Implementazione regole firewall TS 269 PRO

[VincMara]

Buongiorno a tutti

Sul mio TS 269 PRO (a proposito davvero gran bel NAS!!!!!!! ) sto provando, sfruttando le VLAN (implementate già anche sul router), a sfruttare le 2 LAN in modo da distinguere l'interfaccia pubblicata su internet dal resto della mia rete domestica.

Lato router non ci sono problemi (ho un ASUS RT-N66U modificato con firmware Tomato Shibby); le regole imlementate sul firewall e le tabelle di routing confermano quello che ci si aspetta.

Lato TS 269 PRO, invece, c'è qualche problema lato firewall....

Premetto che la mia conoscenza di linux e comandi SSH è molto scarsa (infatti mi sta aiutando un amico).

Innanzitutto, non riusciamo a vedere le regole implementate attualmente. Facendo un iptables -nvL ci ritorna un errore in quanto sembrerebbe che la versione delle iptbales non è aggiornata.

Sarebbe eventualmente possibile aggiornate la versione delle iptables? O è una cosa non consigliabile (cercando un pò su internet non sono riuscito a capirlo)?

Se non potessimo sfruttare questo comando, c'è un altro modo per vedere le regole presenti ed eventualmente integrarle?

Grazie mille per il prezioso aiuto

[FabioLV]

Vincèèèèèèèè
TI sei messo a fare le cose in grande ora, eh !!!!
M-I-T-I-C-O !!!!

Io sarei cauto nel firewallizzare anche il NAS, mi pare assurdo: piuttosto, pomperei la protezione lato Modem/Router ed al limite permetterei l'accesso al NAS esclusivamente lato SSH...

Non vedo perchè complicarti la vita quando ci sono altre soluzioni di più facile gestione e di potenza uguale se non migliore !

Ciao !!!!!!!!!!

[VincMara]

Grandissimo Fabio!!! :)

Innanzitutto come stai??????? Ho letto che non sei stato molto bene tra fine ed inizio anno...ma spero che ora vada tutto bene! :)

Si...mi sono messo a fare le cose in grande...:p

Grazie ad un amico che ne capisce molto ma molto più di me (tu conosci il mio infimo livello :p) ho messo su una configurazione di tutto rispetto ;)

Guarda, l'idea era quella di distinguere fisicamente i flussi...per questo, visto che ci sono 2 LAN disponibili e visto che non le posso sfruttare in aggregate, volevamo usarle per questo scopo.

Ma, volendo solo vedere le regole presente sul NAS, come dovremmo fare?

[FabioLV]

Ciao caro !
I due flussi sulla lan hanno senso ,certo,ma su grandi flussi di dati, laddove sia auspicabile una suddivisione dei compiti, ma si parla di flussi ben più grandi dei nostri, anche dei miei che ho una quindicina di periferiche e 3 PC in rete, che comunque non saturano la banda contemporaneamente.
Solitamente in una lan domestica l'utilizzo della banda propriamente inerente un nas è comunque limitata, utilizzando il 90% del traffico nella lan stessa e distribuendolo sulle periferiche comuni (mode, router, PC, stampante, webcam etc).
Nel caso in cui ad esempio dovresti usare un nas con scopi più sofisticati (es. backup e sincronizzazione, download sistematico etc) allora potrebbe essere fatibile.
Ma valuta bene, a meno che rappresenti solo un esercizio di stile...

A presto !!!!!!!!!!!

[VincMara]

Molto probabilmente ho dato troppe poche informazioni...:p

In effetti non ho moli di dati immensi...l'eventuale intervento sul firewall del NAS mi servirebbe in quanto, lavorando con le VLAN (ne abbiamo implementate 3, 1 per wifi pubblico, 1 per wifi privato, 1 per NAS verso esterno. E a queste va aggiunta la VLAN di base) non riusciamo a far "dialogare" la rete wifi privata con il NAS in quanto il firewall del NAS blocca il flusso (mentre, da NAS a wifi privata arriviamo in quanto il firewall del router lo abbiamo settato correttamente).

Sinceramente mi viene difficile spiegare tutto quello che c'è dietro... ...però se ci fosse un modo per lavorare sul firewall del NAS mi aiutereste un sacco! Poi magari non lo modifichiamo...però almeno capiamo se il nostro problema è lì (come supponiamo)

[FabioLV]

L'unica sarebbe disatttivarlo....

[VincMara]

Disattivarlo in effetti è un pò estremo...:p

Non c'è proprio modo di lavorare sul firewall del QNAP via SSH?

