IP range of bepaalde landen uitfilteren

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

Misschien rare vraag?

Ik heb voor mijn NAS een paar poorten open staan en zie dat ik af en toe bezoek krijg van vreemde IP adressen.
Ik kan die stuk per stuk uitsluiten, maar die nemen natuurlijk steeds een ander IP adres om toegang proberen te krijgen.
Een range uitsluiten gaat niet op de NAS.

Ik heb hier een Asus router. Weet iemand of het op één of andere manier mogelijk is om bepaalde externe IP adressen (een range of van een bepaald land) uit te sluiten zodat ze geen toegang krijgen?

Ik weet dat het ook via VPN kan, dan heb je die dingen niet. Maar voor een paar toepassingen moet ik helaas een paar poorten open zetten.
datakiller
Elite Poster
Elite Poster
Berichten: 769
Lid geworden op: 01 jan 2018, 18:00
Locatie: Aalter
Uitgedeelde bedankjes: 48 keer
Bedankt: 37 keer

Heeft die asus router een firewall? Ik kan bvb landen blokkeren met pfsense ook IP-ranges en single IP's.
Telenet ONE: https://www.speedtest.net/my-result/d/7 ... 3afbda.png
Telenet ONE for one (mobiel): 300kbps in Gent-Sint-Pieters :-D maar de upload is wel gewoon 20Mbps
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

Ja. Het is een RT-AC68u.
Ik heb al zitten zoeken, maar ik vermoed dat ik er niet mijn weg in vind.

Ik zou bijvoorbeeld een IP adres met structuur 40.X.X.X willen uitsluiten.
datakiller
Elite Poster
Elite Poster
Berichten: 769
Lid geworden op: 01 jan 2018, 18:00
Locatie: Aalter
Uitgedeelde bedankjes: 48 keer
Bedankt: 37 keer

Ik zie hier ook niet direct iets staan bij firewall om IP ranges te blokkeren: https://event.asus.com/2012/nw/dummy_ui/en/

40.x.x.x is een 40.0.0.0/8 range.
Telenet ONE: https://www.speedtest.net/my-result/d/7 ... 3afbda.png
Telenet ONE for one (mobiel): 300kbps in Gent-Sint-Pieters :-D maar de upload is wel gewoon 20Mbps
flt
Elite Poster
Elite Poster
Berichten: 755
Lid geworden op: 08 dec 2005, 17:10
Uitgedeelde bedankjes: 1 keer
Bedankt: 3 keer

Lukt niet via de GUI.

Indien de firewall aanstaat, zal dit alle inbound verkeer blokkeren tenzij er een portforward aangemaakt is. Een portforward laat direct alle sources toe zonder mogelijkheid om deze te filteren.. :?

Kan je wel omzeilen door het firewall-start of nat-start script aan te passen..
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

OK, dan moet ik het misschien anders gaan proberen. Ik heb geen verstand van die scripts en zo. Toch niet deze.
datakiller
Elite Poster
Elite Poster
Berichten: 769
Lid geworden op: 01 jan 2018, 18:00
Locatie: Aalter
Uitgedeelde bedankjes: 48 keer
Bedankt: 37 keer

Miss eens een PC met een firewall software overwegen?
Telenet ONE: https://www.speedtest.net/my-result/d/7 ... 3afbda.png
Telenet ONE for one (mobiel): 300kbps in Gent-Sint-Pieters :-D maar de upload is wel gewoon 20Mbps
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

Als je een windows PC bedoelt, dan is dat het laatste dat ik (voor mezelf) in huis zal halen. Dan nog liever geen computer meer.

Ik heb overal firewalls : in de router, op mijn Mac, in de NAS. En volgens mij is de firewall van de 'PC' of 'Mac' hier niet relevant vermits het gaat over een poging tot inbraak op de NAS.
datakiller
Elite Poster
Elite Poster
Berichten: 769
Lid geworden op: 01 jan 2018, 18:00
Locatie: Aalter
Uitgedeelde bedankjes: 48 keer
Bedankt: 37 keer

