

Не знаю на практике, как работает сино-брандмауэр на 4-х сетевых интерфейсах, но я бы на Вашем месте для начала экспериментировал на каком-то одном (первом). Видимо кроме pppoe.conf и global.conf - у Вас 4 файлика eth0-eth3.conf. Я пользуюсь только global.conf а pppoe.conf и eth0.conf у меня без правил ...

Gu_ · 08.03.2015

та же хрень.

пробовал и на глобальный запреты вешать и только на первый и через информационный центр\службы все галки снимать на фаэр.

приходим к тому, что везде запрет, есть только одно правило разрешающее на станцию управления, а обновления dsm работают, пакеты качать можно и трансмишон на всю катушку скачивает и раздает.

++

я так понимаю, что гдето в конфигах есть разрешения (или не заданы запреты) для 127.0.0.1\localhost на полный доступ.

попробовал в etc\hosts.deny их добавить, безрезультатно.

++

в правила фаэра через интерфейс - 127.0.0.1 вставить не дает.

polanat · 08.03.2015

Ну что ж - значит запускайте классическую команду iptables - любая графическая оболочка проверяется именно этим

 

PS

"Вы не ищете легких путей

Вам скучно и захотелось чего-нибудь новенького

Только iptables, только хардкор ;)"

 

polanat · 08.03.2015

Да, кстати, если у Вас последняя DSM со всеми обновлениями, то при инсталляции например того же медиасервера появляется вот такое окно. С трансмишеном - аналогично ...

 

http://s019.radikal.ru/i642/1503/13/087b06abb31d.jpg

Gu_ · 08.03.2015

Появляется, если включено уведомление брандмауэра.

 

У трансмишена предлагается только порт веб-управления разлочить, а про прием передачу ничего нет.

 

+

кстати с Mail Station та же беда. работает на 80 порту и в фаэре для нее например задать регион или диапазон ip тоже никак.

+

а вот порт для BT в D.Station работает корректно через фаэр.

+

>> iptables

в настройках сети есть просмотр таблиц маршрутизации, все там нормально.

polanat · 08.03.2015
У трансмишена предлагается только порт веб-управления разлочить, а про прием передачу ничего нет.

+

кстати с Mail Station та же беда. работает на 80 порту и в фаэре для нее например задать регион или диапазон ip тоже никак.

+

а вот порт для BT в D.Station работает корректно через фаэр.

Да, похоже что все затенённые пакеты, к каковым относятся Transmission, Mail Server, Mail Station и др не подхватывают правила брандмауэра на уровне приложений/портов.

 

>> iptables

в настройках сети есть просмотр таблиц маршрутизации, все там нормально.

Вас не понял - какая связь???

 

Gu_ · 08.03.2015

а.. дошло. вы про команду...

не, не хочу так глубоко залезать. разрабам напишу для начала.

Gu_ · 19.03.2015

почти 2 недели переписываюсь с их технарями. попутно закрыли разные мелочи на порты приема (недавнее обновление большое пакетов видели?), но на основной вопрос пока все еще жду ответа.

короче выяснилось, что:

1. привила в фаэре при создании отвечают только за входящие порты.

2. правила созданные с меткой "исходящий порт" не работают совсем и ни на что не влияют

3. все внутренние сервисы и пакеты, во всяком случае - большинство сидящие на bind 0.0.0.0 имеют бесконтрольный доступ на передачу в инет по всем портам

4. доступ на передачу можно заблокировать через правки конфигов через ssh.

а вот где и что править - пока не ответили. жду.

в стандартных файлах /etc/firefall пробовал - нет эффекта. идеи есть?

 

p.s. форум выкидывает часто на повторную авторизацию. пока писал - 5 мин, при отправке снова логин хочет.

Gu_ · 19.03.2015

тэкс.

я нашел в сообществе пакет Webmin.

выводы делать рано, но это похоже то, что нужно.