Cmq...Fabio grazie mille per l'aiuto! Sei sempre gentilissimo e disponibile :)

[FabioLV]

Disattivarlo in effetti è un pò estremo...:p

Servirebbe solo per restringere il campo di analisi: una volta che si è appurato che il problema è davvero lui, ci si accanisce !
Non puoi "accusare" a priori il firewall del nas dei motivi dei vostri problemi di configurazione, e solo disattivarlo può farti capire se il problema è legato davvero a lui o meno !
Una volta appurato, lo riattivi e ci lavorate su !
Ricordatiinoltre di cancellare i certificati SSH per smanettare, a rifarli sei sempre in tempo !

[VincMara]

Fabio ma come si disattiverebbe il firewall del QNAP? C'è un comando via GUI o va fatto via SSH? In effetti hai ragione da vendere se ci penso bene...già semplicemente con la disattivazione del firewall potremmo capire se il problema è li...

E poi una spiegazione (vista la mia ignoranza ma anche la voglia di imparare ). Come mai è meglio cancellare i certificati SSH (a proposito, si fa dalla pagina in cui si attiva SSH?)?

Grazie mille!!!!!!!!

[FabioLV]

Vinc, se proprio vogliamo dirla tutta, a me non risultava esserci alcun firewall nel nas fino a poco prima di leggere queste tue, e mi sono in quanto non finisco mai di imparare; mi sembra strano ma magari esiste davvero, magari tu lo sai o l'hai scoperto ed io non ne sapevo nulla !
Tuttavia, come dall'inizio ti dissi, certe configurazioni non debbono essere fatte con le protezioni attive (regole, policies, firewall) in quanto ogni benchè minimo problema può essere inficiato da altri fattori per i quali non si riesce a venirne a capo se non dopo tanto tempo.
Togliere tutte le protezioni temporaneamente aiuto a creare una substrutura efficiente: a proteggere, poi si fa sempre in tempo !
Per quanto riguarda l'SSH, si fa dalla pagina admin:
Amministrazione di sistema --> Protezione --> Importa Certificato Sicuro SSL & Chiave Privata

Fammi sapere !

Ciao

[VincMara]

Togliere tutte le protezioni temporaneamente aiuto a creare una substrutura efficiente: a proteggere, poi si fa sempre in tempo !

Ok!

Quali protezioni dovrei togliere secondo te? Così almeno disabilito tutto e poi...una volta fatto...rimetto su tutto quello che serve

Per quanto riguarda l'SSH, si fa dalla pagina admin:
Amministrazione di sistema --> Protezione --> Importa Certificato Sicuro SSL & Chiave Privata

Grazie!!!!!!!

[FabioLV]

Quali protezioni dovrei togliere secondo te? Così almeno disabilito tutto e poi...una volta fatto...rimetto su tutto quello che serve

Esattamente...
La prima sicuramente quella del firewall del modem/router, giusto per testare che le varie configurazioni funzionino anche dall'esterno.
Poi, come già a suo tempo mi pare averti detto, cambia la pwd dell'admin dappertutto inserendone una stupida, tipo "pippo", per poter fare facilmente le cose e non dover divulgare quella che poi userai, dando anche la possibilità dall'esterno di fare i test con gli amici/collghi/smanettoni del caso.
Poi crea un'utenza sfigata, tipo la classica guest/guest...
Inoltre verifica di non aver fatto troppi routnig nel mode così come verifica le policies sulle cartelle delnas, aprendole a tutti.
A giochi fatti, pian pianino, reimposti i permessi vari, testandono di volta in volta la bontà delle restrizioni applicate...

[VincMara]

Fabio ieri sera dovremmo essere riusciti a sistemare tutto!!!!

Stasera devo fare un pò di test per vedere se le cose funzionano correttamente ma facendo un route -n ieri (dopo aver reimpostato di nuovo il default gateway sulla Eth2 e aver reinserito via SSH un comando) abbiamo ottenuto quello che ci aspettavamo

Il firewall del NAS non c'entrava nulla e le VLAN implementate sul router (e riportate sul NAS) funzionavano bene...probabilmente non aveva recepito qualcosa...ma rifacendo il percorso sembra essere andata bene...

A parte questo...il 269 PRO è davvero un super prodotto!!!!!!!

Avevi perfettamente ragione a consigliarmi l'architettura intel all'epoca...mi ritrovo una velocità e reattività che prima non avevo!!! Ed in più la CPU sembra sempre non soffrire...contemporaneamente posso guardare BR in LAN, scaricare, spostare documenti e scompattare senza che ne risenta particolarmente

E non ho ancora fatto l'upgrade della RAM che con quello che costa (appena 15 euro) conviene farlo comunque secondo me