(facepalms) Slecht uitgelegd van mij dan :P

Ik bedoelde een PC met 2 LAN poorten (of als je een software zoals pfsense gebruikt 1x WAN poort en 1x LAN) dit zou je dan voor je NAS moeten zetten en daar kan je dan dingen op blokkeren. (Ik gebruik pfsense als router en dit werkt best goed, je moet wel zien dat je een zuinige PC in huis haalt als je dit doet)
Telenet ONE: https://www.speedtest.net/my-result/d/7 ... 3afbda.png
Telenet ONE for one (mobiel): 300kbps in Gent-Sint-Pieters :-D maar de upload is wel gewoon 20Mbps
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

ah ok, ja. Dat is al iets geavanceerder. Ik zal eerst eens andere opties bekijken. Een oplossing zit misschien in een klein hoekje.
Bv. Als ik het admin account van de NAS uitschakel is dat risico al kleiner.
datakiller
Elite Poster
Elite Poster
Berichten: 769
Lid geworden op: 01 jan 2018, 18:00
Locatie: Aalter
Uitgedeelde bedankjes: 48 keer
Bedankt: 37 keer

die geblokkeerde login pogingen zijn meestal met zo'n user:password lijstjes. Een goed wachtwoord en je moet niet bang zijn.
Telenet ONE: https://www.speedtest.net/my-result/d/7 ... 3afbda.png
Telenet ONE for one (mobiel): 300kbps in Gent-Sint-Pieters :-D maar de upload is wel gewoon 20Mbps
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Synology heeft zelfs een ingebouwde geo-blocklijst...
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

Als ik uw afbeelding volg : edit profile default > create firewall rules
dan vind ik toch nergens 'Location'.
Doe ik ergens iets fout?
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Dit is het scherm ervoor:
0665F8D8-9D7B-4618-B68E-A7328C180561.jpeg
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

Inderdaad, ik had hem net gevonden maar nog niet de kans gehad om te reageren.
Hiermee kan ik toch al wat. Ik ga alvast wat landen uitsluiten.
Ik geef toe dat ik er geen krak in ben.
Dus als ik het goed heb kan ik bijvoorbeeld alle 40.X.X.X IP adressen uitsluiten door een regel aan te maken :
Firewall-regels > Bron-IP > Specifiek IP
en dan 'subnet' aanduiden met IP adres 40.0.0.0 en subnet 255.0.0.0
Dat klopt toch?
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

Is het geen idee om het andersom te doen? Blokkeer alles en laat maar toe wat je wil?
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Gebruikersavatar
Sylvester
Elite Poster
Elite Poster
Berichten: 1742
Lid geworden op: 07 jun 2006, 07:47
Locatie: Limburg
Uitgedeelde bedankjes: 34 keer
Bedankt: 173 keer

Zoals ik al zei : ik ben er geen krak in.
Gek genoeg heb ik dat niet voor mekaar gekregen.
Als je alles blokkeert krijg je een waarschuwing dat dat niet gaat omdat je dan jezelf blokkeert, of zoiets...
Ik ga nog eens even zoeken.

Edit : blijkbaar is de volgorde van belang.
Als je eerst alles uitsluit en dan een land of ip range toelaat, werkt het niet en weigert hij de configuratie.
Als je eerst de toegelaten opties aangeeft, en dan ALLES uitsluit, werkt het wel.
Ik heb het een beetje moeilijk met die logica, maar het kan aan mij liggen.
Je laat 'iets' door én je houdt alles tegen ???
Vreemde logica.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2958
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 285 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Dat is de logica: eerst komt eerst maalt. Als een eerdere fw-regel toegang ontzegt, dan kan de volgende dat niet ongedaan maken.
Ik stel alles in zodat de laatste regel een drop-all is.
Computer(k)nul
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Yup.
Firewalls werken volgens het "first match" principe.
Maw de eerste regel die op jouw pakketje van toepassing is wordt uitgevoerd.
Je moet dus altijd de meest specifieke regels bovenaan zetten, en zo afwerken naar de meest algemene, met helemaal onderaan de klassieke "block all".
Gebruikersavatar
selder
Moderator
Moderator
Berichten: 6437
Lid geworden op: 29 jun 2005, 20:25
Locatie: Tienen
Uitgedeelde bedankjes: 106 keer
Bedankt: 736 keer

^^ zoals hierboven...

Per regel in de firewall rules wordt nagekeken of de inkomende connectie “matcht”, indien ja, dan wordt deze regel uitgevoerd en kijkt de firewall niet meer naar de volgende regels.
Fractal Design North • 13900KS • Asus ROG Ryuo III 240mm • Asus Z790-E • Z5 7800 c34 64GB RGB • nVidia RTX4090FE • Samsung 990 PRO 2TB • Asus ROG Swift PG42UQ 42” OLED 138Hz
Plaats reactie

Terug naar “Netwerken en Security”