 

http://i60.fastpic.ru/big/2015/0320/80/53dfd101d59eaa46ec3a1bad0d6fc380.jpg

 

засел изучать. будет время, отпишу.

Gu_ · 21.03.2015

В общем, вопрос почти закрыт.

 

Кратко: как говорил уважаемый Polanat, все в конечном итоге свелось к iptables. Люнихи я практически никогда не трогал, пришлось поковыряться. Зато почти получил, что хотел (на самом деле жду реализацию от разрабов того, что опишу ниже или, если короче - возможность создавать правила в фаэре для исходящих подключений).

 

Пишу это с надеждой на то, что кому-то пригодится и человек (не знающий люниха, а привыкший юзать винды) не потеряет столько времени, сколько я.

Знающие люди улыбнутся, но я потратил почти 3 недели на переписку и несколько суток чистого времени на поиск ответов в инете и метод "тыка".

Ответ от их ТП я пока не получил, потому решил сам копать (вспоминается

:)).

 

Начну сначала.

 

Важно! Не верные действия или отсутствие понимания работы протоколов Tcp\Ip могут сделать ваше устройство недоступным для подключения в результате повторения действий, которые опишу ниже. Если у вас несколько сетевух - на одной из них обязательно оставляйте полный доступ, чтобы эксперимент не был плачевным.

 

После анализа работы различных пакетов и самой DS пришел к выводу, что сама DS и все приложения на ней работающие - свободно имеют доступ в инет (ну или могут транслировать любые порты на адрес шлюза).

Если слышали скандальную историю про ТВ Samsung (да много подобных), которые отсылали в контору производителя данные о пользователях, а также регулярно скачивали рекламные модули, мне это совсем не понравилось (тем паче, учитывая наши последние законы и торренты).

 

Если на работу основных модулей (лазить в инет за обновами, пакетами, интернет-радио, почта в ТП и т.д.) самой DS я готов был закрыть глаза, то на работу пакетов типа Transmission, Mail Server(+Mail station), Download station (BT+Emule) этого сделать было никак нельзя.

На фаэре, через который подключена DS, увидел множество активности по портам передачи, что сильно печалило.

 

После разбирательств выяснил, что политика DS по умолчанию (так же как и windows) - "я хорошая и незачем меня ограничивать" - имеет полный доступ на передачу по всем портам с любых модулей и пакетов, на ней установленных.

Долго переписывался с их ТП, описывая проблемы (да, тяжко с плохим знанием анг.языка). И вики ихняя еще на немецком :(

Но "кто хочет, тот найдет".

 

Случайно нашел пакет Webmin (далее WM) (в принципе только ради фаэра (по косвенным запросам на проблему), там есть еще какойто DogGuard или чтотото такое, но как пакет не распространяется, а ставить такие вещи отдельно не умею).

Поставил Webmin* (найдете в сообществе, ссылку на адреса сообществ тут вешал в соседней ветке+на форуме написали что есть отдельная тема). Он отменно работает (говорю только про фаэр, только его тискал), очень удобно и вариантов создания правил множество великое.

Правила применяются мгновенно (надо еще галку в настройках пакета поставить, чтобы сразу в конфиг ОС писал)**.

 

*Отступление: WM пришлось некоторое небольшое время поизучать, причесать, обновить (обязательно самого, а потом еще по отдельности его компоненты) и настроить.

**Отступление: подозреваю, что там же в настройках можно настроить запись в ваш файл настроек, о котором речь пойдет ниже, но делал на скорую руку, потом сами посмотрите.

++ еще понадобится Putty (я юзал версию 0.63), скачать последние можно тут: http://www.chiark.greenend.org.uk/~sgtatham/putty/ и Midnight Commander (MC) - скачать можно в пакетах сообществ (запустить можно только из терминала(putty) - очень полезен).

При использовании Putty - логинимся на IP DS и порт SSH, который у вас там в настройках (рекомендуют сменить с 22). Не забудьте открыть нужные порты на всех железках.

логин - root (он же админ по умолчанию и admin на DS), пароль - админской учетки DS.

 

помните, что под "admin" вы в ssh не попадете. там admin=root, логин легко запоминается если вспомнить старый анег: "гаишник останавливает подозрительно виляющее на дороге одинокое авто. - Ваши права! - Root! - отвечает водитель и теряет сознание от алкогольного опьянения".

 

после входа в консоль пишем mc и жмем enter. получаем чтото типа norton commander.

хотя многие горячие клавиши совпадают - будьте осторожны, у люниха немного другая логика файловой системы + все измения происходят сразу.

 

+...и начальные знания про команду iptables (найдете поиском, там описание и список ключиков, в принципе не сложно).

 

Важно! Размер букв в строке аргументов команды - имеет значение. Сначала не мог понять в чем дело, почему команда не отрабатывает, потом вспомнил отличие логина в люнихах и виндах и все встало на свои места.

 

еще немного помогли следующие ссылки (если поймете о чем тут пишу, найдете больше поиском)

 

http://www.synology-wiki.de/index.php/Iptables

http://forum.synology.com/enu/viewtopic.ph...3d&start=30

http://posix.ru/network/iptables/

http://www.cyberciti.biz/faq/how-do-i-save...es-or-settings/

 

Так вот, я уже обрадовался, что все оказалось так просто. Настроил нужные правила и некоторое время пребывал в нирване.

Но зная теорему "рибут" и "радость его была бы не полной", через некоторое время решил перезагрузится.

Как подсказывало - новых правил в WM не обнаружил (его вкладку кстати можно не закрывать, просто после перезагрузки и писка DS о готовности - жмакать F5 на его странице с правилами).

 

Поковыряв настройки WM, понял, что дело не в нем. Дальнейшее копание привело к Iptables. Добавление туда нужного правила (пока нужно одно - запретить порты на передачу с интерфейса Lan2)*** работало отлично, но после перезагрузки терялось.

 

***Отступление: конфиг мой (можете аналогично сделать или поняв прицип - заточить под себя):

4 сетевухи, использую 2.

1Lan = 192.168.0.1/24, воткнуто в свитч. Туда же воткнут ПК управления DS. Инета нет. Шлюз и Днс в настройках сети не прописаны.

2Lan = 172.16.0.2/24, воткнуто в роутер, он же фаэр, настройки в нем для DS - зона DMZ, првило "разрешено все на передачу". В общих настройках сети DS - Шлюз 172.16.0.1, Днс 8.8.8.8.

 

Задача: открыть на DS только нужные на передачу порты. Важно: учитывая список из 4х пунктов в письме от меня выше "19.3.2015, 22:23" (п.2 проверен еще раз****,

уже когда все заработало. Не работают правила внутренего фаэра (с учетом изменений), потому ждем разрабов). Хотя пока просто времени нет дальше потыкать.

 

Мне нужно было, чтобы на LAN1 (он же br0) можно было все принимать и отправлять (для АРМ управления), а на LAN2 (он же eth1 в файлах конфигурации) отправлять только с тех портов, которые укажу.

По умолчанию было открыто все на передачу отовсюду. Правила фаэра DS все почистил (везде пусто оставил), на всех интерфейсах - правило по умолчанию = блокировать (внизу окошка опция), кроме LAN1 (принимать).

 

Вернемся к iptables. Прочитав основное про нее (а также про соседние iptables-save и -restore), а также про важный аргумент "--noflush", принялся за дело.

Добавил через нее правил, все работает отлично. Рибут - правил нет. Че за.. Ответ нашел на немецкой wiki SL (ссылка выше).

Там описан хитрый алгоритм чтения и сохранения настроек при старте и выключении.

Через указаные там пути нашел самый важный в этом опусе файл - /usr/syno/etc/rc.d/S01iptables.sh (1)

 

В нем нашел ссылку на файл с правилами iptables, который загружается каждый раз при загрузке системы: /etc/firewall_rules.dump (там для ipv6 такой же рядом).

 

Вношу изменения в него, рибут (кстати, перезагружаться можно прямо в MC командой reboot, не входя в веб интерфейс. Putty при этом должен быть перезапущен).

В WM вижу - правила не применились. Открываю файл - изменения не сохранились.

Ок. Думаю: создам такой же со своими правилами, а в (1) имя подправлю на новый. Создаю такой же, с цифрой 9 на конце имени. В (1) правлю. Рибут. Правил нет.

Причем анализ нового файла показывает, что он полностью перезаписан обычными правилами, а старый не тронут! При изучении (1) (если хоть толика прогера в вас была, поймете почему).

Кроме этого, вижу, что сам (1) не тронут и изменения сохранил. Короче в (1) нашел процедуру старта ipv4 и там добавил нужные правила.

 

Подробнее, концовку, выводы и скрины позже, основное написал. Как будет время - дополню.

 

Спатушки пора :)

niks · 20.12.2016

Так чем всё закончилось? или время так и не появилось?

Может кто то подскажет какие порты использует DSM для обновления системы и пакетов.

Cloud Sync кроме TCP 6690 еще какие порты использует для синхронизации?

Siroc-co · 20.12.2016
Cloud Sync кроме TCP 6690 еще какие порты использует для синхронизации?

https://www.synology.com/ru-ru/knowledgebas...nology_services

niks · 21.12.2016
https://www.synology.com/ru-ru/knowledgebas...nology_services

Это читал, на маршрутизаторе TCP 6690 открыт, но синхронизации с облаками нет(в частности с YanDexdisk, GoogleDrive). как только открываю полный доступ для synology все работает замечательно.

И по каким портам идет обновление DSM и пакетов не понятно.

Получается Gu_ в своих постах выше был прав что DSM брандмауэр не контролирует. На выход может отправляться все что угодно, например если в системе сидит скажем какой нибудь ботнет

polanat · 21.12.2016
Это читал, на маршрутизаторе TCP 6690 открыт, но синхронизации с облаками нет(в частности с YanDexdisk, GoogleDrive)

Не вижу никакой связи. 6690 к КлаудСинку (а за синхронизацию с облаками отвечанет именно он) не имеет никакого отношения.

 

как только открываю полный доступ для synology все работает замечательно.

Это о чём? DMZ ???

 

И по каким портам идет обновление DSM и пакетов не понятно.

Причём здесь порты. Для обновления должны быть доступны определённые сайты. Ну и с DNS должно быть всё в порядке.

 

PS Обновиться можно и вручную, предарительно скачав то что нужно ...

 

Получается Gu_ в своих постах выше был прав что DSM брандмауэр не контролирует

Это как? Сино-брандмауэр настраивается руками - причём здесь DSM?

 

На выход может отправляться все что угодно, например если в системе сидит скажем какой нибудь ботнет

Вы за выход больше беспокоитесь чем за вход? Разберитесь для начала со входом ;)

niks · 21.12.2016

Хорошо давайте по другому, между интернетом и synology стоит маршрутизатор с брандмауэром в котором надо открыть минимум для работы syno с интернетом ,в часности КлаудСинк, проверку и обновление DSM и пакетов.

Это как? Сино-брандмауэр настраивается руками - причём здесь DSM?

Хотел сказать что Сино-брандмауэр работает только на входящие соединения, то что он настраивается руками это понятно.

 

 

polanat · 21.12.2016
Хорошо давайте по другому, между интернетом и synology стоит маршрутизатор с брандмауэром в котором надо открыть минимум для работы syno с интернетом ,в часности КлаудСинк, проверку и обновление DSM и пакетов.

Весёлый Вы однако - "Белый список" на брандмауэре (запрещено все кроме того, что разрешено). При таком подходе нужно начинать от обратного - с "Чёрного списка" (разрешено всё, кроме того что запрещено), ставить сниффер и приобретать базовые знания сетевой модели OSI ;) .

 

PS Однако к Синолоджи это уже не имеет никакого отношения